II SA/Wa 1612/06

II SA/Wa 1612/06 - Wyrok WSA w Warszawie
Data orzeczenia
2006-11-15
orzeczenie prawomocne
Data wpływu
2006-08-29
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Pisula-Dąbrowska /przewodniczący/
Przemysław Szustakiewicz /sprawozdawca/
Stanisław Marek Pietras
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
I OSK 221/07 - Postanowienie NSA z 2008-02-27
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Pisula-Dąbrowska, sędzia WSA Stanisław Marek Pietras, asesor WSA Przemysław Szustakiewicz (spr.), Protokolant Agnieszka Kolasa, po rozpoznaniu na rozprawie w dniu 15 listopada 2006 r. sprawy ze skargi A. Towarzystwo Ubezpieczeń SA z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2004 r. nr [...] w przedmiocie usunięcia uchybień w procesie przetwarzania danych osobowych - oddala skargę -
Uzasadnienie
II SA/Wa 1612/06
UZASADNIENIE
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 20 kwietnia 2005 r. po rozpoznaniu na rozprawie w dniu 7 kwietnia 2005 r. skargi A. Towarzystwo Ubezpieczeń S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2004 r. nr [...]:
1) uchylił zaskarżoną decyzję w takim zakresie, w jakim utrzymywała ona w mocy pkt I ppkt 2 decyzji poprzedzającej z dnia [...] kwietnia 2004 r. nr [...] oraz uchylił ten punkt decyzji poprzedzającej,
2) w pozostałej części oddalił skargę,
3) stwierdził, że zaskarżona decyzja nie podlega wykonaniu w zakresie określonym w pkt 1 wyroku,
4) zasądził od Generalnego Inspektora Ochrony Danych Osobowych na rzecz A. Towarzystwo Ubezpieczeń S.A. kwotę 110 zł (sto dziesięć złotych) tytułem zwrotu części kosztów postępowania.
W uzasadnieniu Sąd wskazał, że Generalny Inspektor Ochrony Danych Osobowych, po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez A. Towarzystwo Ubezpieczeniowe S.A. z siedzibą w W., działając na podstawie art. 104 § 1 i art. 105 § 1 kpa, art. 12 pkt 2, art. 18 ust. 1 pkt 1 i 6 w związku z art. 23 ust. 1, art. 24 ust. 1 pkt 2, art. 26 ust. 1 pkt 3, art. 36, art. 37, art. 39 ust. 1, art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) , zwaną dalej uodo oraz § 14 ust. 4, § 16 pkt 4 i 5 i § 17 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 z późn. zm.) wydał w dniu [...] kwietnia 2004 r. decyzję nr [...], którą:
I. Nakazał A. Towarzystwu Ubezpieczeniowemu S.A. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
1. zaprzestanie zbierania danych osobowych potencjalnych klientów w zakresie szerszym niż jest to niezbędne dla realizacji celów przetwarzania danych (przedstawienia telefonicznej oferty ubezpieczeniowej), tj.: imienia, nazwiska, daty urodzenia, adresu zameldowania (lub zamieszkania), numeru telefonu, od dnia, kiedy niniejsza decyzja stanie się ostateczna,
2. zaprzestanie zbierania danych osobowych klientów (w wyniku fotografowania dowodu osobistego i prawa jazdy) w szerszym zakresie niż jest to niezbędne dla realizacji celu przetwarzania danych (wystawienia polisy, oceny ryzyka ubezpieczeniowego, wyliczenia składki i realizacji umowy ubezpieczenia), tj.: wizerunku ubezpieczonego, rysopisu, nazwiska rodowego, imion rodziców, miejsca urodzenia, poprzednich adresów zameldowania, od dnia, kiedy niniejsza decyzja stanie się ostateczna,
3. usunięcie danych osobowych osób, z którymi nie zawarto umowy ubezpieczenia, od dnia, kiedy decyzja stanie się ostateczna,
4. uzupełnienie ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych o identyfikator użytkownika systemu informatycznego, w terminie 14 dni od dnia, kiedy decyzja stanie się ostateczna.
II. W pozostałym zakresie postępowanie umorzył.
W uzasadnieniu decyzji organ podał, że zgodnie z art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Zdaniem organu A. Towarzystwo Ubezpieczeniowe S.A. pozyskiwało dane osobowe poprzez zgłoszenia telefoniczne. Potencjalny klient uzyskiwał informacje wynikające z art. 24 ustawy o ochronie danych osobowych, a także o tym, że rozmowa jest nagrywana. Operator informował potencjalnego klienta, że w przypadku wyrażenia przez niego zgody na przetwarzanie jego danych osobowych, powinien zaczekać na zgłoszenie się konsultanta, w przypadku nie wyrażenia zgody, powinien się rozłączyć. Konsultant ponownie informował potencjalnego klienta, że rozmowa jest nagrywana i jego dane zostaną zarejestrowane w bazie danych, a następnie prosił o wyrażenie zgody na przetwarzanie danych osobowych przez Spółkę. Brak zgody powodował przerwanie przez konsultanta rozmowy, natomiast po uzyskaniu zgody konsultant zwracał się do potencjalnego klienta o podanie danych w następującym zakresie: imię i nazwisko głównego użytkownika pojazdu, datę urodzenia, adres zameldowania lub adres zamieszkania oraz numer telefonu. Udzielenie tych danych przez potencjalnego klienta było obowiązkowe na etapie tworzenia oferty, gdyż Spółka swoją ofertę ubezpieczeniową przedstawia jedynie tym osobom, które żądane dane podadzą. Potencjalny klient może na tym etapie podać dobrowolnie dane dodatkowe, tzn.: PESEL, stan cywilny, wykształcenie i zawód. Pozostałe dane, które podaje dotyczą historii ubezpieczenia oraz pojazdu. Dane osobowe uzyskane podczas rozmowy telefonicznej są równocześnie wprowadzane do systemu informatycznego. W trakcie postępowania kontrolnego spółka twierdziła, że nie udziela informacji o produktach bez podania danych osobowych, ponieważ nie posiada globalnych produktów ubezpieczeniowych - oferuje produkty zindywidualizowane, a uzyskane dane są niezbędne do wyliczenia stawki ubezpieczeniowej.
Uzasadniając swoją decyzję GIODO stwierdził, iż Spółka na etapie tworzenia oferty, przetwarzała dane osobowe potencjalnych klientów z naruszeniem art. 26 ust. 1 pkt 3 uodo, gdyż na tym etapie wystarczające jest podanie danych w zakresie: wiek, nazwa miejsca zamieszkania, ewentualnie stan cywilny oraz dane dotyczące historii ubezpieczenia i pojazdu, bez podawania danych indywidualizujących osobę. Organ ustalił, że zgodnie z wprowadzoną przez Spółkę procedurą informatyczną [...], dotyczącą postępowania w sytuacji zgłoszenia przez klienta żądania usunięcia jego danych osobowych przyjęto, że usunięcie tych danych jest możliwe, gdy klient nie zaakceptował oferty ubezpieczeniowej, nie odebrał przesyłki i/lub nie opłacił składki. Jeśli klient po przeprowadzonej rozmowie telefonicznej żąda usunięcia danych osobowych, konsultant zaznacza status klienta "GIODO - usunąć dane". Ta sama procedura dotyczy również pozostałych przypadków, tj. gdy klient twierdzi, że jego dane są w bazie danych i żąda ich usunięcia, bądź klient nie odebrał polisy lub nie opłacił składki. W ocenie organu zbieranie danych osobowych, których podania żąda A. na etapie rozmowy telefonicznej dotyczącej przedstawienia oferty ubezpieczeniowej, jest dla Spółki zbędne, a dalsze przetwarzanie tych danych wynika jedynie z faktu, iż klient nie zażądał ich usunięcia. Dodatkowo GIODO stwierdził, że przetwarzanie danych potencjalnych klientów we wcześniej określonym zakresie jest nieadekwatne w stosunku do celów, w jakich są one przetwarzane, tj. w celu przedstawienia telefonicznej oferty ubezpieczeniowej. Uzasadniając swoją decyzję organ stwierdził, iż proces odszkodowawczy rozpoczyna się od telefonicznego zgłoszenia przez klienta lub poszkodowanego faktu zaistnienia zdarzenia objętego ubezpieczeniem i związanym z tym zdarzeniem wnioskiem o uznanie szkody i wypłatę odszkodowania. Rzeczoznawca dokonuje oględzin pojazdu, sporządza raport z miejsca wypadku i wykonuje metodą cyfrową dokumentację fotograficzną, m.in. fotografuje dowód osobisty, prawo jazdy i dowód rejestracyjny. Zakres danych osobowych przetwarzanych w systemie informatycznym w celu wystawienia polisy, oceny ryzyka ubezpieczeniowego, wyliczenia wysokości składki i realizacji umowy ubezpieczenia to: imię, nazwisko głównego użytkownika pojazdu, data urodzenia, adres zameldowania lub adres zamieszkania, numer telefonu, PESEL, stan cywilny, wykształcenie i zawód. Natomiast szerszy jest zakres danych zebranych w wyniku fotografowania dowodu osobistego, obejmuje wizerunek ubezpieczonego, rysopis, nazwisko rodowe, imiona rodziców, miejsce urodzenia, informacje o poprzednich miejscach zameldowania, a w przypadku prawa jazdy - wizerunek. W ocenie GIODO Spółka, przy likwidacji szkody pozyskuje, zatem dane osobowe klientów w szerszym zakresie niż jest to niezbędne dla realizacji celu przetwarzania danych, tj. wystawienia polisy, oceny ryzyka ubezpieczeniowego, wyliczenia składki i realizacji umowy ubezpieczenia, co stanowi naruszenie zasady wyrażonej w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych.
Podczas kontroli ustalono również, że Spółka nie pozyskiwała zgody klientów na przetwarzanie ich danych osobowych, w przypadku gdy nie doszło do zawarcia umowy ubezpieczenia. Przy odbiorze polisy wraz z niezbędną dokumentacją klient uiszczał opłatę, czym potwierdzał zawarcie umowy ubezpieczenia. Jeżeli opłata nie zostanie uiszczona, to dokumenty zwracano do Spółki, gdzie po uprzednim kontakcie telefonicznym z klientem, były anulowane. Jeżeli w taki sposób potencjalny klient zrezygnował z zawarcia umowy, usunięcie jego danych osobowych z systemu informatycznego możliwe jest wyłącznie w przypadku wyrażenia takiego żądania. Organ ustalił, iż Spółka nie usuwa również danych osobowych potencjalnego klienta z bazy danych w przypadku, gdy istnieje uzasadnione podejrzenie, ze chciał on wyłudzić odszkodowanie, jak również danych zebranych na etapie przedstawienia oferty ubezpieczeniowej. Gdy nie dochodzi do zawarcia umowy ubezpieczenia, a klient nie zwróci się o usunięcie jego danych osobowych, jego dane pozostają w zbiorze danych prowadzonych przez spółkę. W zmodyfikowanym w trakcie kontroli przez Spółkę komunikacie telefonicznym, klient wyraża zgodę na przetwarzanie danych osobowych w celu sporządzenia oferty ubezpieczeniowej oraz w celach marketingowych. Klient, wyrażając zgodę na przetwarzanie jego danych osobowych w celu przedstawienia mu oferty ubezpieczeniowej, wyraża jednocześnie zgodę na przetwarzanie jego danych w celach marketingowych, nawet jeżeli nie dojdzie do zawarcia umowy ubezpieczenia. GIODO uznał, że przy tak sformułowanym komunikacie, klient nie ma możliwości wyrażenia zgody na przetwarzanie jego danych osobowych, jedynie w celu przedstawienia mu oferty ubezpieczeniowej. Organ stwierdził również, że zgoda na przetwarzanie danych osobowych dla celów marketingowych powinna być odrębnym oświadczeniem woli, z treści którego wynikałaby zgoda na przetwarzanie w tym właśnie celu.
W konkluzji GIODO uznał, że dane osobowe osób, z którymi nie doszło do zawarcia umowy ubezpieczenia, zostały zebrane przez Spółkę bez podstawy prawnej i powinny zostać usunięte. Nadto organ podniósł, że zgodnie z art. 39 ust. 1 ustawy o ochronie danych osobowych, administrator danych prowadzi ewidencję osób zatrudnionych przy ich przetwarzaniu. Natomiast zdaniem GIODO w Spółce ewidencja ta jest niepełna, gdyż nie zawiera identyfikatora użytkownika przetwarzającego dane, a tym samym nie spełnia wymogów z powyżej powołanego przepisu w związku z § 14 ust. 4 rozporządzenia w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Od powyższej decyzji Spółka złożyła w dniu 17 maja 2004 r. wniosek o ponowne rozpatrzenie sprawy, w którym wniosła o uchylenie decyzji w części objętej pkt 1-3 decyzji i umorzenie postępowania w tym zakresie. Odnosząc się do nakazu zaprzestania zbierania danych osobowych potencjalnych klientów strona podniosła, że A. oferuje produkt ubezpieczeniowy zindywidualizowany - adresowany wyłącznie do telefonującego klienta. Nie jest możliwe złożenie oferty anonimowej. Klient otrzymuje ofertę już w trakcie pierwszej rozmowy z konsultantem. Jeśli nie decyduje się na zawarcie umowy od razu, dane identyfikujące są Spółce potrzebne do złożenia mu ponownej oferty. Pomimo, iż w informacji udzielonej klientowi przed połączeniem z konsultantem rozróżniono cel, jakim jest złożenie oferty ubezpieczeniowej od celów marketingowych, to faktycznie marketing produktów Spółki odbywa się poprzez składanie kolejnych ofert temu samemu klientowi. Przedstawienie klientowi oferty dopasowanej do jego indywidualnych potrzeb jest możliwe dzięki precyzyjnej ocenie ryzyka ubezpieczeniowego, która jest między innymi dokonywana na podstawie wiarygodności potencjalnego klienta. Z uwagi na różne źródła, z których Spółka może pozyskać dane do weryfikacji klienta, potrzebne jest zbieranie danych w zakresie imienia, nazwiska, daty urodzenia, adresu zameldowania lub zamieszkania, numeru telefonu. W ocenie A. ma on prawo oceniać ryzyko na podstawie informacji otrzymanych od innych zakładów, biur informacji gospodarczych oraz baz danych Ubezpieczeniowego Funduszu [...]. Ponadto, Spółka weryfikuje podane przez klienta dane we własnych bazach danych. Ocena wiarygodności klienta na etapie składania indywidualnej oferty ubezpieczeniowej ma zasadnicze znaczenie dla oceny ryzyka ubezpieczeniowego. Spółka legitymuje się zgodą osoby, której dane dotyczą na przetwarzanie danych w zakresie, w którym te dane przetwarza. Klient może w każdym czasie tę zgodę wycofać, co skutkuje usunięciem jego danych z bazy danych Spółki. We wniosku podniesiono, że nakaz zaprzestania zbierania danych osobowych klientów poprzez fotografowanie dowodu osobistego i prawa jazdy w zakresie szerszym niż jest to niezbędne dla realizacji celu przetwarzania danych dotyczy jedynie celów likwidacji szkody, a nie wystawienia polisy, oceny ryzyka ubezpieczeniowego, wyliczenia wysokości składki i realizacji umowy ubezpieczenia. Podniesiono również, że użyte w nakazie określenie "niezbędne" nie jest tożsame z terminem "adekwatne", o którym mowa w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Spółka podkreśliła, że fotografie dowodu osobistego i prawa jazdy są przydatne w przypadku sporów sądowych w związku z fałszowaniem tych dokumentów. Odnosząc się do nakazu usunięcia danych osobowych osób, z którymi nie zawarto umowy ubezpieczenia A. stwierdził, że Spółka przetwarza dane klientów oraz potencjalnych klientów na podstawie wyrażonej przez nich zgody. Zgoda ta obejmuje wykorzystanie danych w celu sporządzenia oferty ubezpieczeniowej, a przedstawienie kolejnych ofert jest w rzeczywistości jedyną działalnością marketingową Spółki. Nie byłoby możliwe przedstawienie potencjalnemu klientowi kolejnej oferty, gdyby Spółka nie dysponowała danymi osobowymi klienta i to w zakresie adekwatnym do indywidualnych potrzeb odbiorcy oferty.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] lipca 2004 r. nr [...] utrzymał w mocy decyzję poprzedzającą z dnia [...] kwietnia 2004 r. i w jej uzasadnieniu podtrzymał argumenty w niej przedstawione.
Decyzja ta w części utrzymującej w mocy pkt I ppkt 1-3 stała się przedmiotem skargi złożonej przez Spółkę do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu wyroku przywołał treść art. 18 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Wskazał, iż rozstrzygnięcie stanowi istotę decyzji, bowiem w tym fragmencie przesądza się o nałożeniu obowiązku, a wówczas treści rozstrzygnięcia nie można domniemywać. Musi więc, być ono tak sformułowane, aby wynikało z niego w sposób jednoznaczny, jaki obowiązek zostaje nałożony na stronę. Obowiązek ten powinien być wyrażony precyzyjnie, bez możliwości różnej interpretacji, gdyż tylko wtedy możliwe będzie wykonanie przez stronę decyzji. Sąd uznał, że Generalny Inspektor Ochrony Danych Osobowych, nakazując A. Towarzystwu Ubezpieczeń S.A. zaprzestanie zbierania danych osobowych klientów (w wyniku fotografowania dowodu osobistego i prawa jazdy) w szerszym zakresie niż jest to niezbędne dla realizacji celu przetwarzania danych (wystawienia polisy, oceny ryzyka ubezpieczeniowego), t.j. rysopisu, nazwiska rodowego, imion rodziców, miejsca urodzenia, poprzednich adresów zameldowania, nie dopełnił powyżej określonego obowiązku. Uzasadniając wyrok Sąd stwierdził, że z akt sprawy, a w szczególności z wniosku o ponowne rozpatrzenie sprawy wynika, iż A. Towarzystwo Ubezpieczeń S.A. zbiera dane osobowe poprzez fotografowanie dowodu osobistego i prawa jazdy jedynie na etapie likwidacji szkody, a nie w celu wystawienia polisy, oceny ryzyka ubezpieczeniowego, wyliczenia składki i realizacji umowy ubezpieczenia. W tym stanie rzeczy Sąd uznał, że argumenty podniesione w tym zakresie przez A. Towarzystwo Ubezpieczeń S.A. zasługują na uwzględnienie, gdyż z nałożonego nakazu nie wynika na jakim etapie zobowiązany podmiot ma zaprzestać zbierania danych osobowych. W tym zakresie organ zobowiązany jest ponownie rozpatrzyć sprawę i wydać właściwe rozstrzygnięcie. Jednocześnie Sąd z mocy art. 141 § 2 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.) zwana dalej ppsa, odstąpił od uzasadnienia wyroku w części, w której skargę oddalił, gdyż w sprawach, w których skargę oddalono, uzasadnienie wyroku sporządza się na wniosek strony zgłoszony w terminie siedmiu dni od dnia ogłoszenia wyroku albo doręczenia odpisu sentencji wyroku.
W dniu 30 sierpnia 2006 r. skargę na powyższe orzeczenie złożył A. Towarzystwo Ubezpieczeń S.A. W uzasadnieniu skargi kasacyjnej podniesiono, iż WSA w Warszawie oddalając w części skargę naruszył:
1. przepisy postępowania, tj. art. 141 § 1 i 141 § 2 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi, poprzez uzasadnienie wyroku jedynie w części, w której Sąd skargę oddalił, a tym samym błędną wykładnię tych przepisów i ich niewłaściwe zastosowanie;
2. naruszenie przepisów postępowania, tj. art. 141 § 4 ppsa, poprzez nieprzedstawienie w częściowym uzasadnieniu wyroku stanu sprawy oraz niewyjaśnienie podstawy prawnej rozstrzygnięcia;
3. naruszenie prawa materialnego, tj. art. 23, ust. 1, pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, poprzez nieuwzględnienie podstaw prawnych do przetwarzania danych osobowych, które miało wpływ na wynik sprawy, a tym samym błędną wykładnię tego przepisu;
4. naruszenie prawa materialnego, tj. art. 23, ust. 1, pkt 2 ustawy o ochronie danych osobowych w związku z art. 18 ust. 1 ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (Dz. U. z 2003 r., Nr 124, poz. 1151), poprzez nieuwzględnienie podstaw prawnych do przetwarzania danych osobowych, które miało wpływ na wynik sprawy, a tym samym błędną wykładnię tych przepisów;
5. naruszenie prawa materialnego, tj. art. 23, ust. 1, pkt 5 ustawy o ochronie danych osobowych poprzez nieuwzględnienie podstaw prawnych do przetwarzania danych osobowych, które miało wpływ na wynik sprawy, a tym samym błędną wykładnię tego przepisu oraz jego niewłaściwe zastosowanie;
6. naruszenie prawa materialnego, tj. art. 26, ust. 1, pkt 3 ustawy o ochronie danych osobowych, poprzez jego błędną wykładnię, które miało wpływ na wynik sprawy, oraz jego niewłaściwe zastosowanie.
Naczelny Sąd Administracyjny wyrokiem z dnia 13 lipca 2006 r. sygn. akt I OSK 1083/06 :
1) uchylił zaskarżony wyrok w zakresie punktu 2 i przekazał sprawę w tym
zakresie do ponownego rozpoznania Wojewódzkiemu Sądowi
Administracyjnemu w Warszawie
2) w pozostałym zakresie oddalił skargę kasacyjną
3) zasądził od Generalnego Inspektora Ochrony Danych Osobowych na rzecz
A. Towarzystwa Ubezpieczeń S.A. z/s w W. kwotę 180 (sto
osiemdziesiąt) zł tytułem zwrotu kosztów postępowania kasacyjnego
4) odmówił wstrzymania wykonania zaskarżonej decyzji
W uzasadnieniu Naczelny Sąd Administracyjny stwierdził, że Wojewódzki Sąd Administracyjny w Warszawie w zaskarżonym wyroku naruszył art. 141 § 1, 2 i 4 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi, a naruszenie to mogło mieć istotny wpływ na wynik sprawy.
Naczelny Sąd Administracyjny podzielił stanowisko zawarte w skardze kasacyjnej, iż przepis art. 141 § 2 ppsa odnosi się jedynie do przypadku, w którym skargę oddalono w całości. Oznacza to w konsekwencji obowiązek sporządzenia uzasadnienia z urzędu, przewidziany w art. 141 § 1 ppsa, także w takim przypadku, gdy skargę oddalono w części, w części zaś uwzględniono. Jak bowiem podkreślił Naczelny Sąd Administracyjny orzeczenie stanowi jedność i dlatego z urzędu podlega uzasadnieniu co do obydwu rozstrzygnięć. Dodatkowo przemawia za tym argument, podniesiony przez Skarżącą, iż ustawodawca w art. 141 § 2 ppsa odwołał się do pojęcia sprawy. Sprawę zaś stanowi całość rozstrzyganego przez Sąd zagadnienia.
W ocenie Naczelnego Sądu Administracyjnego nie sporządzając uzasadnienia z urzędu, WSA w Warszawie naruszył przepis art. 141 § 1 w związku z § 2 ppsa. Wskazano też, że uzasadnienie sporządzono w późniejszym terminie na wniosek, ale nie odpowiadało ono w pełni warunkom przewidzianym w art.141 § 4 ppsa. NSA podniósł, że w uzasadnieniu odnoszącym się do części oddalającej skargę trudno dopatrzyć się wyjaśnienia podstawy prawnej rozstrzygnięcia. Sąd przytoczył w nim jedynie obowiązujące w tej mierze przepisy, nie odnosząc się do zarzutów Spółki. W konkluzji NSA stwierdził, że takie ogólnikowe i lakoniczne uzasadnienie, pozbawiając stronę informacji o przesłankach rozstrzygnięcia, narusza prawo i może stanowić podstawę skargi kasacyjnej z art. 174 pkt 2 ppsa.
W zawartych w uzasadnieniu wytycznych Naczelny Sąd Administracyjny podkreślił, iż przesłanki przetwarzania danych zawarte w art. 23 ust.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, mają charakter autonomiczny i są, co do zasady równoprawne. Wspomniana równoprawność nie oznacza jednak, iż obojętne jest w oparciu, o jaką z nich prowadzone jest przetwarzanie danych, ich konsekwencje prawne nie są bowiem identyczne, o czym świadczy m. in. art. 32 ust. 1 pkt 7 i 8 uodo. Zdaniem NSA istotne jest w przedmiotowej sytuacji ustalenie, czy podstawą przetwarzania danych przez Skarżącą była zgoda osoby, której dane ulegały przetworzeniu, czy przepis prawa, bądź też czy podstawa ta wynikała z niezbędności wypełniania usprawiedliwionych celów administratorów czy odbiorców danych, a przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczą. Sąd pierwszej instancji nie ustalił tego faktu oraz nie ocenił zaskarżonej decyzji z punktu widzenia powołanych podstaw przetwarzania. Tymczasem podstawy te rzutują na szereg kwestii, m. in. na zakres zbieranych i przetwarzanych danych, warunki tych czynności, ich ewentualną adekwatność czy niezbędność.
Odnosząc się do legalności przetwarzania danych osobowych, NSA wskazał na art. 23 ust. 1 pkt 1 uodo, który zezwala na przetwarzanie danych za zgodą osoby, której dane dotyczą, chyba, że chodzi o usunięcie dotyczących jej danych. NSA podkreślił, że zgoda taka ma charakter oświadczenia woli, co oznacza konieczność badania jej skuteczności z różnych punktów widzenia. Między innymi winna być ona wyraźna. Nie wystarczy, zatem samo powiadomienie o zamiarze przetwarzania danych i brak sprzeciwu z drugiej strony. Nie musi być, co prawda udzielona na piśmie, ale winna jasno i jednoznacznie prezentować wolę zainteresowanego i jej zakres. NSA stwierdził, że udzielający zgody musi być przy tym zorientowany, o jakie dane chodzi i o jakie ich przetwarzanie, w tym zwłaszcza, do jakich celów. Sposób poinformowania musi być zrozumiały i nie może dotyczyć bliżej niedookreślonych czynności. Przetwarzanie i wykorzystanie danych powinno następować tylko w tym celu, dla którego zostały pozyskane i cel ten powinien być znany osobie, której dane dotyczą. Oznacza to obowiązek informowania o celu gromadzenia i zakaz zbierania danych na zapas, dla nieokreślonych lub niedających się określić celów.
Ponieważ zgoda taka stanowi oświadczenie woli, należy ją tłumaczyć w sposób, jaki wymagają, ze względu na okoliczności, w których została złożona zasady współżycia społecznego i ustalone zwyczaje. Na podstawie art. 23 ust. 2 uodo zgoda taka może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. Jedynie, gdy przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, a spełnienie warunku uzyskania zgody nie jest możliwe, można na podstawie ust. 3 przetwarzać dane bez zgody tej osoby do czasu, gdy uzyskanie zgody będzie możliwe.
W uzasadnieniu wyroku NSA stwierdził, że w każdym przypadku dane winny być przetwarzane, zgodnie z art. 26 ust.1 pkt 3 uodo, a zatem muszą być merytorycznie poprawne i adekwatne w stosunku do celów. Oznacza to, zdaniem Naczelnego Sądu Administracyjnego, iż zebrane dane osobowe powinny być związane z celem przetwarzania. Cel ten powinien być wyraźnie określony, tak aby można było zbadać, czy zbierane dane nie wykraczają poza jego ramy, a więc czy są adekwatne w stosunku do potrzeb.
W dalszej części uzasadnienia Naczelny Sąd Administracyjny wskazał na konieczność rozważenia legalności przetwarzania danych osobowych w kontekście art. 23 ust. 1 pkt 2 uodo. Jest to dopuszczalne w przypadku niezbędności zrealizowania uprawnienia lub obowiązku, na które nie uzyskano zgody danej osoby W tym zakresie NSA zwrócił uwagę, że:
1. powinna istnieć normatywna podstawa prawna danego uprawnienia lub obowiązku,
2. przetwarzanie danych winno być w celu realizacji tych danych niezbędne
W kontekście podstawy prawnej przywoływanej przez skarżącego, jako uzasadnienie jego działań NSA wskazał, iż art. 18 ust. 1 ustawy o działalności ubezpieczeniowej ma charakter statystyczny, na co wskazuje jego ust. 3, a w pozostałym zakresie formułuje mechanizm tworzenia oferty ubezpieczeniowej. Wskazanie podstawy przetwarzania danych wymagałoby, więc określenia zakresu niezbędnych danych przetwarzanych bez zgody osoby, której dotyczą, bez których nie byłoby możliwe zrealizowanie powyższych uprawnień, przy uwzględnianiu faktu, że ubezpieczenie jest realizowane na wniosek.
NSA podkreślił, że przewidziana w art. 23 ust. 1 pkt 5 uodo, niezbędność wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie danych nie narusza innych ustaw i wolności osoby, której dotyczą, obliguje Sąd w sytuacji, gdyby ustalono, że podstawy przetwarzania danych nie stanowiła zgoda zainteresowanego do zanalizowania, czy nie istniała przesłanka działania administratora na podstawie art. 23 ust. 1 pkt 5 uodo. NSA podniósł, że badając pod tym kątem sprawę sąd pierwszej instancji powinien wziąć pod uwagę, iż ww. przepis dotyczy jedynie celów prawnie usprawiedliwionych, a zgodnie z art. 23 ust. 4, za takie okoliczności uważa się marketing bezpośredni własnych produktów lub usług administratora, czy dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Cel takiego działania musi być usprawiedliwiony prowadzoną działalnością i charakterem administratora, przy czym nie może on naruszać prawa i zasad współżycia społecznego
W konsekwencji oznacza to, iż działalność prowadzona dla celów marketingowych, w tym dla proponowania innych umów ubezpieczeniowych, może być dopuszczalna, bez zgody zainteresowanego, w świetle art. 23 ust. 1 pkt. 5 uodo. Winna ona jednak wówczas odpowiadać bardziej restryktywnym warunkom. Nie wystarczy już bowiem tylko, aby dane te były, w świetle art. 26 ust. 1 pkt 3, merytorycznie poprawne i adekwatne do celów, ale muszą być one niezbędne do wypełnienia usprawiedliwionych celów administratora danych i odbiorców danych oraz nie naruszać praw i wolności osoby, której dane dotyczą. Wskazuje to na wyższe wymogi ustawowe. Stąd, jeżeli dane przetwarzane są po wyrażeniu zgody, ale nie są adekwatne, nie mogą być legalizowane przesłanką z art. 23 ust. 1 pkt 5 uodo.
Odnosząc się do legalności przetwarzania danych w kontekście tej przesłanki NSA podkreślił, iż przetwarzanie w oparciu o art. 23 ust. 1 pkt 5 uodo musi być:
1. niezbędne, tzn. mogą być wykorzystywane do niego tylko te dane, które są konieczne dla wypełnienia usprawiedliwionych celów administratora i odbiorcy danych;
2. przetwarzanie takie nie może naruszać praw i wolności osoby, której dane dotyczą.
Oznacza to w konsekwencji, iż wynik oceny uzależniony będzie od tego, czy w sprawie przeważać będzie usprawiedliwiony interes administratora danych (odbiorcy) czy osoby, której dane dotyczą. Interesy te mogą być ważone według różnych kryteriów. NSA zauważył, że można przetwarzać dane w oparciu o tę podstawę jedynie wówczas, gdy dopuszczenie do ich przetwarzania jest dla zainteresowanego korzystne w takim stopniu, iż nie zarzuci on administratorowi naruszenia swych praw i wolności. Ocenę tę należy przy tym, zdaniem Naczelnego Sądu Administracyjnego, odnieść do przeciętnego posiadacza danych.
Formułując wytyczne NSA stwierdził, iż przy ponownym rozpatrzeniu sprawy Sąd winien ocenić zaskarżoną decyzję z punktu widzenia możliwości przetwarzania danych przez Skarżącą, wynikających z art. 23 ust.1 pkt 1, 2 i 5 uodo. Należy przy tym uwzględnić fakt, iż ustawa stawia wyższe wymogi przetwarzania danych bez zgody zainteresowanego, niż za jego zgodą. Pierwsze z nich muszą być bowiem m.in. niezbędne i ważone z punktu widzenia porównania usprawiedliwionych celów administratora bądź odbiorcy danych, a praw i wolności posiadacza tych danych. Drugie natomiast, o ile nie zawierają wad oświadczenia woli, winny być jedynie merytorycznie poprawne i adekwatne. Oznacza to w konsekwencji, iż nie można legalizować danych przetwarzanych za zgodą danej osoby, lecz nieadekwatnych - przesłanką wynikającą z art. 23 ust.1 pkt 2 czy 5 uodo. Z tych ostatnich przesłanek wynikają bowiem bardziej restryktywne wymogi.
Naczelny Sąd Administracyjny oddalił skargę kasacyjną w zakresie punktu 4 zaskarżonego wyroku, odnośnie kosztów postępowania oraz nie uwzględnił też wniosku Spółki o wstrzymanie wykonania zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Na wstępie należy wskazać, że zgodnie z art. 190 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.) sąd, któremu sprawa została przekazana, związany jest wykładnią prawa dokonaną w tej sprawie przez Naczelny Sąd Administracyjny.
W przedmiotowej sprawie NSA stwierdził, że dla prawidłowości rozstrzygnięcia Wojewódzki Sąd Administracyjny w Warszawie winien, kierując się dyspozycją przepisu art.,141 § 1 w związku z art. 141 § 2 ppsa sporządzić uzasadnienie, co do całości rozstrzygnięcia albowiem koniecznym jest odniesienie, co do całości stawianych zarzutów wobec organu, w tym także naruszenia przez GIODO art. 7,9, czy 107 Kpa, tak aby dać możliwość odniesienia się stronie skarżącej do twierdzeń Sądu i dać możliwość obrony.
Nadto Naczelny Sąd Administracyjny określił wytyczne, jakimi powinien kierować się sąd pierwszej instancji badając ponownie sprawę, a mianowicie stwierdził, że zaskarżoną decyzję należy ponownie ocenić z punktu widzenia możliwości przetwarzania danych przez Skarżącą na podstawie art. 23 ust.,1 pkt 1, 2 i 5 uodo.
W sprawie należy wskazać, że Naczelny Sąd Administracyjny uchylił pkt 2 wyroku Wojewódzkiego Sądu Administracyjnego z dnia 20 kwietnia 2006 r. W tym punkcie sąd pierwszej instancji oddalił skargę A. Towarzystwa Ubezpieczeń S.A. na decyzję Generalnego Inspektora Danych Osobowych dnia [...] lipca 2004 r. nr [...], która utrzymywała w mocy pkt I:
- ppkt 1 (nakaz zaprzestania zbierania danych osobowych potencjalnych klientów w zakresie szerszym niż jest to niezbędne dla realizacji celów przetwarzania danych - przedstawienia telefonicznej oferty ubezpieczeniowej- tj.: imienia, nazwiska, daty urodzenia, adresu zameldowania lub zamieszkania, numeru telefonu, od dnia, kiedy niniejsza decyzja stanie się ostateczna)
- ppkt 3 (nakaz usunięcia danych osobowych osób, z którymi nie zawarto umowy ubezpieczenia, od dnia, kiedy decyzja stanie się ostateczna) decyzji GIODO z dnia [...] kwietnia 2004 r.
Oznacza to, że ponownie rozpatrując sprawę należy odnieść się do pkt I ppkt 1 i ppkt 3 decyzji GIODO z dnia [...] kwietnia 2004 r.
Rozpoznając sprawę zgodnie z wytycznymi Naczelnego Sądu Administracyjnego należy stwierdzić, ze stan faktyczny ustalony w sprawie nie budzi wątpliwości. Bezspornym jest, iż procedura zbierania danych osobowych od klientów Skarżącej polegała na tym, że dzwoniący pod numer telefonu [...] (prefiks [...]) [...] uzyskiwał informację wynikającą z art. 24 uodo, że rozmowa jest nagrywana. Operator informował potencjalnego klienta, że w przypadku wyrażenia zgody na przetwarzanie danych osobowych przez Spółkę (w tym także w celach marketingowych) powinien zaczekać na zgłoszenie się konsultanta, a w przypadku niewyrażenia zgody powinien się rozłączyć. Po połączeniu z centrum sprzedaży, konsultant przypomina dzwoniącemu, że rozmowa jest nagrywana, a jego dane zostaną zarejestrowane w bazie danych, następnie pyta o wyrażenie zgody na przetwarzanie danych osobowych przez Spółkę. W przypadku, gdy rozmówca udzieli odpowiedzi odmownej konsultant rozłącza się. Po uzyskaniu zgody na przetwarzanie danych osobowych, konsultant zawraca się do rozmówcy, aby ten podał dane: imię i nazwisko głównego użytkownika pojazdu, datę urodzenia, adres zameldowania lub zamieszkania i numer telefonu, nadto klient musi podać informacje dotyczące historii pojazdu. Podanie tych danych jest obowiązkowe na etapie tworzenia oferty. Potencjalny klient może także podać dane dodatkowe takie jak: numer PESEL, stan cywilny, wykształcenie i zawód. A. Towarzystwo Ubezpieczeń S.A. przedstawia swoja ofertę ubezpieczeniową jedynie osobom, które podadzą dane. Bezspornym jest również, że Skarżąca Spółka nie udziela informacji o produktach bez podania danych osobowych, ponieważ jak twierdzi nie posiada globalnych produktów ubezpieczeniowych, a w jej ofercie są jedynie produkty zindywidualizowane. Dane te są od razu wprowadzane do systemu informatycznego Spółki (dowód protokół kontroli k. [...] akt administracyjnych). Jednocześnie, zgodnie z procedurą [...], dotyczącą postępowania w sytuacji zgłoszenia przez klienta żądania usunięcia jego danych osobowych, Spółka przewiduje usuniecie tych danych w przypadku, gdy klient nie zaakceptuje oferty ubezpieczeniowej, nie odebrał przesyłki lub nie opłacił składki. W sytuacji, gdy klient po przeprowadzonej rozmowie zażąda usunięcia danych osobowych wówczas konsultant zaznacza status klienta "GIODO- usunąć dane". Taka sama procedura dotyczy również przypadków, gdy klient twierdzi, że jest w bazie danych i żąda ich usunięcia, bądź nie odebrał polisy lub nie opłacił składki.
Powyższy stan faktyczny nie był przez skarżącą Spółkę kwestionowany ani w toku postępowania administracyjnego (we wniosku o ponowne rozpatrzenie sprawy), ani na etapie wniesienia skargi, jak i postępowania sądowego.
Stan faktyczny sprawy jest zatem bezsporny. Sporne jest, czy działania spółki, to jest przetwarzanie danych osobowych, były legalne w świetle art. 23 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 920), a tym samym czy zaskarżona decyzja odpowiada prawu. Badając legalność zaskarżonej decyzji Sąd zważył, co następuje.
Przepis art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych stanowi, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Ustawa z dnia 29 sierpnia 1997 r. nie precyzuje pojęcia "zgody", dlatego też etymologii tego słowa należy poszukiwać w przepisach kodeksu cywilnego dotyczącego oświadczeń woli (Tytuł IV Księgi Pierwszej KC). Dokonując wykładni językowej, systemowej i funkcjonalnej cytowanego wyżej przepisu Sąd stwierdza, iż przez zgodę osoby, której dane dotyczą rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych wyrażającego zgodę. Zgoda taka powinna być konkretna. Jak bowiem zauważył Naczelny Sąd Administracyjny w wyroku z dnia 4 kwietnia 2003 r. sygn. akt II S.A 2135/02 "zgoda na przetwarzanie danych osobowych musi być wyraźna. Nie spełnia tego wymagania podpisanie oświadczenia o wyrażeniu zgody na przetwarzanie danych, stanowiącego dodatkowy element innego zobowiązania niezawierającego informacji o celach i zakresie przetwarzania tych danych" (Wokanda nr [...] z roku 2004). W tym miejscu warto wskazać, że Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urzęd. WE seria L Nr 281 poz. 31) w art. 7 lit. a podkreśla konieczność "jednoznaczności" wyrażenia zgody przez osobę, od której są pobierane dane osobowe. Treść ww. dyrektywy, podobnie jak uzasadnienie cytowanego wyroku NSA z dnia 4 kwietnia 2003 r. wskazuje, że zgoda taka powinna być uzyskana zgodnie z zasadami współżycia społecznego. Wprawdzie pojęcie zasad współżycia społecznego jest szerokie i niedookreślone, to zdaniem Sądu oznacza, iż osoba, od której uzyskano zgodę, powinna wiedzieć jaki jest zakres udzielanej zgody, jakie zatem jej dane będą przetwarzane, przez kogo i w jakim celu. Ponadto zgodnie z treścią art. 23 ust. 2 uodo zgoda taka powinna obejmować zgodę na przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetworzenia. W rozpatrywanej sprawie bezspornym jest, że osoba dzwoniąca pod podany przez Spółkę numer telefonu, już na etapie wstępnym połączenia miała obowiązek wyrażenia zgody na przetwarzanie danych osobowych. Brak takiej zgody powodował rozłączenie rozmowy. Brak zgody na przetwarzanie danych osobowych uniemożliwiał zapoznanie się z ofertą A. Towarzystwa Ubezpieczeń S.A. Zgoda na podanie danych osobowych była więc warunkiem sine qua non otrzymania oferty umowy ubezpiczenia. Tak zatem, każda osoba, która dzwoniła pod podany przez Skarżącą numer telefonu, w celu zapoznania się z ofertą umów ubezpieczeniowych Skarżącej, już na bardzo wstępnym etapie połączenia miała obowiązek wyrażenia zgody na przetwarzanie swoich danych osobowych, przy czym sformułowanie pytania ze strony A. Towarzystwa Ubezpieczeń S.A. nie wskazywało, że zgoda na przetwarzanie danych osobowych dotyczy także przetwarzania tych danych w przyszłości, np. w celu zawiadomienia o innych ofertach ubezpieczyciela. W ocenie Sądu stosowana przez A. konstrukcja rozmowy wymuszała więc zgodę osoby dzwoniącej. Konstrukcja, forma, swoiste ultimatum, które zawierała rozmowa powoduje, iż w żaden sposób nie można przyjąć, że osoba wyrażająca zgodę wiedziała o tym, jaki jest zakres żądanych danych osobowych i przez jaki okres czasu będą one przetwarzane. Nieznany też był jej, cel "pobrania" danych. Chcąc zapoznać się wstępnie z "produktem" A. Towarzystwa Ubezpieczeń S.A. osoba dzwoniąca zmuszana była do wyrażenia zgody na podanie danych osobowych nie wiedząc, jaki jest zakres wyrażanej zgody. W uproszczeniu była to niejako zgoda in blanco, co nie jest w żaden sposób uzasadnione, a w świetle art. 23 ust. 1 pkt 1 uodo niedopuszczalne. Dodać należy, iż "pobieranie" w ten sposób zgody od osób dzwoniących, pod podany przez przedsiębiorcę numer telefonu, jest nie tylko bezprawne, ale też nierzetelne, bowiem stawia osobę dzwoniącą w sytuacji, w której uzyskana zgoda jest wymuszana, uzyskana poprzez ulitamtum, nie gwarantująca, że osoba dzwoniąca wie, na co zgodę wyraziła. Dodać należy, że w procedurach, w których osoba wyraża oświadczenie woli ustnie, wymagana jest szczególna ostrożność, tak aby mieć pewność zarówno, co do treści składanego oświadczenia, jego zakresu, jak i tego, że nie jest ono dotknięte wadami oświadczenia woli wymienionymi w art. 82-88 Kodeksu cywilnego. Dlatego uznać należy, iż opisane postępowanie Skarżącej jest sprzeczne z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, bowiem procedura uzyskiwania oświadczenia woli (zgody) od osoby dzwoniącej jest tak skonstruowana, że jeszcze przed zawarciem umowy daje ona faktycznie zgodę na przetwarzania swoich danych osobowych w nieokreślonym zakresie i celu. Reasumując uznać należało, iż nadużyciem prawa było przyjęcie założenia przez Spółkę, iż posiadała ona zgodę na przetwarzanie danych osobowych potencjalnych klientów.
Przechodząc do kolejnej przesłanki legalizującej przetwarzanie danych osobowych określonej w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych Sąd zważył, co następuje. Przepis art. 23 ust. 1 pkt 2 stanowi, że przetwarzanie danych osobowych jest dopuszczalne wówczas, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przepis ten powinien być rozpatrywany w kontekście art. 23 ust. 1 pkt 1 uodo (por. G. Szpor Publiczno prawna ochrona danych osobowych PUG Nr 12/1999), bowiem udzielana zgoda osoby na przetwarzanie jej danych osobowych, dotyczy tylko takich, które są merytoryczne poprawne i adekwatne. Podnieść należy, że motyw 22 preambuły do Dyrektywy 95/46/WE wyraźnie stanowi, że przetwarzane dane powinny być zgodne z prawem, adekwatne i nie mogą wykraczać poza cele, dla których są przetwarzane. Treść motywu jest następnie rozwinięta w art. 7 lit. b, c. Przepisy te wskazują, iż adekwatność zbieranych danych osobowych jest uzasadniona, m. in. koniecznością realizacji umowy, której stroną jest osoba, której dane dotyczą lub podjęcie działań na życzenie osoby, której dane dotyczą, przed zawarciem umowy lub przetwarzanie danych jest konieczne dla zgodności z zobowiązaniem prawnym, któremu administrator danych podlega. Adekwatność pobranych danych osobowych pobieranych przez administratora należy, więc przyjmować w dwojaki sposób:
- konieczność posiadania danych osobowych w związku z zawarciem umowy cywilnoprawnej,
- konieczność wykonania przez administratora obowiązków nałożonych na niego przez inne przepisy prawa.
W rozpatrywanej sprawie administrator danych, A. Towarzystwo Ubezpieczeń S.A., na etapie wstępnym przed przedstawieniem oferty dla celów, jak twierdzi tworzenia danych oraz oferty pobiera od osoby dzwoniącej, zainteresowanej ofertą, takie dane osobowe jak: imię i nazwisko głównego użytkownika pojazdu, datę urodzenia, adres zameldowania lub zamieszkania oraz numer telefonu i historię pojazdu. Nadto osoba dzwoniąca może fakultatywnie podać dane dodatkowe, takie jak: numer PESEL, stan cywilny, wykształcenie i zawód.
Zdaniem Sądu nie wszystkie uzyskane w trakcie rozmowie telefonicznej dane osobowe są niezbędne do zawarcia umowy, tym bardziej nie są one niezbędne na wstępnym etapie tworzenia oferty dla konkretnego użytkownika. Na etapie przygotowania oferty nie ma potrzeby uzyskiwania od osoby dzwoniącej danych osobowych w postaci jej imienia, nazwiska, daty urodzenia. W ocenie Sądu dane te są zbędne, albowiem na tym etapie rokowań nie wiadomo czy dojdzie do zawarcia umowy cywilnoprawnej. Twierdzenie skarżącej, iż zbieranie tych danych jest niezbędne na etapie wstępnym, albowiem umożliwia to stworzenie zindywidualizowanego "produktu" ubezpieczeniowego dostosowanego do potrzeb potencjalnego klienta, uznać należało za nieprzekonujące. Dla stworzenia oferty ubezpieczenia wystarczy bowiem podanie wieku, miejsca zarejestrowania pojazdu, roku produkcji i marki samochodu. Szersze dane osobowe niezbędne byłyby, gdyby strony zawarły umowę. Zgodnie z art. 18 ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (Dz. U. z 2003 r. Nr 124, poz. 1151 ze zm.) zakład ubezpieczeń ma obowiązek wyliczenia wysokości składki ubezpieczeniowej po dokonaniu ryzyka ubezpieczeniowego. Nie można kwestionować prawa Skarżącej do obliczania ryzyka ubezpieczeniowego i żądania niezbędnych danych celem jego obliczania jednak należy wskazać, że art. 18 ust. 1 ustawy o działalności ubezpieczeniowej "potwierdza niekwestionowane prawo zakładu ubezpieczeń, uzupełnione jedynie dyrektywą racjonalnego wymiaru przez stosowanie underwritingu, obejmującego czynności mające na celu opracowanie, zaakceptowanie na odpowiednich warunkach lub odrzucenie ryzyka" (Prawo ubezpieczeń Ustawy z komentarzem red. S. Rogowskiego Warszawa 2004 s. 37), a zatem dotyczy on kwestii związanych z konstruowaniem ryzyka ubezpieczeniowego dla potrzeb zakładu ubezpieczeń. Stwierdzić zatem należy, że przepis art. 18 ust. 1 ustawy o działalności ubezpieczeniowej w żaden sposób nie wskazuje na konieczność zbierania przez A. Towarzystwo Ubezpieczeń S.A na etapie tworzenia oferty takich danych jak: imię i nazwisko, data urodzenia, adres zameldowania oraz numer telefonu. Również pozostała cześć art. 18 ustawy o działalności ubezpieczeniowej nie statuuje takiego obowiązku, bowiem art. 18 ust. 2 dotyczy wskazania wysokości składki, zaś art. 18 ust. 3 wskazuje na obowiązek zbierania danych statystycznych przez zakład ubezpieczeń, a art. 18 ust. 4 i art. 18 ust. 5 dotyczą kwestii związanych z ustalaniem składki wysokości ubezpieczeniowej. Obowiązek zbierania danych osobowych przez ubezpieczyciela na etapie tworzenia oferty nie wynika także z innych przepisów prawa, w tym przede wszystkim mających podstawowe znaczenie dla funkcjonowania rynku ubezpieczeń majątkowych przepisów art. 805-814 KC (por. M. Krajewski Umowa ubezpieczenia. Art. 805-834.Komentarz Warszawa 2004). Podniesiony przez Skarżącą zarzut, że konieczność zbierania wyżej wymienionych danych osobowych wynika z art. 3 ust. 2 ustawy o działalności ubezpieczeniowej nie znajduje potwierdzenia ani uzasadnienia w treści omawianego przepisu. Przepis ten bowiem stanowi, że przez działalność ubezpieczeniową rozumie się wykonywanie czynności ubezpieczeniowych związanych z oferowaniem i udzielaniem ochrony na wypadek ryzyka wystąpienia skutków losowych. Powyższy przepis ma charakter ogólny wskazujący na to, czym jest działalność objęta regulacją ustawy z dnia 22 maja 2003 r. Zgodnie z treścią tego przepisu, działalność ubezpieczeniowa polega m.in. na oferowaniu produktów ubezpieczeniowych. Oferowanie produktów ubezpieczeniowych polega na ich reklamowaniu, przedstawianiu wariantów ubezpieczenia. Do złożenia przez ubezpieczyciela oferty nie są niezbędne dane osobowe. Jedynie część danych osobowych jako essentialia negotia jest niezbędna przy zawarciu przyszłej umowy ubezpieczenia. Brak jest, więc podstawy prawnej, która już na etapie tworzenia wstępnej oferty dla osoby dzwoniącej uzasadniałby pobieranie takich danych osobowych jak: imię, nazwisko, data urodzenia, adres zamieszkania i numer telefonu. Nawet przy uzyskaniu zgody osoby dzwoniącej, pobieranie takich danych przez A. Towarzystwo Ubezpieczeń S.A., nie spełnia kryterium adekwatności określonego w art. 23 ust. 1 pkt 2 uodo.
Odnosząc się do kolejnej przesłanki legalizującej przetwarzanie danych osobowych określonej w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, Sąd zważył, co następuje. Wykładnia tego przepisu prowadzi do stwierdzenia, że zezwala on na przetwarzanie danych osobowych bez zgody zainteresowanego, jeżeli jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów, realizowanych przez danych odbiorców, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Zgodnie z art. 23 ust. 4 uodo za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 2 uodo uważa się w szczególności: marketing bezpośredni własnych produktów lub dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Treść omawianego przepisu wskazuje na bardziej ostre wymogi ustawowe, gdy chodzi o przetwarzanie danych osobowych bez zgody osoby zainteresowanej niż wtedy gdy administrator danych taką zgodę posiada. Tak więc, jeśli dane przetwarzane są po wyrażeniu zgody, ale nie są adekwatne, nie mogą być legalizowane przesłanką z art. 23 ust. 1 pkt 5 uodo. Przepis ten statuuje, zatem dwie przesłanki przetwarzania danych: pozytywną polegającą na niezbędności danych osobowych dla realizacji prawnie określonych celów i negatywną nienaruszalność przy tym praw i wolności obywatelskich. Obie te przesłanki muszą być spełnione łącznie.
Jak wykazano wyżej, trudno dopatrywać się prawnie usprawiedliwionego celu w przetwarzaniu przez A. Towarzystwo Ubezpieczeń S.A. danych osobowych osób, które chcą jedynie zapoznać się z ofertą Spółki w treści art. 3 ust. 1 i art. 18 ustawy o działalności ubezpieczeniowej. Przepisy te nie mogą stanowić przesłanki legalizującej przetwarzanie danych, tym bardziej, że posiadane przez Spółkę dane osobowe dotyczą osób, z którymi nie zawarto umowy. Jest oczywistym, iż prawnie usprawiedliwionego celu nie można dopatrywać się ewentualnie w przyszłym dochodzeniu roszczeń z tytułu prowadzonej działalności ubezpieczeniowej, ponieważ przechowywane dane dotyczą osób, z którymi nie zawarto umowy, a więc zakładu ubezpieczeń nie łączy z tymi osobami żaden stosunek obligacyjny, który mógłby być podstawą ewentualnego, przyszłego roszczenia.
Dokonując oceny legalności przetwarzania posiadanych przez Skarżącą danych osobowych na cele marketingu bezpośredniego Sąd zważył, iż przetwarzane dane muszą spełniać przesłankę pozyskania ich w prawidłowy sposób i powinny być adekwatne do prowadzonej działalności. Jak wynika z akt sprawy dane osobowe osób, z którymi nie podpisano umowy zawierały takie same informacje, jak dane osób, z którymi zawarto umowę. W tej sytuacji trudno jest mówić, aby te dane były adekwatne do prowadzonej akcji marketingowej, dla której wystarczałby adres oraz imię i nazwisko osoby, której chce się przedstawić ofertę. Należy tu dodatkowo wskazać, iż jak wynika materiału dowodowego zebranego w sprawie (akt kontroli), konsultant w trakcie rozmowy telefonicznej nie pytał osoby dzwoniącej o zgodę na przetwarzanie jej danych osobowych w celach marketingowych. Praktyka powyższa zmieniała się dopiero w trakcie kontroli przeprowadzonej przez GIODO, a zatem osoba dzwoniąca nie miała świadomości, iż podane przez nią dane będą wykorzystywane w celach marketingowych. Reasumując, stwierdzić należy, iż posiadane przez Skarżącą dane osobowe nie były, zatem pozyskane w sposób zgodny z prawem.
Jest oczywistym, że zgodnie z art. 20 Konstytucji RP przedsiębiorcy mają swobodę działalności gospodarczej. Swoboda ta odnosi się również do działalności marketingowej. Jednak ta swoboda nie może być dowolna. Ogranicza ją m.in. przepis art. 47 Ustawy Zasadniczej wskazujący na ochronę życia prywatnego. Ochrona ta dotyczy także danych osobowych (por. G. Sibiga Postępowanie w sprawach ochrony danych osobowych" Warszawa 2003 s. 22-25). Oznacza to, iż uprawnienia przedsiębiorcy do działalności, polegającej na sprzedaży swoich produktów, nie mogą naruszać prawa do prywatności. W sytuacji, gdy podmiot prowadzący daną działalność gospodarczą, uzyskuje w sposób nieprawidłowy dane osobowe określonej osoby, przetwarza te dane dla celów marketingowych, a posiadane dane są nieadekwatne do prowadzonej działalności, naruszone jest prawo do prywatności osoby, której dane osobowe są przetwarzane. Przeciętnie zainteresowany konsument dzwoniący do A., który chce się jedynie zapoznać z ofertą Spółki nie wie, jaki jest zakres przetwarzania jego danych osobowych zwłaszcza, jeśli nie zawarł umowy z zakładem ubezpieczeń. Przyjąć należy, że taka osoba liczy na to, że usunięto jej dane osobowe, a więc nie będzie adresatem działalności marketingowej ze strony skarżącej. Tymczasem, jak wynika z materiału dowodowego, A. Towarzystwo Ubezpieczeń S.A. traktuje taką osobę jak potencjalnego klienta i niepokoi go propozycjami, których jak wynika z faktu niepodpisania umowy, nie chce ona otrzymywać (chyba że wyraziła wyraźną wolę, iż chce aby jej dane były wykorzystywane do celów marketingowych). Tak więc, w rozpatrywanej sprawie brak jest podstaw do uznania, że Skarżąca w zakresie przetwarzania danych osobowych osób, z którymi nie podpisała umowy działała na podstawie art. 23 ust. 1 pkt 5 uodo.
Reasumując uznać należało, iż po stronie skarżącej nie wystąpiły przesłanki legalizujące przetwarzanie przez nią danych osobowych zarówno w stosunku do osób, z którymi zawarła umowy ubezpieczenia, jak i w stosunku do osób, z którymi Spółka zaprzestała kontaktu na etapie rokowania lub po nieprzyjęciu oferty przez klienta. Skoro tak, to za trafną i zasadną należy uznać zaskarżoną decyzję Generalnego Inspektora Ochrony Danych Osobowych
Mając powyższe na względzie Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 w związku z art. 132 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w sentencji.