Tak wynika z precedensowego wyroku Naczelnego Sądu Administracyjnego (NSA) w kolejnym sporze o dane osobowe.

Problem w sprawie pojawił się, gdy w październiku 2021 r. komendant straży miejskiej wystąpił do operatora komórkowego o udostępnienie danych osobowych jednego z abonentów. Konkretnie chodziło o imię, nazwisko i adres zamieszkania. Funkcjonariusz wyjaśnił, że dane są mu potrzebne w związku z podejrzeniem popełnienia wykroczenia. Spółka żądanych danych odmówiła. Wskazała na brak jednoznacznej podstawy prawnej umożliwiającej udostępnienie danych osobowych objętych tajemnicą telekomunikacyjną. Komendant nie odpuszczał. Ponownie zwrócił się o interesujące go dane. Poinformował firmę o prowadzonych czynnościach wyjaśniających i powołał się nie tylko na konkretne przepisy prawa telekomunikacyjnego, ale także na art. 10a ust. 1 pkt 1 oraz art. 12 ust. 1 pkt 5 ustawy o strażach gminnych, art. 54 § 1 oraz art. 56 § 2 kodeksu postępowania w sprawach o wykroczenia oraz art. 23 ust. 1 pkt 2 i 4 ustawy o ochronie danych osobowych. Operator dalej upierał się przy swoim, więc komendant poskarżył się prezesowi Urzędu Ochrony Danych Osobowych (UODO) i dopiął swego.

Czy dane abonentów mogą być ujawnione straży miejskiej?

Prezes UODO nakazał spółce udostępnienie danych osobowych abonenta strażnikom. Wskazał m.in., że zgodnie z art. 13 ust. 1 ustawy z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, właściwe organy przetwarzają dane osobowe wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Jak podkreślił UODO, realizacja zadań nałożonych na straż miejską ustawowo wymaga wykorzystania informacji o osobach, których działania te dotyczą. Przepisy ustawy o strażach gminnych wprost stanowią o jej prawie do przetwarzania danych osobowych w związku z realizacją określonych prawem zadań, bez konieczności uzyskania na to zgody osoby, której dane dotyczą (art. 10a ust. 1). Zdaniem prezesa UODO, oznacza to, że komendant, na mocy stosownych przepisów, ma prawo zwrócić się do operatora telekomunikacyjnego o udostępnienie niezbędnych danych osobowych. Operator zaś, mając na względzie fakt realizacji obowiązku czuwania przez straż miejską nad przestrzeganiem prawa przez obywateli, powinien udostępnić informacje we wnioskowanym zakresie. UODO zauważył, że w spornej sprawie straż miejska wykonuje zadania w zakresie ochrony porządku publicznego. Do ich wypełnienia niezbędne jest ustalenie sprawcy wykroczenia, a następnie skierowanie do sądu wniosku o ukaranie. Dlatego w ocenie urzędnika, istnienie po stronie straży obowiązku wynikającego z przepisów prawa jest czynnikiem, który spółka powinna wziąć pod uwagę w kontekście realizacji obowiązku ochrony danych abonenta na gruncie prawa telekomunikacyjnego.

Czytaj więcej

Minister finansów Andrzej Domański
Dane osobowe
Prezes UODO: przepisy o KAS są sprzeczne z konstytucją i RODO

Firma nie zgadzała się z nakazem. Twardo obstawała, że w sprawie nie chodzi o przypadek z ustawy o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, a ona nie ma status "administratora" w rozumieniu tych przepisów. Zasłaniała się też tajemnicą telekomunikacyjną. Dlatego zaskarżyła decyzję UODO i wygrała. Najpierw podstaw do udostępnienia danych abonenta strażnikom nie dopatrzył się Wojewódzki Sąd Administracyjny (WSA) w Warszawie. Uznał, że dane osobowe abonenta spółki nie zostały zebrane przez nią w celach opisanych w art. 1 pkt 1 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. To znaczy rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności. WSA nie miał wątpliwości, że ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości nie ma zastosowania do podmiotu takiego jak skarżąca. W szczególności nie jest ona w ich świetle administratorem.

Czy dane osobowe abonenta firmy telekomunikacyjnej są chronione tajemnicą? 

Przy czym, jak podkreślił sąd, ustawa o strażach gminnych nie daje automatycznie podstawy dla stosowania ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, wobec spółki, do której ma zastosowanie RODO oraz prawo telekomunikacyjne. Przepisy ustawy o strażach gminnych statuują bowiem jedynie podstawę prawną dla przetwarzania danych przez straż gminną, nie mogą zaś być źródłem obowiązku prawnego ciążącego na innym podmiocie. Zwłaszcza gdy jednocześnie ciąży na nim szczególny – wykraczający nawet poza RODO – prawny obowiązek strzeżenia tajemnicy o charakterze ustawowym. WSA nie przekonały też argumenty UODO dotyczące wykładni prawa telekomunikacyjnego. Jego zdaniem brak jest bowiem przepisu rangi ustawowej, który zobowiązywałby przedsiębiorcę telekomunikacyjnego do udostępnienia straży miejskiej danych osobowych abonenta i tym samym zwalniał go z obowiązku zachowania tajemnicy telekomunikacyjnej. 

Czytaj więcej

Strażnik miejski na ulicy Szczecina
Samorząd
NSA rozstrzygnął, czy straż miejska dostanie dane z polisy sprawcy wykroczenia

Ostatecznie do podobnych wniosków doszedł NSA. Co prawda zastrzegł, że nie przesądza, czy w systemie prawa istnieje jakakolwiek podstawa do żądania przez straż gminną czy miejską danych o abonentach od przedsiębiorstwa telekomunikacyjnego. Niemniej w normach spornych w sprawie się jej nie dopatrzył. NSA zgodził się, że żądane dane nie są zbierane w celach z art. 1 pkt 1 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. A spółka nie jest administratorem w rozumieniu tej ustawy. Jeśli chodzi o samą tajemnicę telekomunikacyjną to sąd zestawił ogólny art. 10a ustawy o straży gminnej z przepisami tzw. ustaw branżowych dotyczącymi m.in. policji i innych służb mundurowych. I jak tłumaczyła sędzia NSA Tamara Dziełakowska szczegółowość tych regulacji, określenie trybów, w jakich dane, w tym abonenta mogą być żądane przez te służby, przesądza o tym, że nie można uznać art. 10a ustawy o straży gminnej za podstawę do przełamania tajemnicy telekomunikacyjnej. NSA nie przekonała też argumentacja wynikająca z powołanego przez UODO orzecznictwa, które jest nieaktualne, bo dotyczy czasu, gdy nie obowiązywało RODO ani ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Obecnie dwa reżimy ochrony danych osobowych zostały rozdzielone na RODO i ten związany z zapobieganiem przestępstwom. Wyrok jest prawomocny.

Sygnatura akt: III OSK 1708/23

Opinia dla "Rzeczpospolitej"
prof. Grzegorz Sibiga, adwokat, partner w kancelarii Traple, Konarski, Podrecki i Wspólnicy

Wyrok NSA i poprzedzający go wyrok WSA w Warszawie są ze wszech miar trafne. Przepisy ustawy i stanowiącej jej pierwowzór unijnej dyrektywy 2016/680 dotyczą ochrony danych osobowych przetwarzanych przez właściwe organy w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych. Zadaniem prezesa UODO jest władcze reagowanie sanujące stan naruszenia tych przepisów o ochronie przez te organy i podmioty, którym one powierzyły przetwarzanie danych. Natomiast nie mieści się w jego kompetencjach i celach samych przepisów wymuszanie przez prezesa udostępniania przez przedsiębiorców danych osobowych służbom. Działania prezesa UODO są o tyle niepokojące, że przekracza on swoje ustawowe kompetencje, próbując być nadmiarowo swoistym regulatorem umożliwiającym dostęp służb do danych osobowych na rynku, a jednocześnie publicznie narzeka, że nie jest w stanie terminowo rozpatrywać skarg osób, których dane dotyczą, na naruszenie ich praw, co powinno być jego podstawowym zadaniem.