GIODO przegrywa w NSA - Dane osobowe zawsze podlegają ocenie uprawnionych organów
15. marca Naczelny Sąd Administracyjny oddalił skargę kasacyjną Generalnego Inspektora Ochrony Danych Osobowych (sygn. I OSK 756/09). Wcześniej w tej sprawie orzekał WSA w Warszawie, a chodziło m.in. o skargę na niedopełnienie - jak podnosił skarżący (Tomasz W.) - obowiązku informacyjnego wynikającego z art. 33 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Przedsiębiorca telekomunikacyjny nie udostępnił Tomaszowi W. danych, gdyż - jak stwierdził - uprawnienia wynikające z ustawy o ochronie danych osobowych, w tym wynikające z art. 33 ustawy, nie przysługują osobom prowadzącym działalność gospodarczą. Skarżący wniósł do GIODO o wydanie decyzji nakazującej spółce udostępnienie mu jego danych z możliwością ich weryfikacji. Wskazał przy tym, że przecież wyrejestrował działalność gospodarczą, więc dane przetwarzane przez spółkę podlegają ustawie o ochronie danych osobowych. GIODO się tematowi przyjrzał i ostatecznie umorzył postępowanie. Sprawa trafiła do WSA, który wydał wyrok na korzyść skarżącego Tomasza W. (to kolejna sprawa, w której wygrywa z GIODO, wcześniej chodziło o zdjęcia w popularnym portalu). GIODO złożył kasację i ponownie przegrał.
Ponieważ nie opublikowano jeszcze tekstu uzasadnienia do Wyroku NSA z 15 marca 2010 r. (sygn. I OSK 756/09) warto odesłać do wcześniejszego Wyroku WSA w Warszawie, który zapadł 3 marca 2009 roku (sygn. II SA/Wa 1349/08). Tam też przedstawienie stanu faktycznego i uzasadnienie wyroku, którym WSA uchylił zaskarżoną decyzję GIODO oraz decyzję ją poprzedzającą. Istotne jest to, że przepisy wprowadzające ustawę o swobodzie działalności gospodarczej stwierdzają, że do dnia 30 września 2008 r. zachował moc obowiązującą art. 7a ust. 2 ustawy - Prawo działalności gospodarczej. W tym przepisie mowa o tym, że ewidencja działalności gospodarczej, do której wpisywane są dane przedsiębiorców, jest jawna, a dane w niej zawarte nie podlegają przepisom ustawy o ochronie danych osobowych. Tylko, że Tomasz W. wyrejestrował działalność gospodarczą, przedstawił na poparcie tego kopię pisma przesłanego faxem do spółki (była to kopia decyzji urzędu gminy o zamknięciu działalności gospodarcze). Spółka twierdziła, że pisma nie otrzymała, a GIODO go nie uwzględnił wydając decyzję o umorzeniu.
Co powiedział WSA w Warszawie? Powiedział m.in.:
(...)
Generalny Inspektor Ochrony Danych Osobowych, kierując się treścią art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (zwaną dalej uodo), uznał, iż dane dotyczące skarżącego będące w posiadaniu P. Sp. z o.o. nie są danymi osobowymi, gdyż Spółka przetwarza te dane nie jako dane osoby fizycznej, ale jako dane osoby prowadzącej działalność gospodarczą, a brak jest dowodów wskazujących na to, że T. W. poinformował ww. przedsiębiorstwo o zaprzestaniu prowadzenia działalności gospodarczej. W takiej sytuacji uznał, że wobec tego sprawa jest bezprzedmiotowa i na podstawie art. 105 § 1 kpa umorzył postępowanie. Stanowisko takie jest błędne.Ustawa o ochronie danych osobowych w art. 1 statuuje zasadę autonomii informacyjnej człowieka. Znajduje w nim swój wyraz idea powszechności ochrony danych osobowych (por Komentarz do art. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926), [w:] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, LEX, 2007, wyd. IV). Prawo do takiej ochrony przysługuje bowiem każdemu, a jego ograniczenia mogą być wprowadzone przepisem rangi ustawowej. Dane osobowe mają charakter obiektywny. O tym czy mamy do czynienia z danymi osobowymi nie decyduje subiektywne przeświadczenie podmiotu, który takie dane przetwarza, ale sam fakt tego, czy są one informacją dotyczącą możliwej do zidentyfikowania osoby fizycznej. Ustawodawca nie uzasadnia w art. 6 uodo ochrony danych osobowych i ewentualnej interwencji Generalnego Inspektora Ochrony Danych Osobowych od przeświadczenia administratora o tym, czy informacje, które posiada są danymi osobowymi, czy też nie. Jeżeli więc dany podmiot posiada informacje, o których mowa w art. 6 uodo to są to dane osobowe. Takie dane osobowe zawsze podlegają ocenie uprawnionych organów z punktu widzenia ustawy o ochronie danych osobowych. Natomiast subiektywne podejście do ochrony danych osobowych oznaczałoby bowiem, że jeśli podmiot posiadający dane osobowe uważa, że nie są to dane osobowe wówczas nie podlega on regulacjom zawartym w cyt. ustawie z dnia 29 sierpnia 1997 r. Takie rozwiązanie podważałoby w ogóle sens ochrony danych osobowych i faktycznie uniemożliwiłoby skuteczną ochronę danych osobowych przez Generalnego Inspektora, który nie mógłby skutecznie interweniować na podstawie art. 12 uodo w sytuacji, gdy administrator zastrzegłby, że nie wie o tym, że ma dane osobowe.
W rozpatrywanej sprawie nie ma wątpliwości, że skarżący wyrejestrował swoją działalność w dniu [...] czerwca 2007 r., od tej chwili informacje go dotyczące i przechowywane przez P. Sp. z o.o. stały się danymi osobowymi, bowiem dotyczyły osoby fizycznej nieprowadzącej własnej działalności gospodarczej. Sprawa nie ma więc charakteru bezprzedmiotowego, a Generalny Inspektor Ochrony Danych Osobowych winien rozpatrzyć merytorycznie wniosek skarżącego dotyczący niedopełnienia wobec niego przez P. Sp. z o.o. obowiązku z art. 33 uodo.
(...)
Od tego wyroku GIODO wniósł kasację do NSA i niniejszym przegrał.
Odsyłam Państwa również do związanego z tą sprawą tekstu z 2008 roku: Identyfikacja użytkowników, pomówienie w SMS-owym serwisie towarzyskim i odpowiedzialność (jej brak).
Po wyroku NSA Rzeczpospolita opublikowała na ten temat artykuł pt. Przedsiębiorca ma prawo do ochrony.
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Im bardziej to czytam, tym
Im bardziej to czytam, tym mniej rozumiem...
Konstatacja, że obowiązująca ustawa o swobodzie działalności gospodarczej przewiduje, że ewidencja jest jawna, lecz nie wyłącza zawartych w niej informacji spod przepisów ustawy o ochronie danych osobowych (Rzepa) jest dosyć trywialna. Podobnie zdanie "ustawa o ochronie danych osobowych nie dzieli osób fizycznych na prowadzące działalność gospodarczą i nieprowadzące jej". Co jednak nie przeszkadzało i GIODO, i Sądom, przez ponad 10 lat uważać, że informacje o przedsiębiorcach nie stanowią danych osobowych. Czyżby więc odejście od tej linii orzecznictwa? Jeżeli tak, to nareszcie ;-) Skończą się telefony z banków dzień po zarejestrowaniu działalności gospodarczej, skończą się niekończące się wysyłki ulotek, reklam i innych takich. Z drugiej strony, jak mniemam, blady strach padł na firmy mające bazy informacji (od 15 marca "bazy danych osobowych") o przedsiębiorcach. Bo co oni teraz z tym poczną?
dualizm korpuskularno-falowy :-)
Nie wiem czy dobrze to przedstawię (liczę w razie czego na korekty), ale w moim rozumieniu mamy z dualizmem osobowo-firmowym (na wzór znanego w fizyce dualizmu korpuskularno-falowego). Te same dane raz niosą informację o osobie (Jan Kowalski), a raz o firmie (Jan Kowalski). W zależności od kontekstu użycia przykładamy odpowiednią miarkę. Jeżeli mamy na myśli Jana Kowalskiego jako osobę, w oderwaniu od jego działalności gospodarczej, to ustawa o ochronie danych osobowych ma zastosowanie. Natomiast jeżeli myślimy za firmie Jan Kowalski, to wówczas nie możemy tej ustawy stosować. Jest to oczywiście rozważanie modelowe, ponieważ są przypadki, w których takie podejście nie da jednoznacznej podstawy do klasyfikacji np. informacji o super lasce będącej sekretarka Kowalskiego.
A z tymi wyrokami sądów i orzeczeniami GIODO, to myślę, że nie do końca w sposób uprawniony chce się je uogólniać, zapominając o specyfice przypadków (kontekst) w których zostały wydane.
Co do baz danych o przedsiębiorcach, to uważam, że nic się nie zmieni. W ostateczności będzie miał zastosowanie art. 23 ust. 3 i 4,a prawnicy muszą z czegoś żyć :-))
Rejestracja działalności
Rejestracja działalności gospodarczej = masa propozycji kont bankowych, biur rachunkowych. Niech tam będzie, bo to do firmy i nawet może być przydatne.
Jeśli jednak dzwoni do mnie telemarketer i usiłuje sprzedać ubezpieczenie zdrowotne, po czym na pytanie "a skąd ma moje dane" odpowiada "z GUS" - to można się zirytować.
Doskonale wie, że dzwoni do konkretnej OSOBY, bo to OSOBIE chce zaproponować INDYWIDUALNE ubezpieczenie zdrowotne.
I co mu zrobić - chyba nic, bo rejestr jest jawny...
zasada nieoznaczoności Heisenberga oraz twierdzenie Goedla
Po przeczytaniu powyższego komentarza, dotyczącego telemarketera nasunęło mi się skojarzenie z kolejnym pojęciem fizyki kwantowej - z zasadą nieoznaczoności Heisenberga (położenie i pęd możemy zmierzyć tylko w pewnych granicach) oraz z twierdzeniem Goedla z zakresu informatyki (jeżeli przyjmiemy system aksjomatów, to istnieją w nim zdania, o których nie da rady powiedzieć czy są prawdziwe czy fałszywe).
Te skojarzenia biorą się między innymi z polskiego systemu prawnego jakim go poznałem. Z wieloma gałęziami prawa jest jak z dwoistą natura światła. Raz jest takie, innym razem owakie. Brak precyzyjnych pojęć powoduje m.in., że te same słowa w zależności od kontekstu mają inne znaczenie. To bardzo utrudnia ścisłe (w sensie matematycznym) podejście do prawa, ale jednocześnie daje bardzo dużą swobodę interpretacyjną. A ta jest niestety nadużywana.
W tym konkretnym przypadku, dana firmy przechodzi w daną osoby. Obawiam się, że dopóki nie będzie ustawy o spamie, nic nie będzie można zrobić. Spotkałem się z interpretacją, że art 23 ustawy o ochronie danych osobowych dopuszcza pobieranie danych z rejestrów publicznych i przetwarzanie ich w celach marketingu bezpośredniego. Czy to jest dobrze czy źle, nie nam niestety decydować. A coś mi się wydaję, że przywołane na początku pojęcia z fizyki i matematyki mogą mieć bezpośrednie zastosowanie w prawie. Ale kto by chciał się tym zajmować?
hmm
Co jednak nie przeszkadzało i GIODO, i Sądom, przez ponad 10 lat uważać, że informacje o przedsiębiorcach nie stanowią danych osobowych. Czyżby więc odejście od tej linii orzecznictwa?"
Czy mogę z ciekawości prosić o wskazanie jakiejś decyzji GIODO, w której wskazano, że "informacje o przedsiębiorcach" nie stanowią danych osobowych?
Inna kwestia jest taka:
Z dniem wejścia w życie ustawy o swobodzie działalności gospodarczej traci moc ustawa z dnia 19 listopada 1999 r. - Prawo działalności gospodarczej (Dz.U. Nr 101,
poz. 1178, z późn. zm.41)), z wyjątkiem: (...) 3) art. 7a - 7i, które tracą moc z dniem 1 lipca 2011 r.
Regards.
Dla mnie wyrok jest prosty.
Dla mnie wyrok jest prosty. Jeśli decydujesz się na zbieranie danych o przedsiębiorcach to na twoich barkach spoczywa odpowiedzialność za aktualność tej bazy. Jeśli dane w niej zgromadzone przekształciły się w dane osobowe to nie jest usprawiedliwieniem, że ty ciągle je za takie nie uważasz. Inna sprawa to samo "przekształcenia". Przecież nie ulega wątpliwości, że osoba prowadziła działalność gospodarczą i jako takie jej dane historyczne istnieją. Czy nie można przetwarzać informacji, że w danym dniu istniał określony podmiot prowadzący działalność gospodarczą?
Co do osób zmęczonych atakami telemarketerów oferujących produkty skierowane dla osób fizycznych to polecam także art. 6 ust. 3 ustawy z dnia 2 marca 2000 r. o ochronie niektórych praw konsumentów oraz odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny (Dz. U. Nr 22, poz. 271 z późn. zm.):
"Posłużenie się telefonem, wizjofonem, telefaksem, pocztą elektroniczną, automatycznym urządzeniem wywołującym lub innym środkiem komunikacji elektronicznej w celu złożenia propozycji zawarcia umowy może nastąpić wyłącznie za uprzednią zgodą konsumenta".
Blady to może i padł ale śmiech,
Blady to może i padł ale śmiech,
Na Kongresie Praw Obywatelskich wiele mówiono o tym co należy zmienić w uregulowaniach prawnych dotyczących prawa w Internecie, ochrony prywatności itp.
Oczywiście można zmieniać wszystko, pisać ustawy by było tego więcej i więcej, ale po co, kto w tym kraju przestrzega prawo i stosuje prawomocne wyroki ? (mam na myśli w szczególności urzędy i instytucje państwowe)
„….nie odnoszę się do słów komentarza pana Tomasza ….tylko do uzasadnienia Sądu z którym się nie zgadzam…”
Pan Minister Michał Serzyski GIODO dla Radia TOK FM, 2010.03.11 komentując prawomocny wyrok Naczelnego Sądu Administracyjnego I OSK 667/09 odrzucający skargę Portalu Nasza Klasa na wyrok Wojewódzkiego Sądu Administracyjnego II SA Wa 1495/08.
http://www.tokfm.pl/Tokfm/1,103085,7650621,Chce_usuniecia_swojego_wizerunku_z_Naszej_klasy__Czeka.html
Dla mnie to wszystko ma sens
Dla mnie to wszystko ma sens - mamy tu do czynienia ze swego rodzaju transformacją: w chwili wykreślenia p. Tomasza z ewidencji jego dane jako przedsiębiorcy stały się jego danymi osobowymi. Nie podzielam więc wątpliwości P.Litwińskiego. Jeżeli już to zastanawia mnie w jaki sposób podmioty posiadające bazy danych o przedsiębiorcach mają weryfikować ich zawartość pod kątem potencjalnego posiadania danych osobowych.
pozdrowienia, Michał
Transformacja, jasne.
Transformacja, jasne. Transformacja była w orzeczeniu WSA. Ale proszę przeczytać notkę w sprawie wyroku NSA - tam już transformacji nie ma, Tam - wg notki prasowej - jest uznanie wszystkich informacji zawartych w ewidencji za dane osobowe.
Poczekajmy na uzasadnienie :)
Czasami warto chwilę poczekać na uzasadnienie, żeby dowiedzieć się co powiedział Sąd, chociaż zawsze doceniam notatki prasowe, z których można poznać sygnatury wyroków.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Oczywiście, poczekajmy.
Oczywiście, poczekajmy. Natomiast nie sądzę, żeby autorzy notki w Rzepie aż tak dalece się mylili, skoro podają nawet podstawę prawną.
a dla mnie sprawa wyglada
a dla mnie sprawa wyglada tak. Wszystkie dane identyfikujące mnie jako przedsiębiorcę mogą być ogólnie dostępne czyli NIP nazwa działalności, rodzaj działalności, adres zakładu głównego. Tymczasem mój urząd gminy umieścił w BIP w internecie mój PESEL i adres zamieszkania, a to już kurcze totalne przegięcie. I tak figurują w internecie PESELe i adresy zamieszkania powiązane z imieniem i nazwiskiem jakichś 7000 tysięcy osób i nikt nie chce albo udaje, że nie może albo nie musi z tym nic zrobić. Ja próbuję od stycznia i niestety narazie bez efektu. Jeszcze niech numer dowodu osobistego zamieszczą i niedługo się dowiem, że mam kilka pokaźnych kredytów do spłacenia:(
a dla mnie sprawa wyglada
Adres do faktur dla osób prowadzących indywidualną działalność gospodarczą to adres zamieszkania, a nie zakładu głównego (chociaż VAT płaci się do US wg adresu zakładu głównego :P, podatek dochodowy wg adresu zamieszkania... ).
nieprawda. Jak
nieprawda. Jak zarejestrujesz działalność pod innym adresem to adres zamieszkania nie ma nic wspólnego z adresem na który wystawiasz faktury
A jednak
Uzasadnienie np. tutaj:
http://msp.money.pl/wiadomosci/podatki/artykul/siedziba;czy;adres;zamieszkania;na;fakturze,139,0,258699.html