II SA/Wa 277/04

II SA/Wa 277/04 - Wyrok WSA w Warszawie
Data orzeczenia
2004-11-17
orzeczenie prawomocne
Data wpływu
2004-03-16
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Eugeniusz Wasilewski
Ewa Kwiecińska
Małgorzata Borowiec /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący sędzia NSA Małgorzata Borowiec (spraw.), Sędziowie sędzia WSA Ewa Kwiecińska, sędzia WSA Eugeniusz Wasilewski, Protokolant Anna Żmijewska, po rozpoznaniu na rozprawie w dniu 17 listopada 2004 r. sprawy ze skargi W.S. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...]grudnia 2003 r. nr [...] w przedmiocie usunięcia uchybień w procesie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Decyzją z dnia [...]grudnia 2003r. Generalny Inspektor Ochrony Danych Osobowych -na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 1 w zw. z art. 24 ust. 1 pkt 1, pkt 3, pk4, art. 31 ust. 2, art. 39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) oraz § 2, §3, §4, §5, §6 ust. 1, §7 ust. 1, §8 , §11 ust. 1, §16 pkt 1, pkt 3, pkt 4, §17 rozporządzenia Ministra Spraw Wewnętrznych i Administracyjnych z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku W.S. prowadzącego działalność gospodarczą pod nazwą Przedsiębiorstwo T. siedzibą w M. o ponowne rozpatrzenie sprawy zakończonej decyzją GIODO z dnia [...]października 2003 r., znak: [...], utrzymał w mocy zaskarżoną decyzję.
Decyzją z dnia [...] października 2003 r., Generalny Inspektor Ochrony Danych Osobowych nakazał W..
- usunięcie uchybień w procesie przetwarzania danych osobowych, przez określenie zakresu i
celu przetwarzania danych osobowych przez zleceniobiorcę, czyli E.W.i P.K. prowadzących działalność gospodarczą pod nazwą T. s.c. w związku z umową zawartą z W.S. prowadzącym działalność pod nazwą Przedsiębiorstwo T.),
- dopełnienie obowiązku informacyjnego wobec osób, których dane osobowe pozyskane
zostały przez E. W. i P. K., w ramach kontroli biletów w
celu wystawienia dokumentu o nazwie "Opłata dodatkowa kredytowa /wezwanie do zapłaty/"
w zakresie adresu siedziby i pełnej nazwy administratora danych osobowych tj. W.S..
We wniosku o ponowne rozpatrzenie sprawy przedsiębiorca podniósł, iż Przedsiębiorstwo T. nie zajmuje się przetwarzaniem danych osobowych, a jedynie transportem osobowo-towarowym. Powyższy fakt potwierdza zaświadczenie o wpisie do ewidencji działalności gospodarczej. Ponadto, zaświadczenie o uzyskaniu numeru ewidencyjnego REGON wskazuje, że podstawowym rodzajem działalności przedsiębiorstwa jest "pozostały pasażerski transport rozkładowy lądowy", natomiast drugorzędnym rodzajem działalności jest "towarowy transport drogowy". W związku z powyższym Przedsiębiorstwo T. nie może zostać uznane za administratora danych w znaczeniu art. 7 pkt 4 ustawy o ochronie danych osobowych, natomiast decyzja Generalnego Inspektora Danych Osobowych z dnia [...]października 2003 r., znak: [...]jest wadliwa z uwagi na błędne oznaczenie podmiotu decyzji.
Jednocześnie przedsiębiorca wskazał, iż z umowy zawartej pomiędzy Przedsiębiorstwem T. a T. s. c. wynika, że przedmiotem zlecenia jest prowadzenie czynności polegających na kontroli biletowej za wynagrodzeniem pochodzącym z wpływów z opłat specjalnych pobieranych od pasażerów za jazdę bez ważnego biletu i przewóz bagażu.
Generalny Inspektor Ochrony Danych Osobowych stwierdził, że zgodnie z art. 31 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) administrator danych może powierzyć innemu pomiotowi, w drodze umowy zawartej w piśmie, przetwarzanie danych osobowych. Natomiast stosownie do art. 31 ust. 2 ustawy, podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
Organ ustalił, ze postanowienia umowy zawartej w dniu [...] stycznia 2002 r. pomiędzy E. W. i P.K. prowadzącymi działalność gospodarczą pod nazwą T. s.c. a W. S., prowadzącym działalność pod nazwą Przedsiębiorstwo T. nie określają zakresu i celu przetwarzania danych osobowych przez zleceniobiorcę.
Generalny Inspektor Ochrony Danych Osobowych wskazał, iż w myśl art. 7 pkt 4 ustawy o ochronie danych osobowych administratorem danych jest organ, instytucja, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ust. 1 i 2 powołanej wyżej ustawy , decydująca o celach i środkach przetwarzania danych. Natomiast przepis art. 33a ust. 1 ustawy z dnia 15 listopada 1984 r. Prawo przewozowe (Dz. U. z 2000 r. Nr 50, poz. 601 z późn. zm.) przewoźnik lub osoba przez niego upoważniona, legitymując się identyfikatorem umieszczonym w widocznym miejscu, może dokonywać kontroli dokumentów przewozu osób lub bagażu. W razie stwierdzenia braku odpowiedniego dokumentu przewozu albo dokumentu uprawniającego do przejazdu bezpłatnego lub ulgowego, przewoźnik lub osoba przez niego upoważniona powinni pobrać właściwą należność i opłatę dodatkową (art. 33 ust. 3 Prawa przewozowego). Zgodnie z pkt 1 umowy zawartej w dniu [...] stycznia 2002 r. jej przedmiotem jest zlecenie przez zleceniodawcę tj. W.S. prowadzącego działalność pod nazwą Przedsiębiorstwo T. wykonania przez zleceniobiorcę tj. E. W. i P K. prowadzących działalność pod nazwą T. s.c. usługi komunalnej niematerialnej polegającej na kontroli biletowej w pojazdach komunikacji zleceniodawcy wraz z całokształtem windykacji należności z opłat karnych. W pkt 2 umowy zapisano, iż "kontrola biletowa i windykacja należności jest statutowym obowiązkiem i uprawnieniem zleceniodawcy i w związku z powyższym usługa kontroli biletowej wraz z windykacją należności jest wykonywana przez zleceniobiorcę w imieniu i z upoważnienia zleceniodawcy". Generalny Inspektor Ochrony Danych Osobowych uznał, że W.S. prowadzący działalność pod nazwą Przedsiębiorstwo T. decyduje o celach i środkach przetwarzania danych osobowych, gdyż usługa kontroli biletowej wraz z windykacją należności (a więc także przetwarzanie danych osobowych pasażerów, których dane zostały pozyskane przez ten podmiot w wyniku kontroli biletów w środkach transportu Przedsiębiorstwa T. jest wykonywana przez T. s.c. w imieniu i z upoważnienia zleceniodawcy. W związku z powyższym organ uznał, że administratorem danych w znaczeniu art. 7 pkt 4 ustawy o ochronie danych osobowych jest ten przedsiębiorca. W świetle pkt 10 umowy zleceniodawca zastrzegł sobie prawo wglądu w ewidencję T. s.c. w stosunku do osób jadących w środkach komunikacji przewoźnika, a tym samym zapewnił sobie prawo kontroli nad przetwarzaniem danych osobowych. W konsekwencji - zdaniem organu - argumentacja przedstawiona przez W. S. , iż T. s.c. w ramach prowadzonych czynności kontrolnych pozyskując dane osobowe, czyni to wyłącznie w oparciu o swoje wewnętrzne procedury, nie ma wpływu na fakt, iż to Pan W. S. prowadzący działalność gospodarczą pod nazwą Przedsiębiorstwo T., jako administrator danych decyduje komu, w jakim celu i zakresie powierza przetwarzanie danych osobowych. Zgodnie z art. 24 ust. 1 pkt 1 ustawy, w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o adresie swojej siedziby i pełnej nazwie, a przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz o imieniu i nazwisku. Tymczasem w toku kontroli organ stwierdził, iż pasażerowie, których dane osobowe pozyskane w ramach kontroli biletów, w celu wystawienia dokumentu "Opłata dodatkowa kredytowa /wezwanie do zapłaty", nie są informowani o adresie siedziby i pełnej nazwie administratora danych osobowych. GIODO stwierdził, że administrator nie dopełnił ciążącego na nim obowiązku informacyjnego wobec osób, których dane pozyskane zostały przez E. W. i P.K. prowadzących działalność gospodarczą pod nazwą T. s.c. w ramach kontroli biletów, w zakresie adresu siedziby i pełnej nazwy administratora danych osobowych, a zatem przedmiotowe uchybienie nie zostało przez administratora danych usunięte.
Powyższa decyzja stała się przedmiotem skargi p. W.S. do Wojewódzkiego Sadu Administracyjnego w Warszawie. W uzasadnieniu skargi skarżący podniósł, iż administratorem danych osobowych pasażerów, których dane zostały pozyskane przez Pana E. W. i Pana P. K. prowadzących działalność gospodarczą pod nazwą T. s.c. z siedzibą w P. w wyniku kontroli biletów w środkach transportu Pana W. S. jest Pan E.W. i Pan P. K., gdyż to oni decydują o środkach i celach przetwarzania danych osobowych; Aneksem z dnia [...] maja 2002 r. do umowy zlecenia z dnia [...] stycznia 2002 r. zawartej z Panem E.W. i Panem P. K., wpisano, że zleceniobiorca działa w swoim imieniu i na swoją odpowiedzialność; Generalny Inspektor Ochrony Danych Osobowych błędnie zinterpretował punkt 10 umowy. Punkt ten dotyczy bowiem jedynie ewidencji kontroli i ilości nałożonych opłat karnych, a nie prawa wglądu w dane osobowe, nie wziął wówczas pod uwagę argumentów Pana E.W. i Pana P. K. prowadzących działalność gospodarczą pod nazwą T. s.c. z siedzibą w P., w tym faktu zgłoszenia przez nich zbioru danych do rejestracji.
Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie i podtrzymał argumenty wskazane w uzasadnieniu zaskarżonej decyzji.
Odwołując się do zarzutów skarżącego stwierdził m.in., że zmiana pkt.2 umowy zlecenia dokonaną aneksem z dnia [...] maja 2002r. (którego skarżący nie przytoczył w toku postępowania administracyjnego), polegającą na wpisaniu, że usługa kontroli biletowej wraz z windykacją należności jest wykonywana przez zleceniobiorcę z upoważnienia zleceniodawcy, ale w imieniu i na rachunek własny zleceniobiorcy nie może przesądzać o tym, czy status administratora danych posiada przewoźnik, czy tez podmiot upoważniony przez przewoźnika do kontroli biletów.
W przedmiotowej sprawie wykazano, że o celach i środkach przetwarzania danych decyduje przewoźnik tj. p. W. S. prowadzący działalność gospodarczą pod
nazwą Przedsiębiorstwo T. z siedzibą w M.. Za uznaniem, że administratorem danych jest przewoźnik przemawia także treść art. 33 ust. 1 ustawy z dnia 15 listopada 1984 r. Prawo przewozowe (Dz. U. 2000 Nr 50 poz. 601 ze zm.)
Odnośnie zarzutów skarżącego, iż generalny Inspektor Danych Osobowych błędnie zinterpretował punkt 10 umowy, należy wskazać, że wbrew twierdzeniu Pana W.S. Generalny Inspektor w zaskarżonej decyzji nie podnosił, że punkt ten dotyczy "prawa wglądu w dane osobowe tych osób". Wskazano jedynie, że przewoźnik poprzez zastrzeżenie prawa wglądu w ewidencję kontroli w stosunku do osób jadących bez ważnych biletów w jego środkach komunikacji, zapewnił sobie prawo kontroli nad przetwarzaniem danych osobowych. Stwierdził iż wydając decyzję w dniu [...] października 2003 uwzględnił przesłane w dniu 18 lipca 2004 przez wspólników T. s.c. z siedzibą w P. wyjaśnienie oraz przedstawione dowody mające potwierdzić usunięcia uchybień polegających na nie wykonaniu obowiązków określonych w art. 24 ust. 1 pkl 3 i pkt 4. arl. 39 ust. 1 ustawy oraz § 2 pkt I. § 3, § 4. § 5. § 6. § 7 ust. 1, § 8. § U, § 16 pkt 1, pkt 3 i pkt 4, § 17 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 z późn. zm.), umarzając postępowanie w tym zakresie. Natomiast zgłoszony do rejestracji przez Pana E.W. i Pana P. K. zbiór danych osobowych o nazwie "Ewidencja T. s.c." (zgłoszenie nr [...]) nie podlega obowiązkowi zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, gdyż administratorem przedmiotowego zbioru są przewoźnicy, którzy powierzyli wspólnikom T. s.c. z siedzibą w P.przetwarzanie danych osobowych (w tym Pan W. S. prowadzący działalność gospodarczą pod nazwą Przedsiębiorstwo T. z siedzibą w M.). Podkreślił, że zakończenie postępowania w sprawie rejestracji ww. zbioru danych osobowych uwarunkowane było rozstrzygnięciem, w ramach czynności kontrolnych dokonanych przez upoważnionych inspektorów Biura Generalnego Inspektora Ochrony Danych Osobowych, kwestii kto jest administratorem danych osobowych przetwarzanych w tym zbiorze.
W piśmie procesowym z dnia 31 maja 2004r. skarżący podniósł iż dokonana przez Generalnego Inspektora Ochrony Danych Osobowych w odpowiedzi na skargę interpretacja pkt 14 i pkt 15 umowy zlecenia jest nieprawidłowa.
Zastrzeżenia przewoźnika co do jakości wykonywanej pracy przez kontrolerów nie jest prawem do przetwarzania danych osobowych. Także prawo do kontroli sposobu wykonywania kontroli biletowej nie odnosi się do przetwarzania danych osobowych. Zainteresowany przetwarzaniem danych w celu egzekucji należności jest tylko zleceniobiorca jest to bowiem jego interes gospodarczy.
Sposób przeprowadzania kontroli jak i regulaminu kontroli nie ma nic wspólnego z przetwarzaniem danych osobowych.
Zdaniem skarżącego upoważnienie przewoźnika do przeprowadzania kontroli nie jest równoznaczne z tym, ze zlecający zachowuje prawo do decydowania o celach i środkach przetwarzania danych osobowych. Uznanie go za administratora danych osobowych oznacza, iż każdorazowo musiałby on wyrażać zgodę na egzekucję należności za opłaty karne i windykację zleceniobiorcy.
Wojewódzki Sąd Administracyjny, zważył, co następuje:
Skarga nie zasługuje na uwzględnienie.
Stan sprawy jest niesporny. Istota sprawy sprowadza się do wyjaśnienia czy skarżący W. S. prowadzący działalność gospodarcza pod nazwą Przedsiębiorstwo T. jest administratorem danych osobowych o którym mowa w art. 7 pkt4 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. 2002 Nr 101 poz. 926 ze zm.), w zakresie pasażerów, których dane osobowe zostały pozyskane przez T. s.c. E.W. i P.K. w wyniku kontroli biletów w środkach transportu do niego należących, na których ciąża obowiązki wynikające z przepisów o ochronie danych osobowych oraz czy zmiana pkt2 umowy zlecenia dokonana aneksem z dnia [...] maja 2002r., którego skarżący nie przedłożył w toku postępowania administracyjnego, na podstawie której wpisano że usługa kontroli biletowej wraz z windykacją należności jest wykonywana przez zleceniobiorcę z upoważnienia zleceniodawcy, ale w imieniu i na rachunek zleceniobiorcy spowodowało, że administratorem danych osobowych pasażerów stał się wyłącznie podmiot upoważniony przez przewoźnika do kontroli biletów, a także czy użyte w pktl4 ust. 1 i pktl5 aneksu do umowy sformułowanie, iż zleceniodawca zastrzega sobie prawo kontroli sposobu wykonywania kontroli biletów przez pracowników zleceniobiorcy, a zleceniobiorca jest zobowiązany do sporządzania szczegółowej instrukcji kontroli i przedstawiania jej do
akceptacji zleceniodawcy oznacza, że skarżący współdecyduje o środkach przetwarzania danych w/w osób.
Zgodnie z art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych w drodze decyzji administracyjnej przywrócenie stanu zgodnego z prawem, a w szczególności usuniecie danych osobowych ze zbioru w celu usunięcia naruszeń.
Stosownie do art. 16 ust 1 ustawy z dnia 15 listopada 1984 r. -Prawo przewozowe (Dz. U. z 2000 r. Nr 50, poz. 601 z późn. zm.) umowę przewozu zawiera się przez nabycie biletu na przejazd lub spełnienie innych określonych przez przewoźnika warunków dostępu do środka transportowego, a w razie ich nie ustalenia - przez samo zajęcie miejsca w środku transportowym. Przewoźnik lub osoba przez niego upoważniona, legitymując się identyfikatorem umieszczonym w widocznym miejscu, może dokonywać kontroli dokumentów przewozu lub bagażu, natomiast w przypadku stwierdzenia braku odpowiedniego dokumentu przewozu albo dokumentu uprawniającego do przejazdu bezpłatnego lub ulgowego, przewoźnik lub osoba przez niego upoważniona powinni pobrać właściwą należność i opłatę dodatkową (art. 33a ust. 1 i ust. 3 Prawa przewozowego). Z powyższego wynika jednoznacznie, że przewoźnik może upoważnić określony podmiot do kontroli biletów i pobierania ewentualnej opłaty dodatkowej z tytułu korzystania przez pasażera ze środka transportu bez ważnego biletu.
W przedmiotowej sprawie została zawarta umowa między przewoźnikiem (W.S.) a E. W. i P. K., prowadzącymi działalność gospodarczą pod nazwą T. s.c. zlecającą wykonywanie wspomnianych wyżej czynności związanych z kontrolą biletów lub bagażu i pobieraniem opłaty dodatkowej w przypadkach korzystania z danego środka transportu przez osoby nieuprawnione.
Jako nietrafny ocenić należy pogląd skarżącego, iż postanowienia wspomnianej wyżej umowy wraz z aneksem, w której określono także cel przetwarzania danych osobowych przez zleceniobiorcę, przesądzają o zmianie administratora danych osobowych. Należy stwierdzić, że zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych administratorem danych osobowych jest organ, instytucja, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ust. 1 i 2 ustaw, decydujące o celach i środkach przetwarzania danych osobowych. W świetle powyższego administratorem danych w przedmiotowej sprawie jest
przewoźnik, czyli skarżący, gdyż to on jest uprawniony przez ustawę do dokonywania określonych czynności kontrolnych i pozyskiwania w związku z tym danych osobowych, natomiast inny podmiot może dokonywać tych czynności wyłącznie w oparciu o upoważnienie udzielone przez przewoźnika. Przewoźnik też decyduje o celu przetwarzania wspomnianych danych. W kontekście powyższego należy uznać, że umowa zawarta pomiędzy skarżącym a E.W. i P.K. miała charakter umowy powierzającej przetwarzania danych osobowych. Zgodnie bowiem z art. 31 ustawy o ochronie danych osobowych administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Wspomniany podmiot może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Istotne jest, że w zakresie przestrzegania przepisów przedmiotowej ustawy dotyczących m. in. zapewnienia środków zabezpieczających zbiór danych oraz spełniania innych wymagań ustawowych, niezależnie od ewentualnej odpowiedzialności podmiotu upoważnionego, odpowiedzialność ta spoczywa przede wszystkim na administratorze danych. W przedmiotowej sprawie zaś administratorem danych jest skarżący, który pełni funkcję przewoźnika. W świetle powyższego, zawarcie umowy z E. W.i P. K. nie zwalnia administratora danych z odpowiedzialności za przestrzeganie przepisów ustawy i konieczności usunięcia uchybień w procesie przetwarzania danych osobowych.
Z tych względów Wojewódzki Sąd Administracyjny, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. -Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.), orzekł jak w sentencji wyroku.