Wyrok WSA w Warszawie z dnia 3 czerwca 2004 r., sygn. II SA/Wa 328/04

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia NSA (del.) Małgorzata Jaśkowska, asesor WSA Jacek Fronczyk, asesor WSA Andrzej Kołodziej (spr.), Protokolant Joanna Ukalska, po rozpoznaniu na rozprawie w dniu 3 czerwca 2004 r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2004 r. nr [...] w przedmiocie nakazu przywrócenia stanu zgodnego z prawem w procesie przetwarzania danych osobowych -oddala skargę-

Uzasadnienie

Generalny Inspektor Ochrony Danych Osobowych, po przeprowadzeniu postępowania administracyjnego wszczętego z urzędu, decyzją z dnia [...] grudnia 2003 r. nr [...] nakazał [...] Sp. z o.o. z siedzibą w W. przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych osób fizycznych, z którymi [...] Sp. z o.o. zawiera umowy o świadczenie usług telekomunikacyjnych w ramach sieci [...], poprzez zaprzestanie zbierania dotyczących ich danych osobowych, w zakresie wizerunku i rysopisu.

W uzasadnieniu Generalny Inspektor wskazał, że przetwarzaniem danych są jakiekolwiek operacje dokonywane na danych, w tym ich zbieranie (art. 7 pkt 2 ustawy o ochronie danych osobowych), a przesłanki dopuszczalności przetwarzania danych określa art. 23 ust. 1 ustawy, w szczególności przetwarzanie danych osobowych jest dopuszczalne, jeżeli zezwalają na to przepisy prawa (art. 23 ust. 1 pkt 2 ustawy).

Zakres danych osobowych użytkowników, które może przetwarzać operator publiczny określają przepisy art. 69 ust. 2 i ust. 2a Prawa telekomunikacyjnego, który w brzmieniu obowiązującym od 1 października 2003 r. stanowi, że operator publiczny jest uprawniony do przetwarzania poniższych danych dotyczących użytkownika będącego osobą fizyczną: 1) nazwisk i imion, 2) imion rodziców, 3) miejsca i daty urodzenia, 4) adresu miejsca zameldowania na pobyt stały, 5) numeru ewidencyjnego PESEL użytkownika, a w przypadku cudzoziemca - numeru paszportu lub karty pobytu, 6) nazwy i numeru dokumentów potwierdzających tożsamość, 7) dokumentów potwierdzających możliwość wykonania zobowiązania wobec operatora wynikającego z umowy o świadczenie usług telekomunikacyjnych. Ponadto operator może za pisemną zgodą użytkownika będącego osobą fizyczną przetwarzać dane dotyczące: 1) numeru ewidencji podatkowej NIP, 2) numeru konta bankowego lub karty płatniczej, 3) adresu użytkownika do korespondencji, jeżeli jest inny niż adres zameldowania na pobyt stały, adresu poczty elektronicznej oraz numerów telefonów kontaktowych (art. 69 ust. 2a Prawa telekomunikacyjnego). Z powołanych przepisów wynika zatem zdaniem GIODO, że niedopuszczalne jest przetwarzanie przez Spółkę danych osobowych użytkowników w zakresie wizerunku i rysopisu, ponieważ brak tych danych w zamkniętym katalogu danych, określonym ww. przepisami. Wskazał, że o zamkniętym charakterze katalogu świadczy brak w przepisie wyrażeń typu "w szczególności", czy też "m.in.", którymi posługuje się zazwyczaj ustawodawca, jeżeli wyliczenie nie jest wyczerpujące.