Wyrok z dnia 2017-03-23 sygn. II SA/Wa 1825/16

Drukuj dokument lub zaznaczenie Kopiuj zaznaczony tekst bez formatowania

Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Dąbrowska, Sędziowie WSA Adam Lipiński, Andrzej Góraj (spr.), , Protokolant specjalista Elwira Sipak, po rozpoznaniu na rozprawie w dniu 23 marca 2017 r. sprawy ze skargi L. C na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2016 r. nr [...] w przedmiocie udostępnienia danych osobowych – oddala skargę –

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana Ł. C., zam. przy ul. [...] w [...], dalej Skarżący, o nakazanie udostępnienia danych osobowych przez Ubezpieczeniowy Fundusz Gwarancyjny z siedzibą przy ul. [...] w [...], dalej UFG.

Skarżący domagał się nakazania udostępnienia danych osobowych (imienia i nazwiska oraz adresu) posiadacza pojazdu [...] nr VIN [...], wpisanego do rejestru zastawów pod pozycją [...] na mocy umowy zastawu rejestrowego zawartej pomiędzy Skarżącym a ówczesnym posiadaczem pojazdu Panem B. P. Skarżący wskazał, że Pan B. P. sprzedał ww. pojazd, wbrew zawartemu w umowie zastawu rejestrowego zakazowi, nie przekazał jednak Skarżącemu personaliów nabywcy.

Skarżący podniósł, że nabywca nie przerejestrował samochodu, ale wykupił polisę OC nr [...], która to informacja pochodzi z powszechnie dostępnej bazy danych UFG.

W toku przeprowadzonego w przedmiotowej sprawie postępowania Generalny Inspektor Ochrony Danych Osobowych ustalił, co następuje:

1) Pismem z dnia [...] kwietnia 2015 r. Skarżący zwrócił się do UFG z wnioskiem o udostępnienie danych osobowych (imienia i nazwiska oraz adresu) posiadacza pojazdu [...], który posiada polisę OC nr [...] w [...] S.A. Oddział w [...]. Skarżący wskazał, że jest zastawnikiem rejestrowym, w związku z zastawem ustanowionym na tym pojeździe przez jego poprzedniego właściciela.

2) W odpowiedzi na ww. wniosek UFG, pismem z dnia [...] maja 2015 r. odmówił udostępnienia Skarżącemu danych, argumentując, iż nie jest on jednym z podmiotów wskazanych w art. 104 ust. 1 ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (Dz. U. z 2013 r. poz. 392 ze zm.) (dalej ustawa o UFG), którym UFG udostępnia gromadzone dane.

Po przeprowadzeniu postępowania administracyjnego Generalny Inspektor Ochrony Danych Osobowych w dniu [...] kwietnia 2016 r. wydał decyzję administracyjną (znak: [...]), mocą której odmówił uwzględnienia wniosku.

W dniu 12 kwietnia 2016 r. (w ustawowym terminie) do Biura GIODO wpłynął wniosek Pana Ł. C. o ponowne rozstrzygnięcie sprawy zakończonej ww. decyzją.

Zaskarżonej decyzji Skarżący zarzucił, iż Generalny Inspektor nie odniósł się w żaden sposób do problemu prawnego, na który zwrócił uwagę w piśmie inicjującym postępowanie, a stanowisko organu do spraw ochrony danych osobowych w jego opinii odbiega od orzecznictwa sądów administracyjnych i w konsekwencji narusza podstawowe prawa i wolności strony. Ponadto wskazał cyt.: "Chodziło o kształtującą się linię orzecznictwa sądów administracyjnych, która pozwala na bezpośrednie zastosowanie Ustawy o ochronie danych osobowych w sytuacji, kiedy przepis regulujący działanie podmiotu będącego administratorem danych osobowych wprowadza - jakby się wydawało - zamknięty katalog osób uprawnionych. Odmawiając uwzględnienia wniosku GIODO naruszył także pośrednio art. 45 ust. 1 Konstytucji RP, bowiem jego decyzja czyni konstytucyjne prawo do sądu iluzorycznym. Wnioskodawca - co znajduje uzasadnienie w pierwszy piśmie - nie może pozwać dłużnika rzeczowego, bo nie dysponuje jego danymi."

Po powtórnej analizie zgromadzonego materiału dowodowego, oraz mając na uwadze zarzuty podniesione we wniosku o ponowne rozpatrzenie sprawy, Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] września 2016 r. wydaną na podstawie art. 138 § 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2016 r., poz. 23 z późn. zm.) art. 12 pkt 2, art. 22 w zw. z art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922) oraz art. 102 ust. 1, art. 103. art. 104 oraz art. 105 ust. 3 ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (Dz. U. z 2013 r., poz. 392 ze zm.) utrzymał w mocy zaskarżoną decyzję.

W uzasadnieniu rozstrzygnięcia organ ponownie wskazał, iż ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r., poz. 922 z późn. zm.), zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przetwarzanie, w tym udostępnienie, może być uznane za zgodne z prawem jedynie wówczas, gdy administrator danych wykaże spełnienie co najmniej jednej z materialnych przesłanek przetwarzania danych osobowych. Przesłanki te - co do zasady równoprawne, zostały enumeratywnie wymienione w art. 23 ust. 1 ustawy. Na mocy tego przepisu przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem, zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

W sytuacji, gdy określone zagadnienia dotyczące ochrony danych osobowych uregulowane zostały w odrębnych aktach prawnych, należy się do nich odwołać (art. 23. ust. 1 pkt 2 i art. 27 ust. 2 pkt 2 ustawy). Jeżeli zatem szczególny przepis prawa przyznaje określonemu podmiotowi uprawnienie do żądania danych osobowych lub nakłada obowiązek ich udostępnienia po stronie podmiotu, do którego w tym celu się zwrócono, udostępnienie danych nie może być traktowane jako naruszenie przepisów ustawy o ochronie danych osobowych.

W tym miejscu ponownie organ przywołał przepisy ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (Dz. U. z 2013 r., poz. 392 ze zm.), zwanej dalej ustawą o UFG. Zgodnie z 102 ust. 1 tej ustawy wynika, że UFG pełni funkcję ośrodka informacji, który przetwarza informacje o wszystkich sprzedanych polisach komunikacyjnych OC. W myśl jej art. 102 ust. 2 do zadań UFG, jako ośrodka informacji należy prowadzenie rejestru umów ubezpieczenia działu II grupy 3 i 10 załącznika do ustawy o działalności ubezpieczeniowej z wyłączeniem odpowiedzialności przewoźnika. UFG gromadzi dane zawierające informacje dotyczące uczestników zdarzenia powodującego odpowiedzialność zakładu ubezpieczeń z tytułu zawartej umowy ubezpieczenia OC posiadaczy pojazdów mechanicznych (art. 102 ust. 3 ustawy o UFG). Gromadzone są także dane zawierające: 1) informacje dotyczące zdarzenia powodującego odpowiedzialność zakładu ubezpieczeń z tytułu zawartej umowy ubezpieczenia, określonego w grupie 3 działu II załącznika do ustawy o działalności ubezpieczeniowej, 2) datę zgłoszenia do zakładu ubezpieczeń zdarzenia (kradzieży); 3) datę i wysokość wypłaty odszkodowania lub datę odmowy wypłaty odszkodowania (art. 104 ust. 4 ustawy o UFG). UFG gromadzi również dane dotyczące reprezentantów do spraw roszczeń ustanawianych przez zakłady ubezpieczeń na podstawie ustawy o działalności ubezpieczeniowej oraz dane organu odszkodowawczego ustanowionego w każdym państwie członkowskim Unii Europejskiej (art. 103 ustawy o UFG). Fundusz jest uprawniony do przetwarzania ww. danych, w celu kontroli spełnienia obowiązku zawarcia umowy ubezpieczenia obowiązkowego oraz w celu identyfikacji i weryfikacji zjawisk związanych z przestępczością ubezpieczeniową albo dla innych celów, po modyfikacji, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą (art. 102 ust. 7 ustawy o UFG).

Przepisem, który określa zasady udostępniania zgromadzonych danych jest art. 104 ustawy o UFG. Wyznacza on krąg podmiotów i warunki na jakich dane są przekazywane. Zgodnie z art. 104 ust. 1 pkt 1 UFG udostępnia zgromadzone dane poszkodowanemu, uprawnionemu lub innemu podmiotowi, w zakresie dotyczącym ubezpieczenia OC posiadaczy pojazdów mechanicznych, z wyłączeniem imienia i nazwiska oraz adresu posiadacza pojazdu sprawcy lub kierującego tym pojazdem; jeżeli poszkodowany, uprawniony lub inny podmiot żąda udostępnienia danych dotyczących imienia i nazwiska oraz adresu posiadacza pojazdu sprawcy lub kierującego tym pojazdem, w związku z zaistniałą szkodą, powinien wykazać interes prawny w uzyskaniu tych danych.

Dane są przekazywane do Funduszu przez centralną ewidencję pojazdów oraz zakłady ubezpieczeń bezpłatnie oraz bez wiedzy i zgody osoby, której te dane dotyczą (art. 105 ust. 3 ustawy o UFG).

Z zebranego materiału dowodowego wynika, iż Skarżący nie jest jednym z podmiotów uprawnionych do uzyskania danych osobowych posiadacza pojazdu z bazy UFG, jego żądanie nie jest bowiem związane z zaistniałą szkodą, spowodowaną zdarzeniem komunikacyjnym objętym umową ubezpieczenia OC.

Pismem z dnia [...] kwietnia 2015 r. Skarżący zwrócił się do UFG z wnioskiem o udostępnienie danych osobowych posiadacza pojazdu [...], który posiada polisę OC nr [...] w [...] S.A. Oddział w [...]. Mając na uwadze powołane wyżej przepisy oraz okoliczności przedmiotowej sprawy organ stwierdził, że nakazanie UFG udostępnienia Skarżącemu żądanych przez niego danych osobowych nie znajduje uzasadnienia w żadnej z ww. przesłanek. W kontekście przedmiotowej sprawy podkreślono, że prawnego uzasadnienia udostępnienia tych danych nie stanowi przesłanka wynikająca z art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 5 ustawy, na którą powołuje się Skarżący, a który przewiduje konieczność spełnienia kilku przesłanek łącznie, m.in. niezbędność przetwarzania danych do osiągnięcia prawnie usprawiedliwionych celów. W przedmiotowej sprawie należy uznać, że po stronie UFG nie istnieje obowiązek udostępnienia danych osobowych, a więc spełnienia żądania Skarżącego, dla realizacji wskazanego przez niego celu. w sytuacji gdy może on zrealizować ten cel na podstawie odrębnych przepisów prawa.

Przytoczone powyżej przepisy prowadzą do konkluzji, iż wniosek Skarżącego o udostępnienie danych osobowych posiadacza pojazdu [...] nr VIN [...] skierowany do UFG był bezzasadny. Skarżący nie posiada bowiem uprawnienia do żądania udostępnienia danych osobowych ze zbioru UFG, w szczególności, gdy możliwa jest realizacja uprawnienia lub spełnienia obowiązku bez przetwarzania żądanych danych stanowiących tajemnicę ubezpieczeniową.

Wobec powyższego, w ocenie organu, UFG odmawiając udostępnienia danych osobowych właściciela pojazdu [...] nr VIN [...], działało zgodnie z prawem.

Od powyższej decyzji skargę do tutejszego Sądu wywiódł Ł. C.

Wniósł o jej uchylenie i zasądzenie kosztów postępowania.

W uzasadnieniu strona wskazała, że rozpoznając ponownie sprawę organ utrzymał swoją decyzję w mocy i odmówił nakazania UFG udostępnienia danych osobowych. Powołał się na literalne brzmienie art. 104 ust. 1 ustawy dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych. Stwierdził, że zawarty tam katalog podmiotów uprawnionych ma charakter zamknięty.

Już na etapie pisma inicjującego postępowanie przed GIODO skarżący odniósł się do tej (przewidywanej) argumentacji, podnosząc, że analogiczna sytuacja ma miejsce w przypadku art. 18 ust. 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną gdzie sądy przyjęły pogląd, iż enumeratywne wymienienie w ustawie podmiotów mogących skutecznie zwracać się do administratorów danych nie zamyka drogi innym osobom bezpośrednio na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (wyrok NSA I OSK 1666/12, wyrok WSA w Warszawie WSA w Warszawie, sygn. II SA/Wa 569/14). Ponadto skarżący podnosił, że UFG udziela informacji komornikom sądowym w trybie z art. 761 § 1 k.p.c., a więc również oparciu o przepis znajdujący się poza ustawą regulującą działanie tego organu.

W toku całego postępowania GIODO ani razu nie odniósł się do tej argumentacji i nie przedstawił wyjaśnienia dlaczego w sytuacji skarżącego należy zastosować inną wykładnię od tej, która dominuje w orzecznictwie sądów administracyjnych.

Skarżący nie widzi podstaw do różnicowania jego położenia względem kogoś, kto stara się uzyskać informację o numerze IP osoby, która zamieściła przez internet zniesławiający komentarz. W obu przypadkach chodzi o zidentyfikowanie potencjalnego pozwanego i gwarantowane Konstytucją RP prawo do sądu. Co więcej posiadanie samochodu jest czymś z natury jawnym i informacja o tym nie wymaga większej ochrony niż swoboda wypowiedzi czy prawo do prywatności. Ponadto nabywca pojazdu zobowiązany jest zarejestrować ten fakt w Urzędzie Gminy. Gdyby tutaj do tego doszło, skarżący za 30 zł i 40 gr uzyskałby informację o nowym właścicielu z CEPiK w trybie z art. 80c ust. 4 ustawy z dnia 20 czerwca 1997 r. Prawo o ruchu drogowym.

GIODO abstrahuje także od własnego orzecznictwa. W decyzji [...] nakazał bankowi udostępnienie Straży Miejskiej danych użytkownika przewłaszczonego pojazdu. I to w sytuacji, kiedy w grę wchodził art. 105 ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, który nie tylko - jak będący przedmiotem tego sporu przepis - operuje jak się wydaje zamkniętym katalogiem podmiotów uprawnionych, ale dodatkowo katalog ten ograniczony jest określeniem "wyłącznie".

W odpowiedzi na skargę organ wniósł o jej oddalenie podtrzymując argumentację zawartą w skarżonym rozstrzygnięciu.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

zgodnie z treścią przepisu art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 z późn. zm.) sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym, z punktu widzenia jego zgodności z prawem materialnym i procesowym.

Oceniając przedmiotową decyzję według powyższych kryteriów, uznać należy, iż nie narusza ona prawa.

Istota sprawy w niniejszym postępowaniu sprowadzała się do analizy stany faktycznego przez pryzmat przepisu art. 23 ust. 1 pkt 2 w zw. z art. 27 ust. 2 pkt 2 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.).

Zgodnie z wyżej powołanymi regulacjami jeżeli szczególny przepis prawa przyznaje określonemu podmiotowi uprawnienie do żądania danych osobowych lub nakłada obowiązek ich udostępnienia po stronie podmiotu, do którego w tym celu się zwrócono, udostępnienie danych nie może być traktowane jako naruszenie przepisów ustawy o ochronie danych osobowych.

Skoro więc ustawa o ochronie danych osobowych odsyła do szczególnych przepisów prawa, to w realiach niniejszej sprawy takim aktem prawnym będzie ustawa z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (Dz. U. z 2013 r., poz. 392 ze zm.). Ten akt prawny reguluje bowiem m.in. obowiązki spoczywające na Ubezpieczeniowym Funduszu Gwarancyjnym i tryb jego funkcjonowania. W takiej więc sytuacji, należało przede wszystkim przeanalizować zapisy powyższej ustawy w celu ustalenia, czy zawiera ona zapisy regulujące materię udostępniania danych gromadzonych przez Ubezpieczeniowy Fundusz Gwarancyjny. Jeżeli bowiem w omawianym akcie prawnym znajdowałyby się takie zapisy, to będą one miały pierwszeństwo przed regulacjami ustawy o ochronie danych osobowych.

Przechodząc zaś już do wspomnianej wyżej analizy ustawa z dnia 22 maja

2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (Dz. U. z 2013 r., poz. 392 ze zm.) to w jej art. 104 została wymieniona wyczerpująca lista podmiotów, którym Fundusz udostępnia zgromadzone w nim dane. Najogólniej rzecz ujmując, wyżej powołany przepis reguluje materię dostępu do danych przetwarzanych przez Fundusz w związku ze zdarzeniami dotyczącymi ubezpieczenia odpowiedzialności cywilnej, co jest najzupełniej zrozumiałe biorąc pod uwagę fakt, że wspomniana ustawa reguluje materię związaną z tego rodzaju ubezpieczeniem.

Zestawiając treść powyższej regulacji art. 104, z wnioskami wysnutymi przez organ w skarżonym rozstrzygnięciu, jako uprawnione jawiły się konkluzje organu, iż wnioskodawca nie należy do podmiotów, którym Fundusz może udostępnić gromadzone dane. Dodatkowo wspomnieć należy też o tym, że cel, w którym wnioskodawca zamierza posiąść wspomniane dane, odbiega od materii będącej przedmiotem zainteresowania Funduszu. To więc również przemawia za trafnością poglądu organu, że w trybie omawianego aktu prawnego wnioskodawca nie ma możliwości otrzymania interesujących go danych.

Wbrew twierdzeniom skarżącego, w realiach prawnych niniejszej sprawy nie zachodziła możliwość skutecznego powoływania się na orzecznictwo sądowo-administracyjne wypracowane na kanwie ustawy o świadczeniu usług drogą elektroniczną. W ustawie o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych – odmiennie niż w ustawie o świadczeniu usług drogą elektroniczną ustawodawca nie zawarł odesłania do ustawy o ochronie danych osobowych. Nie ma tu bowiem adekwatnego stwierdzenia do tego, jakie znajduje się w ustawie o świadczeniu usług drogą elektroniczną, że do przetwarzania danych osobowych stosuje się przepisy ustawy o ochronie danych osobowych o ile przepisy ustawy o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych nie stanowią inaczej. W związku z powyższym należało uznać, że w realiach niniejszej sprawy katalog podmiotów wymieniony w art. 104 ustawy o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych, którym Fundusz może udostępniać gromadzone dane, jest katalogiem zamkniętym. Skoro zaś, jak to już podkreślono wyżej, skarżący nie należy do tego katalogu, to tym samym jego wniosek nie mógł zostać uwzględniony.

Bez wpływu na poprawność skarżonego rozstrzygnięcia pozostaje to, czy istotnie Fundusz udostępnia gromadzone przez siebie dane innym podmiotom niż wymienione w art. 104 omawianej ustawy, tj. m.in. Komornikom sądowym. W niniejszej sprawie Sąd może bowiem jedynie badać zasadność i zgodność z prawem skarżonej decyzji. Nie jest zaś uprawniony do badania prawidłowości funkcjonowania Ubezpieczeniowego Funduszu Gwarancyjnego w zakresie wykraczającym poza ramy niniejszej sprawy. Stąd więc także uwypuklenia wymagało to, że brak ustosunkowania się przez organ do podnoszonych przez stronę twierdzeń o udostępnianiu przez Fundusz danych innym podmiotom niż wymienione w art. 104 omawianej ustawy, nie rzutowało na poprawność skarżonego rozstrzygnięcia. Tego typu uchybienie, badane przez pryzmat art. 145 § 1 pkt 1 lit. c ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t. j. Dz. U. z 2016 r., poz. 718 ze zm.) pozostawało bowiem bez wpływu na rozstrzygnięcie.

W tym stanie sprawy, nie podzielając argumentów zawartych w złożonej skardze, oraz uznając, iż organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, jak również, że przy wykonywaniu tych czynności nie naruszył przepisów prawa, Wojewódzki Sąd Administracyjny w Warszawie orzekł, jak w sentencji wyroku, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t. j. Dz. U. z 2016 r., poz. 718 ze zm.).