Wyrok WSA w Warszawie z dnia 20 grudnia 2007 r., sygn. II SA/Wa 1818/07

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska, Sędziowie Sędzia WSA Adam Lipiński, Sędzia WSA Przemysław Szustakiewicz (spr.), Protokolant Łukasz Bazyluk, po rozpoznaniu na rozprawie w dniu 11 grudnia 2007 r. sprawy ze skargi J.K. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2007 r. Nr [...] w przedmiocie przetwarzania danych osobowych - oddala skargę -

Generalny Inspektor Ochrony Danych Osobowych działając na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.) oraz art. 12 pkt 2 w zw. z art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101 poz. 926 ze zm.) - zwana dalej uodo, decyzją nr [...] z dnia [...] sierpnia 2007 r. utrzymał w mocy decyzję z dnia [...] maja 2007 r. nr [...] umarzającą postępowanie w sprawie wniosku pana J. K. dotyczącego skargi na przetwarzanie jego danych osobowych przez I. S.A. z siedzibą w W.

W uzasadnieniu organ podniósł, że w dniu 6 listopada 2006 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana J. K., dotycząca przetwarzania jego danych osobowych przez I. S.A. z siedzibą w W. W treści skargi strona wskazała, iż ww. Spółka pozyskała jego dane osobowe od nieznanej mu osoby trzeciej, która została poproszona przez Spółkę o wypełnienie tzw. referencji przez podanie danych kontaktowych do swoich znajomych. Pozyskane w ten sposób jego dane osobowe zostały wykorzystane przez pracownika Spółki, który zadzwonił do niego w celu umówienia się z nim na spotkanie. Pan J. K. podniósł, iż nie wyrażał zgody na przetwarzanie jego danych osobowych przez Spółkę w celach marketingowych w ten sposób została zakwestionowana legalność przetwarzania przez Spółkę danych osobowych strony oraz niewykonanie wobec niego obowiązku informacyjnego, o którym mowa w art. 25 ustawy z dnia 29 sierpnia 1997 r. uodo, zwanej dalej ustawą, a także nieprawidłowe wypełnienie w stosunku do niego obowiązku informacyjnego z art. 33 ustawy. Pan J. K. wskazał bowiem, iż wystąpił do Spółki z wnioskiem z art. 33 ustawy o udzielenie mu informacji na temat przetwarzania jego danych osobowych, jednakże Spółka nie poinformowała go o tym czy zbiór zawierający jego dane został zgłoszony Generalnemu Inspektorowi do rejestracji, a także o celu, zakresie i sposobie przetwarzania jego danych zawartych w zbiorach danych Spółki oraz sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane. Skarżący wniósł o przeprowadzenie kontroli w Spółce pod kątem legalności przetwarzania danych osobowych, w tym ich udostępniania na rzecz innych podmiotów i spełnienia przez Spółkę obowiązku rejestracyjnego zbioru danych potencjalnych klientów Spółki. Przeprowadzając postępowanie GIODO zebrał wyjaśnienia od I. S.A. Wynikało z nich, iż jej pracownik pozyskał dane osobowe strony (w zakresie imienia, nazwiska i numeru telefonu) od jej znajomego. Dane te zostały pozyskane w celu nawiązania ze stroną kontaktu i umówienia spotkania. Po zakończeniu rozmowy jego dane zostały przez Spółkę zniszczone, bowiem nie wyraził on zgody na przetwarzanie swoich danych w celach marketingowych. Wówczas został również omyłkowo zniszczony formularz, na którym figurowały informacje o źródle, z którego Spółka pozyskała dane osobowe Skarżącego. Pracownik Spółki odpowiedzialny za zniszczenie ww. informacji został upomniany za dopuszczenie do powyższego uchybienia. Spółka nie wypełniła wobec Skarżącego obowiązku informacyjnego, o którym mowa w art. 25 ustawy, po tym jak pozyskała jego dane. Spółka nie przetwarza obecnie danych osobowych Pana J. K. w zbiorze klientów i potencjalnych klientów Spółki, ani nie udostępniała ich innym podmiotom. Z wyjaśnień Spółki nie wynika ponadto, aby wprowadziła dane osobowe Skarżącego do systemu informatycznego. W toku postępowania brała udział Helsińska Fundacja Praw Człowieka, która w piśmie z dnia 7 maja 2007 r. zaprezentowała swoje stanowisko w sprawie. Wedle Fundacji praktyka Spółki w zakresie pozyskiwania danych potencjalnych klientów od innych klientów powinna zostać oceniona przez GIODO negatywnie. Oceniając ponownie sprawę organ przywołał treść art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. kpa, wedle którego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o umorzeniu postępowania. Z powołanego przepisu wynika, zdaniem GIODO, iż postępowanie administracyjne nie może toczyć się w sytuacji, gdy w jego toku przestał istnieć jego przedmiot, bądź też przedmiot ten nie istniał już przed wszczęciem postępowania. W konsekwencji, jeśli nie istniałaby tego typu przeszkoda w sprawie, podjęta byłaby decyzja merytoryczna tj. decyzja rozstrzygająca sprawę administracyjną co do jej istoty i zarazem kończąca ją w danej instancji. Organ podkreślił, że przedmiot mniejszego postępowania wyznaczony został zakresem skargi Pana J. K. i stanowi go fakt przetwarzania (zatem i zbierania) jego danych osobowych przez Spółkę. Jednakże w toku postępowania okazało się, że Spółka jeszcze przed wszczęciem niniejszego postępowania nie przetwarzała już danych osobowych Skarżącego i tym samym nie przetwarza ich obecnie, co oznacza, że niniejsze postępowanie jeszcze przed jego wszczęciem było bezprzedmiotowe. W tej sytuacji, w świetle przepisu art. 105 § 1 kpa, nie było zatem możliwe wydanie innego rozstrzygnięcia aniżeli to, które zostało zawarte w zaskarżonej decyzji Generalnego Inspektora z dnia [...] maja 2007 r. Nie jest bowiem możliwa merytoryczna ocena procesu przetwarzania danych osobowych, skoro proces ten nie istnieje. Generalny Inspektor podkreślił, że nie może ustosunkować się do nieistniejącego ww. procesu i sformułować pewne nakazy pod adresem Spółki, które zapobiegłyby ponownemu wejściu w posiadanie jego danych osobowych przez Spółkę. Jednakże ww. nakaz nie może zostać sformułowany pod adresem Spółki na przyszłość (niejako na wszelki wypadek) i odnosić się do osoby, której danych Spółka nie przetwarza. Podkreślenia wymaga, iż nakaz zaprzestania pozyskiwania przez Spółkę danych osobowych w kwestionowany sposób o charakterze ogólnym nie może być sformułowany w postępowaniu prowadzonym na skutek indywidualnej skargi. W postępowaniu toczącym się na skutek indywidualnej skargi możliwa jest wyłącznie ocena procesu przetwarzania danych osoby wnoszącej skargę, zaś w niniejszej sprawie proces ten nie zachodzi.