II SA/Wa 329/04

II SA/Wa 329/04 - Wyrok WSA w Warszawie
Data orzeczenia
2004-06-22
orzeczenie prawomocne
Data wpływu
2004-03-22
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Kołodziej /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia NSA (del.) Małgorzata Jaśkowska, Asesor WSA Jacek Fronczyk, Asesor WSA Andrzej Kołodziej (spr.), Protokolant Joanna Ukalska, po rozpoznaniu na rozprawie w dniu 3 czerwca 2004 r. sprawy ze skargi P.S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2004 r. nr [...] w przedmiocie odmowy uwzględnienia wniosku o nakazanie przywrócenia stanu zgodnego z prawem poprzez zwrot zbioru danych osobowych - oddala skargę -
Uzasadnienie
P.S.A. Inspektorat w N. zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o wszczęcie postępowania w sprawie niedokonania zwrotu na rzecz P. S.A. bazy danych klientów P. S.A. przez Agencję Ubezpieczeniową "A." s.c. [...] w N., po rozwiązaniu z ww. Agencją umowy agencyjnej z dniem [...] kwietnia 2002 r. i nakazanie Agencji przywrócenia stanu zgodnego z prawem poprzez dokonanie zwrotu zbioru danych na rzecz P. S.A. Inspektorat w N., stosownie do treści art. 18 ust. 1 ustawy o ochronie danych osobowych.
W uzasadnieniu podniósł, że wielokrotnie wzywał Agencję "A." do zwrotu bazy danych klientów P. S.A. powołując się na zapis § 5 pkt 13 umowy agencyjnej z dnia [...] października 2001 r., lecz nie przyniosło to żadnych efektów. Agencja oświadczyła bowiem, że dokona jedynie zwrotu ewidencji wszystkich zawartych ubezpieczeń oraz, że klienci Agencji składali oświadczenia o wyrażeniu zgody na przetwarzanie ich danych osobowych przez Agencję. Dlatego też dane te stanowią zasoby Agencji "A." i jako takie zostały zgłoszone do GIODO.
P.S.A. Inspektorat w N. stwierdził ponadto, że agent ubezpieczeniowy - agencja ubezpieczeniowa zawierając umowy ubezpieczeń z poszczególnymi klientami przetwarza ich dane osobowe na rzecz ubezpieczyciela - P. S.A. To ubezpieczyciel, czyli P. S.A. zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych jest administratorem danych, bowiem decyduje o celach i środkach przetwarzania.
Po przeprowadzeniu obszernego postępowania administracyjnego oraz przeprowadzeniu czynności kontrolnych w Agencji Ubezpieczeniowej "A.", Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] października 2003 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 18 ust. 1 oraz art. 23 ust. 1 pkt 1 i art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) odmówił uwzględnienia wniosku P. S.A. Inspektorat w N..
W uzasadnieniu, powołując się zarówno na wyjaśnienia składane przez strony postępowania, jak również na ustalenia dokonane w wyniku podjętych czynności kontrolnych w Agencji Ubezpieczeniowej "A.", GIODO wskazał, że zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych, administratorem danych jest organ, instytucja, jednostka organizacyjna, podmiot lub osoba, o której mowa w art. 3 ust. 1 i 2 (organy państwowe oraz samorządu terytorialnego, inne państwowe i komunalne jednostki organizacyjne, podmioty niepaństwowe realizujące zadania publiczne, osoby fizyczne i prawne oraz jednostki organizacyjne nie mające osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych), decydujące o celach i środkach przetwarzania danych osobowych.
Ustawodawca wprowadził również w art. 31 ustawy konstrukcję powierzenia przez administratora danych osobowych innemu podmiotowi w drodze umowy zawartej na piśmie. Podmiot, któremu powierzono przetwarzanie danych może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie.
Stosownie zaś do art. 37 d ust. 1 ustawy z dnia 28 lipca 1990 r. o działalności ubezpieczeniowej (Dz. U. z 1996 r. Nr 11, poz. 62 z późn. zm.) zakład ubezpieczeń może korzystać z pośrednictwa ubezpieczeniowego, które polega na wykonywaniu czynności faktycznych lub prawnych związanych z zawarciem lub wykonywaniem umów ubezpieczenia albo reasekuracji (ust. 2 powołanego przepisu).
Z kolei w myśl art. 37 e ust. 1 tej ustawy agentem ubezpieczeniowym jest przedsiębiorca w rozumieniu art. 2 ust. 2 ustawy z dnia 19 listopada 1999 r. -Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178 z późn. zm.), upoważniony przez zakład ubezpieczeń do stałego zawierania umów w imieniu i na rzecz tego zakładu lub pośredniczenia przy zawieraniu umów.
Agent ubezpieczeniowy w takiej sytuacji nie jest administratorem danych osobowych i nie musi legitymować się samodzielną, odrębną od posiadanej przez zakład ubezpieczeń, przesłanką legalności przetwarzania danych w celu realizacji umowy ubezpieczenia.
Powierzenie przetwarzania danych nie oznacza konieczności faktycznego przekazu danych agentowi ubezpieczeniowemu przez zakład ubezpieczeń, bowiem powierzenie przetwarzania danych osobowych klientów zakładów ubezpieczeń ma miejsce również wtedy, gdy działający w ich imieniu agenci pozyskują nowych klientów i tym samym zbierają ich dane osobowe na rzecz zakładów ubezpieczeń.
Generalny Inspektor stwierdził, że odmiennie przedstawia się ocena przetwarzania przez agenta ubezpieczeniowego danych osobowych tzw. "potencjalnych klientów", bowiem agent ubezpieczeniowy jest uprawniony do ich przetwarzania na podstawie wyrażonej przez nich zgody. Prawna dopuszczalność przetwarzania danych osobowych tzw. "potencjalnych klientów" ma podstawowe znaczenie w stosunku do agentów ubezpieczeniowych działających w imieniu i na rzecz różnych zakładów ubezpieczeń (tzw. multiagentów).
Przymiot administratora danych potencjalnych klientów w przypadku tzw. multiagentów nie powinien zdaniem GIODO budzić większych wątpliwości, bowiem decydują oni o celach i środkach przetwarzania danych osobowych niezależnie od zakładu ubezpieczeń.
W przypadku tej kategorii pośredników ubezpieczeniowych każdy klient, nawet taki, który aktualnie jest stroną zawartej za pośrednictwem agenta umowy ubezpieczenia z zakładem ubezpieczeń, może być traktowany jako potencjalny klient innego ubezpieczyciela.
GIODO wskazał również, że przesłanką legalności przetwarzania danych osobowych przez agenta ubezpieczeniowego jest zgodnie z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych zgoda osoby, której dane dotyczą. Agencja "A." takową zgodę na przetwarzanie danych osobowych "w celu ubezpieczeniowym" odbierała od swoich klientów, co oznacza, że jest uprawniona do przetwarzania ich danych osobowych jako tzw. "potencjalnych klientów".
Generalny Inspektor podniósł, że nie jest właściwy w sprawie ewentualnych roszczeń wynikających z tytułu umowy agencyjnej zawartej pomiędzy P. S.A. a Agencją ubezpieczeniową "A." oraz ewentualnego popełnienia czynu nieuczciwej konkurencji, powołując się na wyrok Naczelnego Sądu Administracyjnego z 2 marca 2001 r., sygn. akt II SA 401/00.
We wniosku o ponowne rozpatrzenie sprawy z dnia [..] listopada 2003 r. P. S.A. w W. stwierdził, że niezrozumiałym jest dla Spółki stworzenie przez Generalnego Inspektora kategorii "potencjalnych klientów" Agencji, bowiem działa ona w oparciu o zawartą z P. S.A. umowę agencyjną, do której zastosowanie mają zarówno przepisy ustawy o działalności ubezpieczeniowej, jak i przepisy Kodeksu cywilnego, w szczególności tytułu XXIII dotyczącego umowy agencyjnej.
W przypadku umowy z Agencją, zgodnie z postanowieniem jej § 1 ust. 1 była ona zobowiązana do stałego pośrednictwa ubezpieczeniowego i w tym zakresie działała w imieniu i na rzecz P. S.A., podobnie w ramach współpracy z innymi zakładami ubezpieczeń Agencja działa w oparciu o umowy agencyjne. Posiadana przez Agencję baza klientów należy zatem do zakładu ubezpieczeń, na rzecz którego zawiera ona umowy ubezpieczenia, również dane klientów uzyskane w trakcie obowiązywania umowy należą do takiego zakładu.
Oznacza to zdaniem Spółki, że Agencja nie może być administratorem danych osób, wobec których występuje jedynie w imieniu i na rzecz zakładu, bądź zakładów ubezpieczeń (w przypadku multiagencji). Tym samym nie może tworzyć bazy danych "potencjalnych klientów", nawet jeżeli uzyska od nich oświadczenie, że wyrażają zgodę na przetwarzanie danych osobowych w celu oferowania im produktów ubezpieczeniowych, bowiem pozyskiwani klienci są w myśl przepisów o umowie agencyjnej (art. 758 kc) zawsze klientami konkretnego zakładu ubezpieczeń.
P. S.A. stwierdził również, że zgodnie z postanowieniami § 5 pkt 13 umowy agencyjnej Agencja jest zobowiązana do zwrotu bazy danych klientów Spółki, natomiast uzyskiwanie przez Agencję zgody na przetwarzanie danych od klientów P. S.A. jest złamaniem warunków umowy powierzenia (przekroczeniem zakresu i zmianą celu powierzonych danych).
Ponadto w piśmie procesowym z dnia 3 grudnia 2003 r. P. S.A. podniósł, że Agencja Ubezpieczeniowa "A." naruszyła przepis art. 31 ust. 2 ustawy o ochronie danych osobowych oraz zakwestionowała przesłankę legalności przetwarzania danych osobowych przez Agencję określoną w art. 23 ust.l pkt 1 ustawy, gdyż w jej ocenie przesłankę takową stanowi art. 31 ust. 1 ustawy o ochronie danych osobowych.
Decyzją z dnia [...] stycznia 2004 r. nr [...]Generalny Inspektor Ochrony Danych Osobowych na podstawie art. 138 ust. 1 pkt 1 Kodeksu postępowania administracyjnego oraz art. 12 pkt 2, art. 18 ust. 1, art. 23 ust. 1 pkt 1 i art. 31 w zw. z art. 22 ustawy o ochronie danych osobowych utrzymał w mocy decyzję z dnia [...] października 2003 r.
W uzasadnieniu przedstawił argumentację zawartą w zaskarżonej decyzji, a nadto wskazał, że zgodnie z art. 18 ust. 1 ustawy o ochronie danych osobowych, w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, a w szczególności podjęcie środków wymienionych w pkt 1-5.
Kluczowe znaczenie miało zatem rozstrzygnięcie, komu przysługuje status administratora danych osób, które zawarły za pośrednictwem Agencji "A." umowy ubezpieczenia z P. S.A., a w szczególności, czy taki status przysługuje Agencji.
GIODO wskazał dodatkowo na treść art. 31 ust. 4 ustawy o ochronie danych osobowych, stosownie do którego w przypadku powierzenia przetwarzania danych osobowych, odpowiedzialność za przestrzeganie przepisów ustawy o ochronie danych osobowych spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z umową.
Podkreślił również wyraźnie, że przymiot administratora danych w przypadku agenta ubezpieczeniowego ograniczony jest jedynie do danych tzw. "potencjalnych klientów" i nie może być w żaden sposób ujmowany szerzej.
Stwierdził też, że uwagi dotyczące pośrednictwa ubezpieczeniowego zawarte w ustawie o działalności ubezpieczeniowej zachowują swoją aktualność na gruncie nowej ustawy z dnia 22 maja 2003 r. o pośrednictwie ubezpieczeniowym (Dz. U. Nr 124, poz. 1154). Przepisy tej ustawy nie dają samodzielnej podstawy do uznania Agencji "A." za administratora danych osobowych klientów przetwarzanych w celu realizacji umowy ubezpieczenia.
Generalny Inspektor ponownie podniósł, że odmiennie przedstawia się ocena przetwarzania przez agenta ubezpieczeniowego danych osobowych tzw. "potencjalnych klientów". Agent ubezpieczeniowy jest uprawniony do ich przetwarzania na podstawie wyrażonej przez nich zgody. Kwestia ta od początku obowiązywania ustawy o ochronie danych osobowych nie budziła wątpliwości, bowiem niewątpliwie w tym zakresie agent decyduje o celach i środkach przetwarzania danych osobowych. W praktyce GIODO zagadnienie powyższe pojawiło się w związku z obowiązkiem zgłoszenia do rejestracji prowadzonych przez agentów ubezpieczeniowych zbiorów danych osobowych potencjalnych klientów.
Generalny Inspektor stwierdził, że Agencja "A." jako administrator przedmiotowych danych legitymuje się przesłanką legalności przetwarzania danych osobowych, określoną w art. 23 ust. 1 pkt 1, tj. zgodą osoby, której dane dotyczą, a zatem nie jest możliwe nakazanie jej, w trybie przepisów ustawy o ochronie danych osobowych, przekazania P. S.A. danych osobowych klientów.
Natomiast przyjęcie odmiennego stanowiska, prezentowanego przez Spółkę oznaczałoby, że GIODO w przedmiotowej sprawie nie jest uprawniony do nakazania w drodze decyzji administracyjnej Agencji "A." przekazania danych osób, które za jej pośrednictwem zawarły umowy ubezpieczenia z PZU S.A., gdyż byłoby to sprzeczne z art. 18 ust. 1 ustawy o ochronie danych osobowych.
Ponadto zgodnie z art. 31 ust. 4 ustawy o ochronie danych osobowych, w przypadku powierzenia przetwarzania danych osobowych, odpowiedzialność za przestrzeganie przepisów ustawy o ochronie danych osobowych spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z ta umową. Odpowiedzialność podmiotu przetwarzającego dane na podstawie umowy powierzenia może się realizować jedynie w stosunku do administratora danych z tytułu niewykonania lub niewłaściwego wykonania umowy, a także odpowiedzialności karnej. Jednakże Generalny Inspektor nie jest uprawniony do rozstrzygania kwestii odpowiedzialności cywilnej bądź karnej.
Powyższa decyzja stała się przedmiotem skargi P. S.A. do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Decyzji Generalnego Inspektora Ochrony Danych Osobowych Spółka zarzuciła:
* niezastosowanie art. 1 ust. 2 ustawy o ochronie danych osobowych i przyjęcie, że Agencja "A." przetwarzając dane osobowe klientów P. S.A. i nie zwracając (w rozumieniu § 5 pkt 13 umowy agencyjnej z dnia [...] października 2001 r. nr [..]) bazy klientów skarżącemu P. S.A., nie naruszyła celów przetwarzania danych osobowych osób fizycznych, wymienionych w tym artykule,
* niewłaściwe zastosowanie art. 18 ust. 1 pkt 5 i 6 ustawy o ochronie danych osobowych, poprzez przyjęcie, iż administrator danych tzw. "potencjalnych klientów" - Agencja "A.", nie był zobowiązany do przywrócenia stanu zgodnego z prawem, przez przekazanie skarżącemu bazy klientów P. S.A., obejmującej dane osobowe tych klientów, ewentualnie przez usunięcie danych osobowych klientów P. S.A. znajdujących się w bazie danych,
* uznanie, wbrew ujawnionym faktom, że Agencja "A." nie dopuściła się naruszenia art. 24 ust. 1 pkt 2 ustawy o ochronie danych osobowych, poprzez nie poinformowanie klientów P. S.A. o podmiotach trzecich, przyszłych odbiorcach gromadzonych przez siebie danych osobowych,
* niewłaściwe zastosowanie art. 31 ust. 2 i ust. 4 w związku z art. 18 ust. 1 pkt 5 ustawy o ochronie danych osobowych, poprzez brak zobowiązania do zwrócenia przekazania bazy klientów P. S.A. przez Agencję "A." -administratora bazy "potencjalnych klientów", pomimo przetwarzania bazy klientów P. S.A. niezgodnie z umową agencyjną z dnia [...] października 2001 r. nr [...],
wnosząc o:
* uchylenie decyzji Generalnego Inspektora Ochrony Danych Osobowych nr [...]z dnia [...] stycznia 2004 r. i przekazanie sprawy do ponownego rozpatrzenia,
* dopuszczenie dowodu z akt postępowania administracyjnego zakończonego decyzją GIODO z dnia[...]stycznia 2004 r. nr [...],
* zwrot kosztów sądowych na rzecz P. S.A., w tym kosztów zastępstwa procesowego.
W uzasadnieniu skarżąca Spółka podniosła, że Agencja "A." powinna zwrócić bazę klientów P. S.A., tj. klientów, z którymi zawarła w imieniu i na rzecz P. S.A. umowy ubezpieczenia, niezależnie od posiadanej bazy danych potencjalnych klientów. Są to bowiem jej zdaniem dwie różne bazy danych. Zakwestionowała w związku z tym przesłankę legalności przetwarzania danych osobowych przez Agencję, wynikającą z art. 23 ust. 1 pkt 1 ustawy. Wskazała również, że Agencja "A." nie jest administratorem danych osobowych, a legalność przetwarzania przez nią danych osobowych wynika z umownego powierzenia jej przez P. S.A. przetwarzania danych osobowych klientów ww. Spółki.
Zarzuciła też, że odmowa Generalnego Inspektora przywrócenia stanu zgodnego z prawem, poprzez orzeczenie zwrotu w całości bazy danych klientów P. S.A. była niezasadna wskazując, że powinno to nastąpić na podstawie art. 18 ust. 1 pkt 5 (przekazanie bazy danych Spółce), ewentualnie art. 18 ust. 1 pkt 6 ustawy (usunięcie danych klientów P.S.A.).
Stwierdziła również, że pozyskiwani przez Agencję klienci są w myśl przepisów Kodeksu cywilnego (art. 758 kc) zawsze klientami konkretnego zakładu ubezpieczeń, skoro Agencja pozyskuje ich poprzez zawarcie z nimi umów ubezpieczenia wyłącznie w imieniu i na rzecz zakładu ubezpieczeń.
Skarżąca Spółka zarzuciła ponadto, że Agencja nie dopełniła obowiązku informacyjnego wynikającego z art. 24 ust. 1 pkt 2 ustawy o ochronie danych osobowych, co winno skutkować wydaniem decyzji w oparciu o przepis art. 44 ust. 1 pkt 2 oraz ust. 2 ustawy w przedmiocie zakazu dalszego przetwarzania przez Agencję "A." danych osobowych klientów P. S.A. oraz ich usunięcie z własnych zasobów danych.
Podniosła wreszcie, że jej stanowisko jest uzasadnione również w świetle nowej ustawy z dnia 22 maja 2003 r. o pośrednictwie ubezpieczeniowym. W treści przepisu art. 13 ww. ustawy zostały bowiem wymienione obowiązki agenta ubezpieczeniowego, a przepis art. 4 pkt 1 ustawy o pośrednictwie ubezpieczeniowym podaje definicję czynności agencyjnych. Powołane przepisy, w ocenie skarżącej, nie dają samodzielnej podstawy do uznania Agencji "A." za administratora danych osobowych klientów przetwarzanych w celu realizacji umowy ubezpieczenia.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując w całości swoje stanowisko zarówno co do ustaleń faktycznych, jak i prawnych, zawarte w zaskarżonej decyzji oraz decyzji ją poprzedzającej. Ponadto odniósł się do zarzutów skargi, wskazując w szczególności w odniesieniu do zarzutu naruszenia przez Agencję "A." art. 24 ust. 1 pkt 2 ustawy o ochronie danych osobowych, że kwestia wypełnienia przez Agencję obowiązku informacyjnego nie była objęta wnioskiem P. S.A. o wszczęcie przez GIODO postępowania w przedmiocie nakazania Agencji "A." przywrócenia stanu zgodnego z prawem, poprzez dokonanie zwrotu zbioru danych osobowych P.S.A.
Tym samym nie była również przedmiotem toczącego się postępowania.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga nie jest zasadna.
Podstawowe zadania i kompetencje Generalnego Inspektora Ochrony Danych Osobowych określa art. 12 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), który stanowi, że do zadań Generalnego Inspektora w szczególności należy m.in. kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych oraz wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonywania przepisów o ochronie danych osobowych.
Stosownie zaś do przepisu art. 18 ust. 1 ustawy o ochronie danych osobowych, w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień,
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4) wstrzymanie przekazywania danych osobowych za granicę,
5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usunięcie danych osobowych.
W świetle ww. przepisu na gruncie administracyjno-prawnym odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych spoczywa na administratorze danych, który może być wyłącznym adresatem określonych obowiązków w zakresie ochrony danych osobowych.
Pojęcie administratora danych zostało zdefiniowane w art. 7 pkt 4 ustawy jako organ, instytucja, jednostka organizacyjna, podmiot lub osoba, o której mowa w art. 3 ust. 1 i 2 (organy państwowe oraz samorządu terytorialnego, inne państwowe i komunalne jednostki organizacyjne, podmioty niepaństwowe realizujące zadania publiczne, osoby fizyczne i prawne oraz jednostki organizacyjne nie mające osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych), decydujące o celach i środkach przetwarzania danych osobowych.
Należy przy tym zauważyć, że ustawa o ochronie danych osobowych dopuszcza możliwość powierzenia przez administratora, przetwarzania danych osobowych innemu podmiotowi. Zgodnie bowiem z art. 31 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (ust. 1).
Podmiot, któremu powierzono przetwarzanie danych osobowych może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2).
Odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową (ust. 4).
W rozpatrywanej sprawie zasadniczą kwestią było rozstrzygnięcie statusu Agencji Ubezpieczeniowej "A." na tle przepisów ustawy o ochronie danych osobowych.
Sąd podzielił w tym zakresie stanowisko Generalnego Inspektora Ochrony Danych Osobowych, który stwierdził, że w świetle przepisów ustawy o ochronie danych osobowych, agent ubezpieczeniowy może być traktowany w dwojaki sposób.
Z jednej strony jako podmiot, któremu powierzono przetwarzanie danych osobowych, nie decyduje o celach i środkach przetwarzania danych osobowych klientów w zakresie zawarcia i realizacji umowy ubezpieczenia zawartej za jego pośrednictwem, nie uzyskuje zatem przymiotu administratora.
Z drugiej zaś, agent ubezpieczeniowy tworząc zbiór danych osobowych tzw. "potencjalnych klientów" taki status uzyska, gdyż w tym zakresie decyduje o celach i środkach przetwarzania tych danych.
Należy wskazać, że działalność na rynku ubezpieczeń, w tym pośrednictwo ubezpieczeniowe, regulowała przed dniem 1 stycznia 2004 r. ustawa z dnia 28 lipca 1990 r. o działalności ubezpieczeniowej (Dz. U. z 1996 r. Nr 11, poz. 62 z późn. zm.), w myśl której zakłady ubezpieczeń mogły korzystać z pośrednictwa ubezpieczeniowego (art. 37 ust. 1 ww. ustawy). Zgodnie z ust. 2 powołanego przepisu polegało ono na wykonywaniu czynności faktycznych lub prawnych związanych z zawarciem lub wykonywaniem umów ubezpieczenia albo reasekuracji.
Stosownie zaś do art. 37e ust. 1 ustawy o działalności ubezpieczeniowej, agent ubezpieczeniowy był przedsiębiorcą w rozumieniu art. 2 ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178 z późn. zm.) upoważnionym przez zakład ubezpieczeń do stałego zawierania umów ubezpieczenia w imieniu i na rzecz tego zakładu lub pośredniczenia przy zawieraniu umów.
W takiej sytuacji nie był więc administratorem danych osobowych tych osób, wobec których występował jako przedstawiciel zakładu ubezpieczeń.
Nie musiał w związku z tym legitymować się samoistną przesłanką legalności przetwarzania danych w celu realizacji umowy ubezpieczenia. Działając na podstawie umowy agencyjnej powierzającej mu przetwarzanie danych osobowych, obowiązany był do przetwarzania danych wyłącznie w zakresie i celu przewidzianym w umowie.
Jak słusznie zauważył Generalny Inspektor, powyższe uwagi aktualne pozostają także pod rządami nowej ustawy z dnia 22 maja 2003 r. o pośrednictwie ubezpieczeniowym (Dz. U. Nr 124, poz. 1154). Jej przepisy również nie dają samodzielnej podstawy do uznania Agencji "A." za administratora danych osobowych klientów, przetwarzanych w celu realizacji umowy ubezpieczenia.
Wobec powyższego Generalny Inspektor nie mógł w drodze decyzji administracyjnej wydanej na podstawie art. 18 ust. 1 pkt 5 lub 6 nakazać Agencji "A." przekazania bazy danych, bądź też usunięcie danych osobowych, których Agencja nie jest administratorem.
Zgodnie bowiem z art. 31 ust. 4 ustawy o ochronie danych osobowych, w przypadku powierzenia przetwarzania danych osobowych odpowiedzialność za przestrzeganie przepisów ustawy o ochronie danych osobowych ponosi administrator danych, nie wyłączając jednak odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie niezgodnie z umową. Jednakże odpowiedzialność wobec administratora danych z tytułu niewykonania lub niewłaściwego wykonania umowy nie ma charakteru administracyjno-prawnego i nie podlega ocenie GIODO.
Tym samym chybiony jest zarzut skarżącej niewłaściwego zastosowania art. 18 ust. 1 pkt 5 i 6 ustawy o ochronie danych osobowych.
Sąd podzielił pogląd Generalnego Inspektora w kwestii statusu administratora danych osobowych tzw. "potencjalnych klientów" przysługującego agentowi ubezpieczeniowemu.
Trafne jest twierdzenie GIODO, że agent ubezpieczeniowy jest uprawniony do przetwarzania danych takich klientów na podstawie wyrażonej przez nich zgody. Do chwili obecnej takie stanowisko Generalnego Inspektora nie było kwestionowane, bowiem w tym zakresie agent ubezpieczeniowy decyduje o celach i środkach przetwarzania danych osobowych, spełniając w ten sposób przesłanki określone w definicji administratora, zawartej w ustawie o ochronie danych osobowych.
Nie bez znaczenia jest zdaniem Sądu w tym kontekście fakt, iż agenci ubezpieczeniowi wykonywali obowiązek rejestracji prowadzonych przez nich zbiorów danych osobowych potencjalnych klientów, który to obowiązek zgodnie z art. 40 ustawy o ochronie danych osobowych spoczywa na administratorze danych osobowych. Agencja "A." również taki obowiązek wykonała.
Należy wskazać, że prawna dopuszczalność przetwarzania danych osobowych tzw. "potencjalnych klientów" ma kluczowe znaczenie dla agentów ubezpieczeniowych działających w imieniu i na rzecz różnych zakładów ubezpieczeń (tzw. multiagentów). Nie ulega zdaniem Sądu wątpliwości, że agenci ci decydują o celach i środkach przetwarzania danych osobowych potencjalnych klientów niezależnie od zakładów ubezpieczeń. Powszechna jest bowiem praktyka, że każdy klient, nawet taki, który aktualnie jest stroną zawartej za pośrednictwem tzw. multiagentów umowy ubezpieczenia może być traktowany jako potencjalny klient innego produktu ubezpieczeniowego któregoś z pozostałych zakładów ubezpieczeń, z którymi multiagent zawarł umowy agencyjne.
Za rozumowaniem takim przemawia również regulacja zawarta w art. 11 ust. 2 ustawy o pośrednictwie ubezpieczeniowym, zgodnie z którą agent ubezpieczeniowy wykonujący czynności agencyjne na rzecz więcej niż jednego zakładu ubezpieczeń w zakresie tego samego działu ubezpieczeń, odpowiada za szkody powstałe z tytułu wykonywania tych czynności.
Należy zgodzić się ponadto z twierdzeniem organu, że w świetle zebranego w sprawie materiału dowodowego Agencja "A." odbierając od swoich klientów zgodę na przetwarzanie danych osobowych "w celu ubezpieczeniowym", spełnia przesłankę legalności ich przetwarzania w rozumieniu art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych.
Oznacza to, że Agencja jest administratorem danych jedynie tzw. "potencjalnych klientów", a zakres przetwarzania danych ograniczony jest jedynie do celu oferowania im produktów ubezpieczeniowych.
Z akt rozpatrywanej sprawy nie wynika, aby Agencja przetwarzała dane osób, które nie wyraziły przedmiotowej zgody, zatem również z tego względu nie było możliwe nakazanie Agencji "A.", w trybie przepisów ustawy o ochronie danych osobowych, przekazania P. S.A. danych osobowych tzw. "potencjalnych klientów".
Ustosunkowując się zaś do zarzutu skarżącej naruszenia przepisu art. 24 ust. 1 pkt 2 ustawy o ochronie danych osobowych poprzez niedopełnienie w stosunku do klientów P. S.A. obowiązku informacyjnego o podmiotach trzecich, przyszłych odbiorcach zbieranych przez agencję danych osobowych, należy wskazać, iż Generalny Inspektor trafnie podkreślił, że przedmiotem postępowania, zgodnie z wnioskiem z dnia 18 lipca 2002 r. złożonym przez P. S.A., było przywrócenie stanu zgodnego z prawem, poprzez dokonanie zwrotu zbioru danych osobowych P. S.A., nie zaś naruszenie art. 24 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270) w zw. z art. 18 ust. 1 pkt 1 i 6 ustawy o ochronie danych osobowych, orzekł jak w sentencji.