Wyrok WSA w Warszawie z dnia 16 grudnia 2015 r., sygn. II SA/Wa 658/15

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA - Stanisław Marek Pietras (spraw.) Sędzia WSA - Andrzej Kołodziej Sędzia WSA - Janusz Walawski Protokolant - specjalista Aleksandra Weiher po rozpoznaniu na rozprawie w dniu 10 grudnia 2015 r. sprawy ze skargi P. Sp. z o. o. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lutego 2015 r. nr [...] w przedmiocie przetwarzania danych osobowych - oddala skargę -

Uzasadnienie

Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili w P. Sp. z o.o. z siedzibą w W. przy ul. [...], kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, której zakresem objęto przetwarzanie przez spółkę danych biometrycznych w postaci odcisków linii papilarnych swoich klientów, zaś stan faktyczny szczegółowo opisano w protokole kontroli, który został podpisany przez członka Zarządu Spółki.

Na podstawie zgromadzonego podczas kontroli materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych spółka, jako administrator danych, naruszyła przepisy o ochronie danych osobowych, polegające na:

1. przetwarzaniu bez podstawy prawnej danych biometrycznych swoich klientów (art. 23 ust. 1 ustawy);

2. niezawarciu w ewidencji osób upoważnionych do przetwarzania danych osobowych identyfikatorów użytkowników przetwarzających dane z wykorzystaniem systemu informatycznego, daty ustania upoważnienia, jak również zakresu upoważnienia (art. 39 ust. 1 ustawy).

W związku z powyższym Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności sprawy.

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego pełnomocnik spółki w piśmie z dnia [...] lipca 2014 r. złożył wyjaśnienia, w których poinformował, iż prowadzona w spółce ewidencja osób upoważnionych do przetwarzania danych osobowych uwzględnia obecnie wszystkie elementy przewidziane w art. 39 ust. 1 ustawy (dodatkowo w załączeniu do pisma pełnomocnika Spółki z dnia [...] lipca 2014 r. załączono wydruk ww. ewidencji). Ponadto odnosząc się do pkt 1 zawiadomienia o wszczęciu postępowania administracyjnego wyjaśnił m.in., iż stosowanie systemu biometrycznej kontroli wstępu (dalej także "system") do prowadzonych przez spółkę klubów nie prowadzi do przetwarzania danych osobowych z uwagi na fakt, że dane te nie umożliwiają identyfikacji osoby bez poniesienia nadmiernych nakładów. Z uwagi na sposób funkcjonowania systemu biometrycznej kontroli wstępu, opartego na biometrycznych czytnikach kontroli dostępu, kwestie przetwarzania danych biometrycznych klienta należy rozważyć przede wszystkim w odniesieniu do trwającej tysięczne ułamki sekund operacji wyliczenia kodu na podstawie pobranego wzorca biometrycznego, która to operacja odbywa się w biometrycznym czytniku kontroli, poza systemem informatycznym spółki o nazwie "[...]". Ponadto "system" nie przekazuje wzorców danych do systemu informatycznego spółki i niezwłocznie usuwa je po dokonaniu porównania, "system", który dokonuje wyłącznie weryfikacji, nie posiada archiwum referencyjnego (nie dokonuje weryfikacji tożsamości na zasadzie badania zgodności wzorca biometrycznego z biometrycznymi danymi referencyjnymi zapisanymi w systemie informatycznym spółki, bo takowych zapisanych w systemie nie ma, wzorce biometryczne mają charakter anonimowy, gdyż nie są powiązane z innymi danymi pozwalającymi na weryfikację/identyfikację osoby), "system" nie przechowuje wzorców danych z innymi danymi jednostki, stosowane są zabezpieczenia wzorców biometrycznych przed nieuprawnionym dostępem osób trzecich, cechy biometryczne gromadzone incydentalnie przez spółkę nie mogą zostać uznane za dane osobowe, gdyż nie identyfikują one osoby, której dane dotyczą. Ponadto w ocenie spółki, w razie jednak przyjęcia, że dane biometryczne przetwarzane przez spółkę stanowią dane osobowe i dochodzi do ich przetwarzania, to należy uznać, że zbiór danych jest sporządzany przez spółkę doraźnie, wyłącznie ze względów technicznych, a dane podlegają natychmiastowemu usunięciu (co ogranicza stosowanie ustawy o ochronie danych osobowych do rozdziału V). Natomiast na wypadek uznania, że stosowanie przez spółkę systemu biometrycznej kontroli wstępu prowadzi do przetwarzania danych osobowych, które nie jest objęte zakresem normy wyrażonej w art. 2 ust. 3 ustawy o ochronie danych osobowych, przetwarzanie (danych biometrycznych) jest dopuszczalne z uwagi na wyrażanie zgody na ich przetwarzanie przez klientów spółki, tj. osoby, których dane dotyczą. Na podstawie regulaminów klubów spółki, posiadanie opaski z kodem utworzonym na podstawie danych biometrycznych nie jest konieczne do korzystania z klubów fitness. Klient może otrzymać opaskę bez zapisanego na niej kodu i na takich samych zasadach korzystać z usług spółki. W "Ogólnych warunkach członkostwa" wskazano, że wstęp do klubów spółki jest możliwy za okazaniem karty członkowskiej, z czego wynika, że klienci spółki nie muszą korzystać z opasek z mikroprocesorem, bo o prawie wstępu do klubów, zgodnie z regulaminami klubów spółki, decyduje także posiadana karta. Klienci spółki nie są zobowiązani do wyrobienia opaski z kodem i w związku z tym udostępniania swoich danych biometrycznych w celu wstępu do klubu. Klienci mogą wyrobić opaskę bez zapisywania na niej kodu (opaska taka nie otwiera bramki po przyłożeniu do czytnika, w celu wejścia do klubu; klient posiadający taką opaskę podchodzi do recepcji, gdzie po sprawdzeniu jego tożsamości, pracownik recepcji mechanicznie otwiera bramkę do klubu) utworzonego na podstawie wzorców biometrycznych, czy też kontynuować korzystanie z karty członkowskiej na dotychczasowych zasadach. Przez przystąpienie do wyrobienia, a następnie korzystania z opaski z mikroprocesorem, klient wyraża zgodę na przetwarzanie danych biometrycznych w sposób świadomy, tj. posiadając wiedzę co do celu ich przetwarzania. Klient jest bowiem informowany o zasadach funkcjonowania "systemu" i o tym, że spółka stosuje go w celu kontroli wstępu do klubów. Kwestionowanie złożonych oświadczeń o wyrażeniu zgody na przetwarzanie danych osobowych jest błędne z uwagi na brak relacji podporządkowania w stosunku klient - spółka oraz brak uprawnień organu ochrony danych osobowych w zakresie badania skuteczności wyrażenia zgody. Przy powyższym założeniu nie powstaje zbiór, który mógłby podlegać zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.