PRZEGL D USTAWODAWSTWA GOSPODARCZEGO Rok LXIX Nr 8 (818) Warszawa Sierpieñ 2016 PL ISSN 0137-5490 Nr indeksu 371319 w numerze m.in. Podstawy prawne przetwarzania danych objêtych tajemnic¹ telekomunikacyjn¹ No yce kosztowo-cenowe jako stan faktyczny nadu ycia pozycji dominuj¹cej, a inne praktyki eksploatuj¹ce i wykluczaj¹ce Kilka uwag o relacji pomiêdzy ekstraterytorialnym stosowaniem polskich regulacji zakazuj¹cych praktyk konkurencyjnych, a wymian¹ informacji w ramach Europejskiej Sieci Konkurencji Przestêpstwo rozpowszechniania nieprawdziwych informacji stypizowane w art. 305 2 Kodeksu karnego zagadnienia wybrane www.pug.pl POLSKIE WYDAWNICTWO EKONOMICZNE
PRZEGLA D USTAWODAWSTWA GOSPODARCZEGO NR 8 SIERPIEŃ PL ISSN 0137-5490 MIESIE CZNIK Redaktor naczelny: Prof. dr hab. Kazimierz Strzyczkowski (Uniwersytet Łódzki) Sekretarz redakcji: Mariusz Gorzka Rada naukowa: Prof. dr hab. Jan Błeszyński (Uniwersytet Warszawski) Prof. dr nauk prawnych Oleg Gorodow (Państwowy Uniwersytet w Sankt Petersburgu, Rosja) Prof. Heibert Hirte (Uniwersytet w Hamburgu, Niemcy) Dr hab. Robert Jastrzębski (Uniwersytet Warszawski) Prof. dr hab. Peter-Christian Müller-Graff (Uniwersytet w Heidelbergu, Niemcy) Doc. Oleg P. Lichichan (Dyrektor Instytutu Prawa Państwowego Uniwersytetu w Irkucku, Rosja) Prof. dr hab. Karol Sobczak (Szkoła Główna Handlowa) Prof. dr hab. Elżbieta Skowrońska-Bocian (Uniwersytet Warszawski) Dr hab. Marek Szydło (Uniwersytet Wrocławski) Prof. Ruth Taplin (University of Leicester, Wielka Brytania) Dr Ryszard Tupin (Uniwersytet Warszawski) Adres Redakcji 00-099 Warszawa, ul. Canaletta 4 tel. (22) 827 80 01; fax (22) 827 55 67 E-mail: pug@pwe.com.pl Wydawca Polskie Wydawnictwo Ekonomiczne SA 00-099 Warszawa 84, skr. poczt. 91 E-mail: pwe@pwe.com.pl WARUNKI PUBLIKACJI: http://www.pug.pl PRENUMERATA na 2016 r.:,,ruch,, SA Zamówienia na prenumeratę w wersji papierowej i na e-wydania można składać bezpośrednio na stronie www.prenumerata ruch.com.pl Ewentualne pytania prosimy kierować na adres e-mail: prenumerata@ruch.com.pl lub kontaktując się z Centrum Obsługi Klienta,,Ruch pod numerami 22 693 70 00 lub 801 800 803 czynne w dni robocze w godzinach 7 00 17 00. Koszt połączenia wg taryfy operatora Garmond Press SA Dział Prenumeraty tel. (22) 837 30 08 http://www.garmondpress.pl/prenumerata Kolporter SA Departament Dystrybucji Prasy tel. (22) 355 04 72 do 75 http://www.kolporter.com.pl GLM Sp. z o.o. Dział Dystrybucji Prasy tel. (22) 649 41 61 e-mail: prenumerata@glm.pl http://www.glm.pl As Press tel. (22) 750 84 29, (22) 750 84 30 Poczta Polska SA infolinia 801 333 444 http://www.poczta-polska.pl/prenumerata Sigma-Not Zakład Kolportażu tel. (22) 840 30 86 e-mail: bok kol@sigma-not.pl Terminy prenumeraty: do 30 listopada dla prenumeraty realizowanej od 1 stycznia następnego roku; do końca lutego dla prenumeraty realizowanej od II kwartału bieżącego roku; do końca maja dla prenumeraty realizowanej od III kwartału bieżącego roku; do końca sierpnia dla prenumeraty realizowanej od IV kwartału bieżącego roku. Cena prenumeraty: Roczna 670,80 zł Półroczna 335,40 zł Prenumerata u Wydawcy: Polskie Wydawnictwo Ekonomiczne SA 00-099 Warszawa, ul. Canaletta 4 bialek@pwe.com.pl Prenumerata roczna 25% rabatu. Prenumerata półroczna 10% rabatu. Nakład: 850 egzemplarzy Cena 1 egz. 55,90 zł (w tym 5% VAT) Skład i łamanie: Zdzisław Wasilewski, Warszawa, ul. Resorowa 28, tel. 605 105 574 Druk: Lotos Poligrafia sp. z o.o., Warszawa, ul. Wał Miedzeszyński 98, tel. 22 872 33 66 TREŚĆ NUMERU ARTYKUŁY Andrzej Krasuski, Uniwersytet Kardynała Stefana Wyszyńskiego Podstawy prawne przetwarzania danych objętych tajemnica telekomunikacyjna Legal grounds for processing data covered by telecommunication secrecy 2 Daria Kostecka-Jurczyk, Uniwersytet Wrocławski Nożyce kosztowo-cenowe jako stan faktyczny nadużycia pozycji dominuja cej, a inne praktyki eksploatuja ce i wykluczaja ce Margin squeeze as an abuse of dominant position and other exploitative and exclusionary conducts 13 Marta Urbańska-Arendt, Uniwersytet Łódzki Kilka uwag o relacji pomiędzy ekstraterytorialnym stosowaniem polskich regulacji zakazuja cych praktyk konkurencyjnych, a wymiana informacji w ramach Europejskiej Sieci Konkurencji Some background notes on the relations between extraterritorial application of Polish regulations on anticompetitive practices and the exchange of information within the European Competition Network 20 KONSULTACJE Łukasz Pasternak Przestępstwo rozpowszechniania nieprawdziwych informacji stypizowane w art. 305 2 Kodeksu karnego zagadnienia wybrane The offense of spreadof false information characterized in art. 305 2 of Criminal Code selected issues 29 Szanowni Czytelnicy i Autorzy Archiwalne artykuły z 2015 r. już dostępne na stronie internetowej naszego pisma. Co miesiąc wraz z nowym numerem PUG-u kolejny numer archiwalny: http://www.pug.pl/archiwum W najbliższych numerach: Tryb rezygnacji członka zarządu spółki kapitałowej z mandatu Biegły rewident jako zawód zaufania publicznego,,przegląd Ustawodawstwa Gospodarczego jest czasopismem naukowym punktowanym przez Ministerstwo Nauki i Szkolnictwa Wyższego (8 punktów)
Podstawy prawne przetwarzania danych objętych tajemnicą telekomunikacyjną Legal grounds for processing data covered by telecommunication secrecy dr Andrzej Krasuski Streszczenie Przedmiotem artykułu jest omówienie problemu wzajemnej sprzeczności przepisów art. 159 ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (tekst jednolity: DzU 2014, poz. 243 ze zm., dalej,,ustawa Prawo telekomunikacyjne lub,,pr.tel. ) oraz art. 161 ust. 1 pr.tel., odnoszących się do podstaw prawnych przetwarzania danych objętych tajemnicą telekomunikacyjną. Przepisy te regulują tę samą materię w odmienny sposób, przy czym żaden z nich nie jest przepisem szczególnym wobec drugiego. Problem ten jest widoczny w szczególności w przypadku, gdy przedmiotem przetwarzania są dane o podwójnym statusie, tzn. są objęte tajemnicą telekomunikacyjną oraz stanowią jednocześnie dane osobowe, w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: DzU 2015, poz. 2135 ze zm., dalej,,ustawa o ochronie danych osobowych lub,,u.o.d.o ). Sprzeczność wyżej wymienionych przepisów skutkuje zapadaniem niespójnych orzeczeń sądów administracyjnych w zakresie podstaw przetwarzania danych objętych tajemnicą telekomunikacyjną. Problematyka wyboru prawa właściwego do przetwarzania danych objętych tajemnicą telekomunikacyjną dotyczy wszystkich dostawców publicznie dostępnych usług telekomunikacyjnych, którzy przetwarzają duże wolumeny danych, co ma niewątpliwie wpływ na bezpieczeństwo obrotu prawnego na rynku telekomunikacyjnym. W niniejszym artykule przedstawione zostały również wnioski de lege ferenda w zakresie zmian przepisów odnoszących się do podstaw prawnych przetwarzania danych objętych tajemnicą telekomunikacyjną. Słowa kluczowe: dane osobowe, tajemnica telekomunikacyjna, przedsiębiorca telekomunikacyjny, sprzeczność przepisów, podwójny status danych. Summary The subject of this article is the discussion of the issue of mutual contradiction of Article 159 sec. 2 of the Telecommunications Act of 16 July 2004 (unified text: Journal of Laws of 2014, Pos. 243, as amended, hereinafter referred to as the Telecommunication Act or pr.tel. ) and Article 161 sec. 1 of the pr.tel., referring to the legal grounds of processing personal data covered by telecommunication secrecy. These provisions regulate the same subject in a different way, although none of these provisions is a special provision towards the other. The issue is in particular visible in case when the subject matter of processing refer to data of double status, i.e. data which is covered by telecommunication secrecy and simultaneously constitute personal data, in the meaning of the Data Protection Act of 29 August 1997 (unified text: Journal of Laws of 2015, Pos. 2135, as amended, hereinafter referred to as the Data Protection Act or u.o.d.o. ). The contradiction of the provisions referred to above result in incoherent court rulings of administrative courts regarding the grounds of processing data covered by telecommunication secrecy. The issue of choosing the relevant regulations for processing data covered by telecommunication secrecy refers to all providers of telecommunication services, which process large volumes of data, and which undoubtedly impacts the security of legal transactions on the telecommunication market. This article sets out also the de lege ferenda conclusions regarding changes of regulations concerning the legal grounds of processing data covered by telecommunication secrecy. Key words: personal data, telecommunication secrecy, telecommunication entrepreneur, contradiction of law, double status of data. Wprowadzenie Jednym z rodzajów działalności telekomunikacyjnej jest świadczenie usług telekomunikacyjnych 1. Podmiot świadczący usługi telekomunikacyjne 2 został przez ustawodawcę nazwany jako,,dostawca usług telekomunikacyjnych 3. Dostawca usług telekomunikacyjnych może uzyskać zdolność do świadczenia usług telekomunikacyjnych za pośrednictwem własnej infrastruktury telekomunikacyjnej, infrastruktury telekomunikacyjnej, z której korzysta na podstawie praw zależnych, jak również poprzez odsprzedaż usług telekomunikacyjnych świadczonych przez innego dostawcę usług telekomunikacyjnych. Zawarta w art. 2 pkt 41 pr.tel. definicja,,świadczenia usług telekomunikacyjnych przewiduje, że świadczenie usług telekomunikacyjnych obejmuje między innymi sprzedaż we własnym imieniu i na własny rachunek usługi telekomunikacyjnej wykonywanej przez innego dostawcę usług. Przedstawiona w niniejszym artykule problematyka dotyczy szerokiego kręgu dostawców usług telekomunikacyjnych, obejmując nim zarówno dostawców usług telekomunikacyjnych eksploatujących (szerzej na ten temat,,eksploatacji sieci telekomunikacyjnych w kontekście zawartej w art. 2 pkt 4 pr.tel. definicji,,dostarczania sieci telekomunikacyjnych; Krasuski, 2015, s. 115) własną bądź dzierżawioną infrastrukturę telekomunikacyjną (por. art. 2 pkt 27 b) pr.tel., jak również dostawców usług uzyskujących zdolność do kierowania sygnałów w sieciach telekomunikacyjnych poprzez usługi 2 NR 8 2016 PRZEGLA D USTAWODAWSTWA GOSPODARCZEGO
PODSTAWY PRAWNE PRZETWARZANIA DANYCH OBJE TYCH TAJEMNICA TELEKOMUNIKACYJNA telekomunikacyjnie realizowane przez podmioty trzecie (np. operatorzy wirtualni (Krasuski, 2009, s. 147 4 ; ang. Mobile Virtual Network Operator, skrót MVNO). W ramach prowadzonej działalności telekomunikacyjnej dostawcy usług przetwarzają dane o klientach, jak również dane o potencjalnych (przyszłych) klientach. Dane dotyczące potencjalnych klientów gromadzone są z różnych źródeł, w tym, między innymi, poprzez nabywanie baz danych 5, poprzez pozostawienie przez potencjalnego klienta danych na oficjalnych stronach internetowych dostawcy usług, poprzez pozostawienie informacji w punkcie obsługi klienta (ang. Point of Sale, skrót POS), jak również podczas rozmowy telefonicznej inicjowanej przez potencjalnego klienta. Dostawcy usług telekomunikacyjnych przetwarzają również dane swoich abonentów, które gromadzone są w związku z zawarciem i wykonaniem umowy oświadczenie usług telekomunikacyjnych 6. Dane osobowe Zakres danych przetwarzanych przez dostawcę usług telekomunikacyjnych we wskazanych powyżej przypadkach, jak również ich kwalifikacja prawna ma wpływ na ocenę, czy do przetwarzania tych danych przez dostawcę usług telekomunikacyjnych zastosowanie znajdą przepisy ustawy o ochronie danych osobowych. Zgodnie z art. 6 u.o.d.o. za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (ust. 1). Przywołana definicja danych osobowych obejmuje również osoby fizyczne prowadzące indywidualną działalność gospodarczą. Stan taki jest konsekwencją uchylenia z dniem 31 grudnia 2011 r. przepisu art. 7a ust. 2 ustawy 19 listopada 1999 r. Prawo działalności gospodarczej 7, który wyłączał dane osobowe zawarte w ewidencji działalności gospodarczej spod przepisów ustawy o ochronie danych osobowych. Dlatego też zakres danych o osobach fizycznych prowadzących indywidualną działalność gospodarczą należy oceniać z punktu widzenia przepisu art. 6 u.o.d.o. W art. 6 ust. 2 u.o.d.o. tego przepisu przewidziano zaś, że osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Jak wskazano w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 lutego 2010 r. 8 użyty przez ustawodawcę w art. 6 ust. 2 ustawy o ochronie danych osobowych przysłówek pośrednio powoduje, iż identyfikacja osoby może nasta pić również na podstawie zestawienia różnych informacji pozwalaja cych określić jej tożsamość. Aby ustalić, czy osoba może być zidentyfikowana, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby (Krasuski, 2012, s. 77) 9. Jak wskazał na przykład Wojewódzki Sąd Administracyjny w Opolu w wyroku z dnia z dnia 6 listopada 2014 r. 10, danymi osobowymi w rozumieniu ustawy o ochronie danych osobowych są z pewnością informacje pozwalające na określenie tożsamości osoby, czyli: imię, nazwisko, adres, numery PESEL i NIP. Ochrona danych osobowych polega między innymi na określeniu, kiedy dozwolone, a kiedy zabronione jest ich przetwarzanie. Status prawny dostawcy usług telekomunikacyjnych w ustawie o ochronie danych osobowych Cel, dla którego dostawca usług telekomunikacyjnych gromadzi dane osobowe, ma wpływ na ustalenie jego statusu prawnego w procesie przetwarzania danych osobowych. W tym miejscu wskazać należy, że termin,,przetwarzanie jest terminem zdefiniowanym w art. 7 pkt 2 u.o.d.o., przy czym ustawodawca nie określił enumeratywnie czynności składających się na,,przetwarzanie danych osobowych. Przetwarzaniem danych osobowych objęte zostały wszystkie operacje wykonywane na danych osobowych, w tym również w systemach informatycznych (Barta, Fajgielski, Markiewicz, 2007, s. 402). Zakres czynności objętych definicją przetwarzania obejmuje także przechowywanie danych oraz ich usuwanie. Ustawa o ochronie danych osobowych definiuje w art. 7 pkt 4 administratora danych, jako podmiot, który decyduje o celach i środkach przetwarzania danych osobowych. W kontekście tej definicji decydowanie o celach przetwarzania danych osobowych musi uwzględniać to, że: 1) cel musi być całkowicie związany z danym podmiotem, który dane osobowe przetwarza; 2) podmiot ten podejmuje decyzje o realizacji celu w sposób samodzielny; 3) podmiot ten podejmuje decyzje w sposób faktyczny. Cel przetwarzania danych osobowych uwarunkowany jest zatem stosunkiem prawnym, istniejącym pomiędzy administratorem danych a osobą fizyczną, wynikającym bądź to z przepisu prawa, bądź złączącego strony stosunku cywilnoprawnego. Definicja,,administratora danych odwołuje się również do środka przetwarzania danych osobowych. Środek przetwarzania danych osobowych obejmuje całość procesów w zakresie przetwarzania danych osobowych, obejmujących warstwę infrastrukturalną, oprogramowania, zarówno w skali mikro, jak i makro. Podejmowanie decyzji o środkach przetwarzania danych osobowych należy odnieść do wszystkich czynności składających się na przetwarzanie danych osobowych. Administrator danych nie musi być właścicielem poszczególnych czy też wszystkich elementów infrastruktury, w oparciu o którą przetwarza dane osobowe. Nie musi również infrastruktury tej eksploatować, zachowując nadal status administratora danych. W opinii 1/2010 Grupy Roboczej 11 w sprawie pojęć,,administrator danych i,,przetwarzający wskazano, że pojęcie administratora danych jest autonomiczne w tym sensie, że należy je interpretować głównie na podstawie PRZEGLA D USTAWODAWSTWA GOSPODARCZEGO NR 8 2016 3
LEGAL GROUNDS FOR PROCESSING DATA COVERED BY TELECOMMUNICATION SECRECY wspólnotowych przepisów o ochronie danych, i funkcjonalne w tym sensie, że ma na celu przydzielanie obowiązków tam, gdzie występuje faktyczny wpływ, a zatem opiera się raczej na analizie okoliczności faktycznych niż na analizie formalnej. W stosunku do danych osobowych gromadzonych przez dostawcę usług telekomunikacyjnych w celu świadczenia usługi telekomunikacyjnej, bądź prowadzenia akcji marketingowych, dostawca usług telekomunikacyjnych posiada status administratora danych. Na administratorze danych spoczywają następujące obowiązki: a) dysponowania podstawą przetwarzania danych osobowych, przez cały okres, w którym dane te są przetwarzane; b) wykonania obowiązku informacyjnego; c) zgłoszenia zbiorów danych do rejestru 12 ; d) zabezpieczenia danych osobowych. Podwójny status danych Jednym z obowiązków, jakie spoczywają na administratorze danych, jest obowiązek dysponowania podstawą przetwarzania danych. Zagadnienie wyboru prawa właściwego mającego zastosowanie do przetwarzania danych osobowych gromadzonych przez dostawcę usług telekomunikacyjnych powstaje wówczas, gdy dane osobowe dotyczą kategorii osoby fizycznej, którą dostawca usług telekomunikacyjnych oznaczył w ustawie Prawo telekomunikacyjne jako,,użytkownik. Termin,,użytkownik został zdefiniowany w art. 2 pkt 49 pr.tel. i oznacza podmiot korzystający z publicznie dostępnej usługi telekomunikacyjnej lub podmiot, który żąda świadczenia takiej usługi. Usługa publicznie dostępna to inaczej usługa dostępna dla ogółu użytkowników (por. art. 2 pkt 29 pr.tel.). W świetle powyższego użytkownikiem jest zatem nie tylko osoba fizyczna (jak również osoba fizyczna prowadząca indywidualną działalność gospodarczą), która jest stroną umowy o świadczenie usług telekomunikacyjnych, ale również osoba, która występuje z żądaniem o zawarcie takiej umowy. W drugim przypadku status użytkownika posiada osoba, która znajduje się na przykład w procesie negocjowania umowy o świadczenie usług telekomunikacyjnych. Jeżeli osoba fizyczna, której dane są przetwarzane ma status użytkownika, dane te objęte są również ochroną przewidzianą w ustawie Prawo telekomunikacyjne. Zakres danych objętych tajemnicą telekomunikacyjną ujęty został w przepisie art. 159 ust. 1 pr.tel., zaś w pkt 1 obejmuje dane dotyczące użytkownika. Wybór prawa właściwego do oceny podstawy przetwarzania danych osobowych, objętych tajemnica telekomunikacyjna w oparciu o normę odsyłaja ca Problem wyboru prawa właściwego wynika z niespójnych przepisów dotyczących podstaw przetwarzania danych osobowych objętych tajemnicą telekomunikacyjną, określonych w ustawie Prawo telekomunikacyjne. Ustawa o ochronie danych osobowych określa przesłanki przetwarzania danych osobowych (niebędących danymi wrażliwymi 13 ) w przepisie art. 23 ust. 1 u.o.d.o. Wśród przesłanek legalizujących przetwarzanie danych osobowych znajdują się zarówno przesłanki ustawowe nie wymagające zgody (art. 23 ust. 1 pkt 2 5 u.o.d.o.), jak również zgoda art. 23 ust. 1 pkt 1 u.o.d.o. Z punktu widzenia przepisu art. 23 u.o.d.o. jedyną przesłanką przekazania danych pomiędzy administratorami danych w celach marketingowych jest zgoda (art. 23 ust. 1 pkt 1 u.o.d.o.). Ustawa o ochronie danych osobowych nie stanowi jednak jedynej regulacji prawnej, w której określone zostały zasady przetwarzania danych osobowych, w tym ich przekazywania (udostępniania) podmiotom trzecim. W pewnych przypadkach będzie istniała konieczność rozstrzygnięcia, które z przepisów należy zastosować w danym przypadku: przepisy ustawy o ochronie danych osobowych wraz z przepisami odrębnych ustaw (tzw. przepisami sektorowymi), czy też przepisy sektorowe zamiast przepisów szczególnych. W kontekście wyboru prawa właściwego do oceny podstawy przetwarzania danych osobowych należy wskazać na przepis art. 5 u.o.d.o., który jest łącznikiem pomiędzy Ustawą o ochronie danych osobowych a przepisami szczególnymi, poprzez zawartą w przepisie tym normę odsyłającą (Krasuski, 2012, s. 33). Przepis art. 5 u.o.d.o. stanowi, że jeżeli przepisy odrębnych ustaw 14, które odnoszą się do przetwarzania danych osobowych, przewidują dalej idącą ochronę, niż wynika to z ustawy o ochronie danych osobowych, wówczas stosuje się przepisy tych ustaw (Adamski, 2007) 15. W powołanym powyżej przepisie została zawarta reguła postępowania w przypadku kolizji ustaw we wskazanym zakresie czyli ustawodawca przewiduje zasadę rozstrzygania zbiegu norm na korzyść tych norm, które przewidują wyższy poziom ochrony prawnej 16. W orzecznictwie wskazuje się, że zawarta w tym przepisie reguła służy realizacji dwóch postulatów w przypadku pojawienia się kolizji ustaw. Po pierwsze, ustawodawca przyjmuje zasadę rozstrzygania zbiegu norm na korzyść tych norm, które przewidują wyższy poziom ochrony, po drugie zaś ustanawia regułę kolizyjną, lex specialis derogat legi generali. Przy czym norma derogująca (specialis) pozbawia mocy normę derogowaną (generalis) nie w całości, ale tylko dla tych stosunków, dla których odmiennie reguluje zachowanie się adresata 17. Przepis art. 159 ust. 2 pr.tel. wprowadza ogólny zakaz przetwarzania danych, w tym danych osobowych, objętych tajemnicą telekomunikacyjną. Od zakazu tego ustawodawca przewidział wyjątki, przy czym wyjątkom tym nadał charakter ścisły, zamykając je w liście enumeratywnie określonych przypadków przetwarzania danych objętych tajemnicą telekomunikacyjną. W tym zakresie, mając na względzie porównanie podstaw przetwarzania danych objętych tajemnicą telekomunikacyjną, określonych w art. 159 ust. 2 pr.tel. oraz podstaw przetwarzania określonych w art. 23 ust. 1 u.o.d.o., wskazać należy, że określone w ustawie Prawo telekomunikacyjne podstawy przetwarzania danych zapewniają wyższy poziom ochrony. 4 NR 8 2016 PRZEGLA D USTAWODAWSTWA GOSPODARCZEGO
PODSTAWY PRAWNE PRZETWARZANIA DANYCH OBJE TYCH TAJEMNICA TELEKOMUNIKACYJNA Zgodnie z przepisem art. 159 ust. 2 pr.tel., zakaz przetwarzania danych objętych tajemnicą telekomunikacyjną podlega wyłączeniu, gdy: będzie to przedmiotem usługi lub będzie to niezbędne do jej wykonania; nastąpi za zgodą nadawcy lub odbiorcy, których dane te dotyczą; dokonanie tych czynności jest niezbędne w celu rejestrowania komunikatów i związanych z nimi danych transmisyjnych, stosowanego w zgodnej z prawem praktyce handlowej dla celów zapewnienia dowodów transakcji handlowej lub celów łączności w działalności handlowej; będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi. Wśród przesłanek legalizujących przetwarzanie danych objętych tajemnicą telekomunikacyjną wymienione zostały zarówno przesłanki ustawowe niewymagające zgody (art. 159 ust. 2 pkt 1, 3 4 pr.tel.) jak również zgoda (wskazana w art. 159 ust. 2 pkt 2 pr.tel.). Przesłanki ustawowe legalizuja ce przetwarzanie danych osobowych objętych tajemnica telekomunikacyjna a) Przesłanka określona w art. 159 ust. 1 pkt 1 pr.tel. Pierwsza z przesłanek legalizujących przetwarzanie danych objętych tajemnicą telekomunikacyjną odnosi się do dwóch przypadków, tj. a) przetwarzania danych, gdy jest to przedmiotem usługi, lub b) gdy jest to niezbędne do wykonania usługi (art. 159 ust. 2 pkt 1 pr.tel.). Przykładem usługi, która dotyczy danych objętych tajemnicą telekomunikacyjną jest usługa biura numerów. Przepis art. 159 ust. 2 pkt 1 pr.tel. legalizuje przetwarzanie danych objętych tajemnicą telekomunikacyjną również z uwagi na niezbędność do świadczenia usługi telekomunikacyjnej. Niezbędne do świadczenia usługi telekomunikacyjnej będzie wykorzystanie danych transmisyjnych (Krasuski, 2015, s. 1297). I tak żaden z opisanych w przepisie art. 159 ust. 2 pkt 1 pr.tel. przypadków nie dotyczy przekazywania danych pomiędzy dostawcami usług telekomunikacyjnych w celach marketingowych. b) Przesłanka określona w art. 159 ust. 1 pkt 3 pr.tel. Opisana w przepisie art. 159 ust. 2 pkt 3 pr.tel. przesłanka legalizująca przetwarzanie danych objętych tajemnicą telekomunikacyjną odnosi się do uzyskiwania potwierdzenia transakcji prowadzonych w ramach handlu elektronicznego. c) Przesłanka określona w art. 159 ust. 1 pkt 4 pr.tel. Zgodnie przepisem art. 159 ust. 1 pkt 4 pr.tel. przetwarzanie danych objętych tajemnicą telekomunikacyjną jest dopuszczalne, pomimo sformułowanego w przepisie tym zakazu, gdy będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi. Zgodnie z oficjalnym stanowiskiem Prezesa UKE z 17 czerwca 2014 r. w sprawie udostępniania danych objętych tajemnicą telekomunikacyjną 18 przez odrębne przepisy, o których mowa w art. 159 ust. 2 pkt 4 i ust. 4 pr.tel. należy rozumieć przepisy prawa powszechnie obowia zuja cego, które wprost i wyraźnie daja podstawę do udostępniania danych objętych tajemnica telekomunikacyjna. Nie powinno bowiem ulegać wa tpliwości, iż wszelkie wyja tki od gwarantowanych konstytucyjnie praw obywateli nie moga być domniemywane z przepisów o charakterze ogólnym. Prezes UKE swoje stanowisko oparł m.in. na wyroku Naczelnego Sądu Administracyjnego z 20 lutego 2013 r. 19, w którym Sąd stwierdził, iż wykładnia art. 159 ust. 2 pkt 4 Prawa telekomunikacyjnego wskazuje bowiem, iż konieczność udostępnienia danych z innych powodów musi być przewidziana w przepisach odrębnych w sposób wyraźny, a nie dorozumiany. Przemawia za tym wzgla d na generalny zakaz udostępniania danych stanowia cych tajemnicę telekomunikacyjna oraz enumeratywnie wyliczone wyła czenia, które z uwagi na to, iż znosza ochronę tajemnicy ustawowo chronionej (w tym dóbr osobistych), wymagaja ścisłego interpretowania. Zdaniem Naczelnego Sądu Administracyjnego przepisy odrębne, w rozumieniu art. 159 ust. 2 pkt 4 pr.tel., musza w sposób wyraźny i jednoznaczny wskazywać powody, dla których ochrona tajemnicy telekomunikacyjnej może zostać przełamana. Przykładem w tym zakresie, zdaniem Sądu, mogą być przepisy ustawy z dnia 6 kwietnia 1990 r. o Policji 20, np. art. 19 ust. 6 pkt 3 w zw. z art. 19 ust. 12 tej ustawy. Analizując podstawy przekazania danych objętych tajemnicą telekomunikacyjną w oparciu o przesłanki wyłączające Uz ogólnego zakazu przetwarzania danych objętych tajemnicą telekomunikacyjną, określone w art. 159 ust. 2 pr.tel., wskazać należy, że również w tym przypadku żadnazprze- słanek ustawowych legitymizujących wyłączenie zakazu przekazania danych objętych tajemnicą telekomunikacyjną bez zgody (art. 159 ust. 2 pkt 1, 3 4 pr.tel.), nie znajduje zastosowania do przekazywania danych pomiędzy przedsiębiorcami telekomunikacyjnymi. W tym kontekście należy wskazać nastanowiskowoje- wódzkiego Sądu Administracyjnego w Warszawie, przedstawione w wyroku z dnia 25 października 2013 r. 21,zgodnie z którym, jeśli zasadą jest, że dane osobowe mogą być przetwarzane za zgodą osoby, której dotyczą, towszelkie wyjątki od niej muszą być interpretowane ściśle. Dlatego też w świetle przepisu art. 159 pr.tel. podstawą przekazania przez jednego dostawcę usług telekomunikacyjnych danych osobowych swoich abonentów na rzecz drugiego dostawcy usług w celach marketingowych powinna być zgoda. Zbieg norm odnosza cych się do podstaw przetwarzania danych o podwójnym statusie analiza orzeczeń Rozstrzygnięcie zbiegu norm mających zastosowanie do danych osobowych, będących jednocześnie danymi objętymi tajemnicą telekomunikacyjną było przedmiotem orzeczeń sądów administracyjnych. Jak wskazuje się w wyrokach PRZEGLA D USTAWODAWSTWA GOSPODARCZEGO NR 8 2016 5
LEGAL GROUNDS FOR PROCESSING DATA COVERED BY TELECOMMUNICATION SECRECY Naczelnego Sądu Administracyjnego, przepisy ustawy o ochronie danych osobowych mają charakter ogólny i znajdują zastosowanie wszędzie tam, gdzie przetwarzanie i związana z tym procesem ochrona danych nie jest regulowana szczegółowo w innym akcie rangi ustawowej 22. Porównując treść przepisu art. 23 ust. 1 u.o.d.o. z przepisem art. 159 ust. 2 pr.tel. wskazać można na następujący wniosek. Przepis art. 159 ust. 2 pr.tel. wychodzi od ogólnego zakazu przetwarzania danych objętych tajemnicą telekomunikacyjnych, wskazując przy tym wąski katalog przesłanek wyłączających z obowiązku zachowania tajemnicy telekomunikacyjnej. W porównaniu z art. 23 ust. 1 u.o.d.o., przedstawiony w art. 159 ust. 2 pr.tel. katalog przesłanek przetwarzania jest węższy, co wskazuje, że przepis art. 159 ust. 2 pr.tel. zapewnia wyższy poziom ochrony przetwarzanych danych. Jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 26 stycznia 2009 r. 23 : To, że w ustawie Prawo telekomunikacyjne zawarte sa uregulowania dalej chronia ce procesy przetwarzania danych osobowych objętych tajemnica telekomunikacyjna art. 159 ust. 2 i art. 161 ust. 2 nie oznacza, że ustawa o ochronie danych osobowych nie znajduje zastosowania w całości. Wymienione przepisy ustawy Prawo telekomunikacyjne wyła czaja stosowanie ustawy o ochronie danych osobowych tylko w zakresie, w jakim przewiduja dalej ida ca ochronę danych osobowych od tej jaka została zagwarantowana ta ostatnia ustawa. Przepis art. 159 ust. 2 ustawy Prawo telekomunikacyjne, w myśl którego zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystanie treści lub danych objętych tajemnica telekomunikacyjna przez osoby inne niż nadawca i odbiorca komunikatu, chyba że wysta pia okoliczności wymienione w pkt 1 4 art. 159 ust. 2 ustawy, jest przepisem przewiduja cym silniejsza ochronę danych niż przepis art. 23 ust. 1 ustawy o ochronie danych osobowych i dlatego to on znajdzie zastosowanie jako podstawa legalizuja ca przetwarzanie danych objętych tajemnica telekomunikacyjna. W takiej sytuacji dojdzie więc do częściowego wyła czenia przepisów ustawy o ochronie danych osobowych. Wyła czenie to dotyczyć będzie przewidzianych w tej ustawie przesłanek legalizuja cych przetwarzanie danych osobowych art. 23 ust. 1 ustawy. Ocena legalności przetwarzania danych objętych tajemnica telekomunikacyjna odbywać się będzie z uwzględnieniem zasad określonych w art. 159 ust. 2 ustawy Prawo telekomunikacyjne, jako przepisu przewiduja cego wyższy poziom ochrony. W przytoczonym powyżej stanowisku Naczelnego Sądu Administracyjnego w sposób jednoznaczny przyznano prymat ustawie Prawo telekomunikacyjne do oceny podstaw przetwarzania danych osobowych, które jednocześnie stanowią dane objęte tajemnicą telekomunikacyjną. W takim przypadku, zastosowanie znajdują przepisy ustawy Prawo telekomunikacyjne. Podobne stanowisko przedstawione zostało w postanowieniu NSA z dnia 15 lipca 2010 r. 24, w którym Sąd stwierdził: Wymienione przepisy ustawy Prawa telekomunikacyjnego wyła czaja stosowanie ustawy o ochronie danych osobowych tylko w zakresie, w jakim przewiduja dalej ida ca ochronę danych osobowych od tej, jaka została zagwarantowana ta ostatnia ustawa. W zwia zku z tym, zastosowanie w niniejszej sprawie znajduje art. 5 ustawy o ochronie danych osobowych reguluja cy relację zachodza ca między normami prawa wewnętrznego, poprzez wprowadzenie zasady rozstrzygania zbiegu norm na korzyść tych norm, które przewiduja wyższy poziom ochrony. O zakresie i sposobie ochrony danych osobowych objętych tajemnica telekomunikacyjna decydować będa, więc przepisy Prawa telekomunikacyjnego, a nie ustawy o ochronie danych osobowych. Podobne stanowisko przedstawione zostało w wyroku NSA z 19 stycznia 2015 r. 25, w którym Sąd stwierdził: Stosownie do treści art. 1 ust. 2 w zw. z art. 7 pkt 2 pierwszej z wymienionych ustaw, przetwarzanie danych osobowych, a więc ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotycza, lub dobro osób trzecich w zakresie i trybie określonym ustawa. Jeżeli jednak przepisy odrębnych ustaw, które odnosza się do przetwarzania danych, przewiduja dalej ida ca ochronę, niż wynika to z niniejszej ustawy, to w rozumieniu art. 5 ustawy o ochronie danych osobowych, stosuje się przepisy tych ustaw. Przytoczony wyżej przepis określa relacje między normami prawa wewnętrznego i statuuje zasadę rozstrzygania zbiegu norm na korzyść tych norm, które przewiduja wyższy poziom ochrony. W polskim systemie prawa istnieje wiele przepisów odrębnych, które odnosza się do szeroko rozumianego przetwarzania danych osobowych. Zaliczyć do nich w szczególności należy przepisy ustawy Prawo telekomunikacyjne, gdzie w art. 161 ust. 1 w zw. z art. 159 ust. 1 pkt 1 ustawodawca unormował problematykę przetwarzania danych osobowych użytkownika objętych tajemnica telekomunikacyjna. Z przytoczonych powyżej orzeczeń wynikają następujące wnioski. Po pierwsze, że w przypadku, gdy przedmiotem przetwarzania są dane osobowe dotyczące użytkownika, to podstaw prawnych przetwarzania tych danych należy poszukiwać w ustawie Prawo telekomunikacyjne, nie zaś w ustawie o ochronie danych osobowych. Po drugie, że podstawa do zastosowania ustawy Prawo telekomunikacyjne w miejsce ustawy o ochronie danych osobowych wynika z art. 5 u.o.d.o. Po trzecie zaś, że przepis art. 5 u.o.d.o. odsyła do art. 159 ust. 2 pr.tel., gdyż to właśnie ten przepis określa podstawy przetwarzania danych objętych tajemnicą telekomunikacyjną. Relacja przepisu art. 159 pr.tel. do przepisu art. 161 pr.tel. problemy interpretacyjne Relacja przywołanego przepisu art. 159 ust. 2 pr.tel., wprowadzającego zakaz przetwarzania danych objętych tajemnicą telekomunikacyjną do przepisu art. 161 ust. 1 pr.tel. przedstawia się w następujący sposób. Przepis art. 161 6 NR 8 2016 PRZEGLA D USTAWODAWSTWA GOSPODARCZEGO
PODSTAWY PRAWNE PRZETWARZANIA DANYCH OBJE TYCH TAJEMNICA TELEKOMUNIKACYJNA ust. 1 pr.tel. stanowi, że z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te zwane dalej,,przetwarzaniem dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów rangi ustawy (przepisów ustawowych). Zdanie pierwsze powyższego przepisu powiela treść przesłanki legalizującej przetwarzanie danych, objętych tajemnicą telekomunikacyjną, określonej w art. 159 ust. 2 pkt 1 pr.tel. (Piątek, 2013, s. 960) 26. W konkluzji, zarówno treści, jak również dane objęte tajemnicą telekomunikacyjną mogą być przetwarzane na podstawie przesłanki ustawowej (a więc bez konieczności pobierania zgody), gdy przetwarzanie to dotyczy (jest przedmiotem) usługi telekomunikacyjnej, bądź jest niezbędne do jej wykonania. Ze zdania drugiego art. 161 ust. 1 pr.tel. wynika jedynie, że przetwarzanie treści lub danych objętych tajemnicą telekomunikacyjną może odbywać się na podstawie przepisów rangi ustawowej 27. W kontekście wskazanego w poprzednim zdaniu odesłania ustawodawca jest nieprecyzyjny. Na przykład w przepisie art. 159 ust. 2 pkt 4 pr.tel. ustawodawca wskazując na,,ustawę Prawo telekomunikacyjne, nazywa ją,,ustawą. W tym samym przepisie posługuje się również terminem,,przepisy odrębne, mając na względzie inne przepisy niż ustawa Prawo telekomunikacyjne. Zgodnie z 6 rozporządzenia Prezesa Rady Ministrów z 20 czerwca 2002 r. w sprawie,,zasad techniki prawodawczej 28 przepisy ustawy powinno się redagować tak, aby dokładnie i w sposób zrozumiały dla adresatów zawartych w nich norm wyrażały intencje prawodawcy. Rozporządzenie to zostało wydane na podstawie art. 14 ust. 4 pkt 1 ustawy z 8 sierpnia 1996 r. o Radzie Ministrów (tekst jednolity: DzU 2012, poz. 392 ze zm.). Znaczenie tego rozporządzenia zostało określone w orzecznictwie sądów cywilnych i administracyjnych. Dla przykładu należy wskazać, że w wyroku Sądu Najwyższego z 15 czerwca 2012 r. 29,Sądorzekł, iż jakkolwiek naruszenie przepisów rozporządzenia z 20 czerwca 2002 r. w sprawie,,zasad techniki prawodawczej nie wywołuje z mocy prawa żadnych ujemnych skutków, to jednak trzeba uwzględnić, że zawiera ono ważne zalecenia dotyczące tworzenia aktów prawnych. Z literalnego brzmienia przepisu art. 161 ust. 2 pr.tel. wynika odesłanie do przepisów ustawowych, innych niż przepisy ustawy Prawo telekomunikacyjnego, gdyż ustawodawca nie posłużył się odesłaniem do,,ustawy, jak to uczynił w innych przepisach, w tym, między innymi, we wskazanym powyżej art. 159 ust. 2 pkt 4 pr.tel. Z punktu widzenia zastosowania literalnej wykładni, powstaje nieuprawnione zawężenie, skutkujące uchyleniem de jure przesłanek przetwarzania określonych w: pkt 2 4 art. 159 ust. 2 pr.tel. jak również w art. 165 ust. 3 pr.tel. Brak spójności pomiędzy przepisem art. 159 ust. 2 pr.tel. a przepisem art. 161 ust. 1 pr.tel. znalazł odzwierciedlenie w niespójnych orzeczeniach sądów administracyjnych, jakie zapadały w sprawach dotyczących podstaw przetwarzania danych o podwójnym statusie. wiadczy o tym choćby przywołany powyżej wyrok NSA z dnia 26 stycznia 2009 r., sygn. akt I OSK 174/08, CBOSA, w którym Sąd wskazuje, że w przypadku danych objętych tajemnicą telekomunikacyjną, ewentualnej podstawy przetwarzania danych należy poszukiwać wśród przesłanek legalizujących, określonych w przepisie art. 159 ust. 2 pr.tel., jak również postanowienie NSA z dnia 15 lipca 2010 r. oraz wyrok NSA z 19 stycznia 2015 r. W orzeczeniach tych Sąd upatruje w przepisie art. 159 ust. 2 pr.tel. podstaw wyłączenia zakazu przetwarzania danych objętych tajemnicą telekomunikacyjną. Zatem analiza zbiegu norm wynikających z art. 23 ust. 1 u.o.d.o. odbywa się w stosunku do przepisu art. 159 ust. 2 pr.tel. Z drugiej strony wskazać należy na orzeczenia sądów administracyjnych, które podstawę przetwarzania danych objętych tajemnicą telekomunikacyjną wywodzą z przepisu art. 161 ust. 1 pr.tel.. Sądy przyjmowały następującą interpretację przepisów dotyczących podstaw przetwarzania danych objętych tajemnicą telekomunikacyjną. Po pierwsze, w przypadku, gdy dane, będące przedmiotem przetwarzania mają podwójny status, a więc są jednocześnie danymi osobowymi oraz danymi, objętymi tajemnicą telekomunikacyjną, wówczas na podstawie art. 5 u.o.d.o. następuje odesłanie do ustawy Prawo telekomunikacyjne, do przepisu art. 161 ust. 1 pr.tel. Po drugie, gdy celem przetwarzania nie jest wykonanie usługi telekomunikacyjnej jak również dane nie są przedmiotem tej usługi, wówczas podstawa do przetwarzania danych osobowych powinna być określona w oparciu o,,przepisy ustawowe, inne niż ustawa Prawo telekomunikacyjne. Po trzecie, w przedstawionych poniżej wyrokach, jako podstawa przetwarzania danych, wskazana została Ustawa o ochronie danych osobowych. Po czwarte, odesłanie to następowało w sposób bezwarunkowy, tj. każdym przypadku, gdy dane osobowe, będące jednocześnie danymi osobowymi przetwarzane są w innych celach niż związanych ze świadczeniem usług telekomunikacyjnych (np. w celach marketingowych). Choć przepis art. 159 ust. 2 pkt 4 pr.tel. dopuszcza przetwarzanie danych objętych tajemnicą telekomunikacyjną na innych podstawach niż ustawa Prawo telekomunikacyjne, gdy będzie to konieczne z powodów określonych w treści przepisu szczególnego. W wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 16 maja 2011 r. 30,Sąd podniósł, że przepisy Prawa telekomunikacyjnego wyła czaja stosowanie ustawy o ochronie danych osobowych w zakresie, w jakim przewiduja dalej ida ca ochronę danych osobowych. W konsekwencji dostawca publicznie dostępnych usług telekomunikacyjnych (w rozumieniu art. 2 pkt 27 Prawa telekomunikacyjnego) jest uprawniony do przetwarzania danych osobowych usługobiorcy, jeżeli jego dane przetwarza w celu świadczenia i wykonania usługi telekomunikacyjnej. W każdym innym przypadku podejmowania działań, w szczególności realizuja cych cel komercyjny, marketingowy, a nie PRZEGLA D USTAWODAWSTWA GOSPODARCZEGO NR 8 2016 7
LEGAL GROUNDS FOR PROCESSING DATA COVERED BY TELECOMMUNICATION SECRECY zwia zany wprost z wykonaniem usługi telekomunikacyjnej, usługodawca będzie stosował przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU 2002 nr 101, poz. 926 ze zm.). Również w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9 listopada 2011 r. 31, Sąd wskazał, w kontekście zastosowania przepisu art. 161 ust. 1 pr.tel., że: Nie może być zatem wa tpliwości, iż dostawca publicznie dostępnych usług telekomunikacyjnych (w rozumieniu art. 2 pkt 27 ustawy Prawo telekomunikacyjne) jest uprawniony do przetwarzania danych osobowych usługobiorcy, jeżeli jego dane przetwarza w celu świadczenia i wykonania usługi telekomunikacyjnej. W każdym innym przypadku podejmowania działań, w szczególności realizuja cych cel komercyjny, marketingowy, a niezwia zany wprost z wykonaniem usługi telekomunikacyjnej, usługodawca będzie musiał stosować przepisy ustawy o ochronie danych osobowych i powołać się na przesłanki legalizuja ce przetwarzanie danych osobowych. Interpretacja podstaw przetwarzania danych o podwójnym statusie przedstawiona w powyższych orzeczeniach prowadzi do następujących wniosków. Po pierwsze, jeżeli dane o podwójnym statusie są przetwarzane jako przedmiot umowy o świadczenie usług telekomunikacyjnych, wówczas podstawa przetwarzania tych danych powinna wynikać z ustawowej przesłanki legalizującej przetwarzanie bez zgody, określonej w ustawie Prawo telekomunikacyjne (zawarty w art. 159 ust. 2 pkt 1 pr.tel. przedmiot regulacji powielony został w przepisie art. 161 ust. 1 zdanie 1 pr.tel.). Po drugie, jeżeli dane o podwójnym statusie mają być dodatkowo wykorzystane w innym celu, wówczas, zgodnie z art. 161 ust. 1 zdanie 2 pr.tel. do ich przetwarzania zastosowanie powinna znaleźć ustawa o ochronie danych osobowych 32. Przyjęcie odmiennej interpretacji, a zatem, że następuje zmiana celu przetwarzania danych z celu polegającego na wykonaniu usługi telekomunikacyjnej na cel, np. marketingowy nie miałoby sensu. Z jednej strony dlatego, że stan faktyczny, w jakim orzeczenia te zapadały takiego przypadku nie przewidywał. Ponadto, gdyby dostawca usług telekomunikacyjnych zaniechał dalszego przetwarzania danych objętych tajemnicą telekomunikacyjną, a rozpoczął przetwarzanie w celach marketingowych osoby fizycznej, która nie spełniałaby cech użytkownika, w rozumieniu art. 2 pkt 49 pr.tel., wówczas nie dochodziłoby do zbiegu norm przewidzianych w ustawie o ochronie danych osobowych oraz w ustawie Prawo telekomunikacyjne, a co za tym idzie podstawa przetwarzania danych osobowych powinna zostać ustalona wyłącznie w oparciu o przepis art. 23 ust. 1 u.o.d.o. bądź art. 27 ust. 2 u.o.do. Przesłanki ustawowe legalizuje przetwarzanie danych osobowych bez zgody, określone w art. 23 u.o.d.o. W kontekście wskazanych powyżej rozbieżności, mając na uwadze odesłanie zawarte w przepisie art. 161 ust. 1 zdanie 2 pr.tel., należy omówić przesłanki ustawowe z art. 23 u.o.d.o, nie wymagające zgody osoby fizycznej, z punktu widzenia dopuszczalności przekazania na tej podstawie danych osobowych do przetwarzania. Zważywszy na stanowisko przedstawione w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 25 października 2013 r. 33, wszelkie wyjątki od obowiązku pobierania zgody powinny być interpretowane w sposób ścisły. a) art. 23 ust. 1 pkt 3 u.o.d.o. w zw. z art. 161 ust. 1 pr.tel. Zgodnie z przepisem art. 23 ust. 1 pkt 3 u.o.d.o. przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (art. 23 ust. 1 pkt 3 u.o.d.o.). Drugi człon tego przepisu przewiduje sytuację, w której dana osoba wyraziła wolę zawarcia umowy, ale z uwagi na konieczność podjęcia określonych działań, na tym etapie nie może jeszcze dojść do jej zawarcia. Będzie to miało miejsce w trakcie różnych procedur prowadzących do zawarcia określonej umowy, takich jak np. postępowanie przetargowe, konkursowe, czy też w sytuacji, gdy dochodzi do zawarcia umowy przedwstępnej. b) art. 23 ust. 1 pkt 5 u.o.d.o. w zw. z art. 161 ust. 1 pr.tel. Przepis art. 23 ust. 1 pkt 5 u.o.d.o. dopuszcza przetwarzanie danych, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Dokonując wykładni tego przepisu należy zatem zwrócić uwagę, że stosowanie ww. przepisu wymaga nie tylko wykazania, że chodzi o realizowanie prawnie usprawiedliwionego celu, ale także dokonanie oceny, czy dla realizacji tego celu niezbędne jest przekazanie danych, pomimo braku zgody osoby, której dane te dotyczą. Ocena ta sprowadza się do wyważania racji i interesów,,właściciela danych, objętego ochroną prawną, a z drugiej administratora danych, również chronionego przez prawo w zakresie, w jakim może realizować prawnie usprawiedliwione cele i uprawnienia. Przy istniejącym konflikcie interesów, stosowanie przepisu art. 23 ust. 1 pkt 5 u.o.d.o. wymaga uwzględnienia rangi tych interesów w okolicznościach konkretnej sprawy. Oznacza to, że w przypadku przetwarzania danych osobowych przez administratora danych, bez zgody osoby, której te dane dotyczą, w pierwszej kolejności konieczne jest ustalenie i rozważenie, czy spełniona jest ustawowa przesłanka szczegółowa uzasadniająca przetwarzanie danych bez zgody osoby, której dane dotyczą 34. Tak też rozumiane są postanowienia dyrektywy 95/46 WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dalej,,dyrektywa 95/46/WE ) 35. 8 NR 8 2016 PRZEGLA D USTAWODAWSTWA GOSPODARCZEGO
PODSTAWY PRAWNE PRZETWARZANIA DANYCH OBJE TYCH TAJEMNICA TELEKOMUNIKACYJNA Przepis art. 7 lit. f Dyrektywy 95/46/WE dopuszcza przetwarzanie danych osobowych przez administratora danych, gdy jest to konieczne z punktu widzenia potrzeb wynikających z uzasadnionych interesów administratora lub osoby trzeciej, chyba że interesy te są podporządkowane interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą. Oznacza to, że dyrektywa nakazuje ważyć interesy obu stron w konkretnym przypadku i co do zasady dopuszcza przetwarzanie danych, które jest konieczne do realizacji prawnie usprawiedliwionych celów administratora danych. Stanowisko to potwierdzone zostało również w orzecznictwie. Jak wskazuje się w wyroku NSA z 30 marca 2006 r. 36, ustalenie, iż administrator danych osobowych realizuje cel prawnie usprawiedliwiony nie może przesa dzić o dopuszczalności przetwarzania danych osobowych (udostępnienia tych danych innemu podmiotowi) bez zgody osoby, której dane dotycza. Konieczne jest dokonanie oceny, czy jest to niezbędne dla realizacji tego celu, a co najważniejsze, dokonanie wyważenia interesów administratora danych i osoby, której dane dotycza, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP. Z art. 1 ustawy o ochronie danych osobowych wynika, że każdy ma prawo do ochrony dotycza cych go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 tej ustawy, dopuszczalne jest tylko ze względu na określone dobra i tylko w zakresie i trybie określonym ustawa. Realizacja prawnie usprawiedliwionego celu przez administratora danych w żadnym razie nie może naruszać praw i wolności osoby, której dane dotycza. W innym wyroku, Naczelny Sąd Administracyjny wskazał, że: w przypadku przetwarzania danych osobowych bez zgody osoby, której dane dotycza, w pierwszej kolejności konieczne jest rozważenie i ustalenie, czy spełniona jest ustawowa przesłanka szczegółowa pozwalaja ca na przetwarzanie danych bez tej zgody, a następnie ustalenie wszystkich okoliczności koniecznych do wyważenia niezbędnej ochrony interesów osoby, której dane dotycza oraz interesów administratora danych. Ustalenie, że administrator danych osobowych realizuje cel prawnie usprawiedliwiony, nie może przesa dzić o dopuszczalności przetwarzania danych osobowych (udostępnienia tych danych innemu podmiotowi) bez zgody osoby, której dane dotycza. Konieczne jest dokonanie oceny, czy jest to niezbędne dla realizacji tego celu, a co najważniejsze dokonanie wyważenia interesów administratora danych oraz osoby, której dane dotycza przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP 37. Podsumowując, wymiana danych osobowych, objętych dodatkowo tajemnicą telekomunikacyjną pomiędzy dostawcami usług telekomunikacyjnych nie może odbywać się w oparciu o przepis art. 23 ust. 1 pkt 5 u.o.d.o. w zw. z art. 161 ust. 1 zdanie 2 pr.tel., tj. w oparciu o przesłankę usprawiedliwionego celu. Przesłanka ta może stanowić bowiem podstawę przetwarzania danych (przekazywania danych), wtedy gdy uzyskanie zgody osoby fizycznej nie jest konieczne, a samo przekazywanie odbywa się bez zgody, potwierdzenia, czy oświadczenia złożonego przez osobę fizyczną. Administrator danych nie może przekazać danych objętych tajemnicą telekomunikacyjną innemu przedsiębiorcy telekomunikacyjnemu, dla przykładu na tej podstawie, że dane te są potrzebne temu przedsiębiorcy telekomunikacyjnemu w celach marketingowych. Zgoda jako podstawa do przekazania danych osobowych, objętych tajemnica telekomunikacyjna Mając na uwadze problem spójności przepisów określających podstawę przetwarzania danych objętych tajemnicą telekomunikacyjnych powstaje wątpliwość dotycząca podstawy prawnej, na jakiej dostawca usług telekomunikacyjnych może przekazać dane osobowe swoich abonentów innemu dostawcy usług telekomunikacyjnych w celach marketingowych. Stosując przepis art. 159 ust. 2 pr.tel. wskazać należy, że żadna z przewidzianych w przepisie tym przesłanek legalizujących przetwarzanie danych objętych tajemnicą telekomunikacyjną nie daje podstawy do przekazania tych danych w celach marketingowych podmiotowi trzeciemu (dla przykładu, innemu dostawcy usług telekomunikacyjnych). Dlatego też, jedyną podstawą na jakiej dane osobowe o abonencie, mogą zostać przekazane podmiotowi trzeciemu w celach marketingowych jest zgoda tego abonenta. Wskazując jako podstawę przetwarzania danych objętych tajemnicą telekomunikacyjną przepis art. 161 ust. 1 pr.tel. zamiast przepisu art. 159 ust. 2 pr.tel., podstawy prawnej do przekazania danych poszukiwać należy w przepisie art. 23 ust. 1 u.o.d.o. W przypadku analizy podstaw przetwarzania danych objętych tajemnicą telekomunikacyjną, określonych w art. 23 ust. 1 u.o.d.o., żadna z przesłanek legalizujących przetwarzanie danych osobowych (o których mowa w art. 23 ust. 1 pkt 2 5 u.o.d.o.) nie znajduje zastosowania do przekazania danych w celach marketingowych pomiędzy administratorami danych. Z związku z powyższym, również na podstawie ustawy o ochronie danych osobowych jedyną podstawą przetwarzania danych powinna być zgoda osobowy fizycznej, której dane mają być przekazane. W sytuacji opisanej powyżej pojawia się zatem pytanie, w oparciu o jakie podstawy prawne powinny być pobierane zgody i ile zgód 38 należy uzyskać, aby zalegalizować proces przekazanie danych. Za niezasadny należy uznać pogląd o potrzebie pobierania dwóch zgód, tzn. jednej zgody, odzwierciedlającej wymóg z art. 23 ust. 1 pkt 1 u.o.d.o. i drugiej, odzwierciedlającej wymóg z art. 159 ust. 2 pkt 2 pr.tel. Kierując się przepisem art. 5 u.o.do., w tego rodzaju przypadkach wystarczające będzie uzyskanie jednej zgody, przy czym abonent udzielający zgody, powinien posiadać informacje, że dane osobowe, będące przedmiotem przekazania na podstawie zgody, są objęte tajemnicą telekomunikacyjną. PRZEGLA D USTAWODAWSTWA GOSPODARCZEGO NR 8 2016 9