II SA/Wa 1286/23

II SA/Wa 1286/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-04-04
orzeczenie prawomocne
Data wpływu
2023-06-27
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Dorota Kozub-Marciniak
Iwona Maciejuk /sprawozdawca/
Joanna Kube /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2023 poz 1634
art. 145 par. 1 pkt 1 lit. c, art. 200 w zw. z art. 205
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U. 2022 poz 2000
art. 6, art. 7, art. 77 par. 1, art. 80, art. 107 par. 3,
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U. 2018 poz 1954
art. 172
Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne - tekst jedn.
Dz.U.UE.L 2016 nr 119 poz 1 art. 4 pkt 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędzia WSA Iwona Maciejuk (spr.), Asesor WSA Dorota Kozub-Marciniak, Protokolant referent Edyta Brzezicka po rozpoznaniu na rozprawie w dniu 4 kwietnia 2024 r. sprawy ze skargi P. sp. z o.o. z siedzibą w K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję, 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz strony skarżącej P. sp. z o.o. z siedzibą w K. kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania.
Uzasadnienie
M. S., zwana dalej wnioskodawczynią, uczestniczką postępowania, za pośrednictwem platformy e-PUAP, [...] stycznia 2021 r. złożyła skargę do Prezesa Urzędu Ochrony Danych Osobowych wskazując, że "Firma P. Sp. z o.o., prowadząca stronę z kodami rabatowymi B., od pewnego czasu zasypuje mnie niechcianymi e-mailami z adresu @B..pl." Wyjaśniła, że nie zapisywała się do newslettera na stronie B. ani nie przypomina sobie , żeby w inny sposób wyrażała zgodę na przetwarzanie swoich danych. W dniu [...].11.2020 r. przesłała e-mail na adres firmy P. podany w polityce prywatności na stronie B., zawierający cofnięcie zgody, gdyby ją niechcący gdzieś wyraziła, oraz sprzeciw wobec otrzymywania takiej poczty. Dodała, że P. Sp. z o.o., zwana dalej także Spółką, do tej pory w żaden sposób nie odpowiedziała na jej maila oraz, że nadal otrzymuje po kilka spamowych e-mali dziennie. W ocenie skarżącej firma P. od początku nielegalnie przetwarza jej dane w postaci e-mail, skoro nie zapisywała się do newslettera.
Wnioskodawczyni w piśmie z [...] stycznia 2021 r. doprecyzowała skargę, podtrzymała wcześniej wyrażone stanowisko dodając, że P. mimo upływu ponad 30 dni, w żaden sposób nie odpowiedziała na jej e-mail z ...11.2020 r. Zwróciła się do Prezesa UODO o nakazanie administratorowi, by spełnił jej żądanie - w zakresie uznania przez firmę P. cofnięcia jej zgody na przetwarzanie (choć, nie przypomina sobie, żeby takiej zgody udzielała) oraz uwzględnienia jej sprzeciwu wobec przetwarzania jej danych w postaci adresu e-mail w celu przesyłania jej wiadomości reklamowych, który w piśmie do P. z dnia ...11.2020 r. wyraziłam słowami "proszę NIGDY WIĘCEJ nie wysyłać treści reklamowych na mój adres e-mail". Zwróciła również uwagę, że w przykładowym e-mailu od P., który załączyła, znajduje się informacja: "Administratorem danych w postaci [...] .onet.pl jest P. Sp. z o.o., ul. C. [...], 30-048 K.. Dane przetwarzane są w celach marketingowych na podstawie oraz w zakresie zgód na przetwarzanie oraz na otrzymywanie informacji handlowych udzielonych Administratorowi." W ocenie wnioskodawczyni sugerowałoby to, że jej dane są przetwarzane na podstawie jej zgody - a tej na pewno nie udzielała firmie P. (na pewno nie zapisywała się do newslettera na stronie www.B..pl). Brała pod uwagę, że może chodzić o zgodę na "przekazanie danych partnerom handlowym", udzieloną innemu podmiotowi, na ile jednak rozumie zapisy RODO, zgoda na dostarczanie treści marketingowych powinna być świadoma, a nie przemycona w innym dokumencie. Dlatego liczyła również na to, że Prezes UODO może nałożyć karę finansową na firmę, która stosuje takie praktyki, tzn. przetwarza dane osobowe na podstawie zgody, która faktycznie nie została udzielona, a także nie udziela odpowiedzi w terminie na e-mail przesłany na adres podany do tych celów w polityce prywatności administratora. Być może tego rodzaju kary finansowe powstrzymałyby inne firmy przed stosowaniem podobnych praktyk w przyszłości.
Prezes UODO w piśmie z dnia [...] kwietnia 2021 r. poinformował Spółkę o wpłynięciu skargi M. S. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez spółkę, polegające na przetwarzaniu danych osobowych skarżącej w celach marketingowych bez podstawy prawnej oraz pomimo złożonego sprzeciwu. W związku z powyższym zwrócił się do spółki o złożenie wyjaśnień: czy, a jeśli tak, to kiedy, na jakiej podstawie prawnej, z jakiego źródła, w jakim celu i zakresie spółka pozyskała dane osobowe skarżącej w szczególności jej adres e-mail: [...]onet.pl; czy, a jeśli tak, to na jakiej podstawie prawnej, w jakim zbiorze danych, w jakim celu i zakresie spółka przetwarzała oraz przetwarza aktualnie dane skarżącego (wskazać jakie kategorie danych są lub były przetwarzane, a także na jakiej podstawie prawnej, w jakim celu oraz do kiedy dane te były lub będą przetwarzane); czy spółka przetwarza dane osobowe skarżącej a jeśli tak to od kiedy i na jakiej podstawie prawnej; czy skarżąca wyraziła zgodę na przetwarzanie jej danych osobowych w celach marketingu bezpośredniego, a jeśli tak to kiedy i jakiej treści była to zgoda (wezwał do przedłożenia kopii dokumentu, z którego wynika treść tej zgody, jeśli została ona przez skarżącą udzielona); czy, kiedy oraz w jaki sposób spółka odniosła się do żądania skarżącej z dnia [...]listopada 2020 r. dotyczącego sprzeciwu na przetwarzanie jej danych w celach marketingowych wysłanego na adres e-mail spółki: [...]..pl. Jeśli spółka nie uwzględniła sprzeciwu skarżącej, to z jakiego powodu.
Spółka w piśmie z dnia [...] kwietnia 2021 r. wyjaśniła, że pozyskała dane użytkownika posługującego się adresem [...] .onet.pl (Spółka nie zbiera imienia i nazwiska użytkowników). Systemy spółki odnotowały fakt wyrażenia zgód marketingowych przez użytkownika adresu e-mail: [...] .onet.pl dnia ...04.2020 r. Zgody zostały wyrażone na stronie www.B..pl poprzez wpisanie adresu e-mail (jak wyżej) oraz zaznaczeniu [...] . Dane w zakresie adresu e-mail zostały pozyskane w oparciu o zgody w rozumieniu art. 6 ust. 1 lit. a) RODO a także przepisów szczególnych do RODO tj. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 prawa telekomunikacyjnego. Użytkownicy wyrażają osobną zgodę na profilowanie. Dane zostały pozyskane bezpośrednio od wnioskodawczyni także w zakresie dotyczącym profilowania w celu personalizacji i dostosowania - w oparciu o analizę jego zachowania na stronie B..pl w tym wyboru określonych treści partnerów wskazanych na naszej stronie (preferencje użytkownika) – treści przesyłanych poprzez newslettera. Wskazane przetwarzanie danych nie kończyło się podjęciem decyzji w rozumieniu art. 22 RODO, nie miało też charakteru całkowicie zautomatyzowanego. To pracownicy firmy decydowali jakie treści ostatecznie przesłać do określonych grup użytkowników. Dane nie były pozyskiwane od innych administratorów danych. Marketing był realizowany z adresu mailowego P. sp. z o.o. B..pl. Celem był marketing bezpośredni związany z towarami / usługami dostępnymi przez stronę B..pl, także w zakresie informacji dotyczących partnerów spółki. Dane były przetwarzane w zbiorze danych marketingowych. Po wyrażeniu zgód i zapisie do newslettera wnioskodawczyni otrzymała powiadomienie (załącznik nr 4 do pisma). Spółka wskazała, że dnia ...11.2020 r. wpłynęło żądanie wnioskodawczyni na adres [...]..pl. Zwróciła uwagę, że do odbioru oświadczeń w tym zakresie został dedykowany inny adres e-mail - w stopce mailowej (w wiadomości z treściami marketingowymi) znajduje się inny adres do wypisu: [...] założony celowo po to, aby wypis z newslettera następował automatycznie po przesłaniu takiego żądania. Pracownik obsługujący skrzynkę [...]..pl najwyraźniej nie zauważył żądania (wycofania zgody) wysłanego na adres [...]..pl przez wnioskodawczynię. Pracownik został już w tym zakresie dodatkowo przeszkolony. Nie było intencją spółki wysyłanie do skarżącej informacji marketingowych pomimo wycofania zgody. Wyjaśnienia w tym zakresie zostały przesłane do skarżącej (załącznik nr 2 pisma). Spółka wskazał ponadto, że adres [...]..pl nie jest dedykowany do obsługi zgłoszeń wycofania zgód. Jest to adres ogólny - firmowy, na który przychodzi bardzo wiele maili. Dlatego Spółka dedykowała do obsługi żądań wycofania zgód inny adres tj. [...] W związku z otrzymaniem pisma z UODO z dnia ...04.2021 jeszcze raz spółka przejrzała korespondencję i wypisała skarżącą z subskrypcji newslettera dnia ....04.2021 r. Od tego momentu dane wnioskodawczyni nie są już przetwarzane w pierwotnym celu - marketingowym. Od tego momentu dane skarżącej nie są już przetwarzane w zbiorze danych osób, którym przesyłana jest korespondencja marketingowa. Na skutek wycofania zgody spółka (dnia ....04.2021) usunęła dane wnioskodawczyni z bazy wysyłkowej newslettera i usunęła dane związane z profilowaniem opartym na - wyrażonej przez wnioskodawczynię - zgodzie (dane wskazujące na preferencje reklamowe). Po wycofaniu zgody i usunięciu danych, które były przetwarzane do celu marketingu bezpośredniego spółka przechowuje dane skarżącej wyłącznie w celu obrony przed potencjalnymi roszczeniami związanymi z pierwotnym celem przetwarzania danych (wyrażeniem zgody na newsletter), co zwykle łączy się z koniecznością wykazania podstawy przetwarzania danych, w tym daty wyrażenia i wycofania zgody. W tym przypadku podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. f) RODO, czyli uzasadniony interes administratora danych. Spółka przechowuje ww. dane przez okres przedawnienia roszczeń cywilnoprawnych dotyczących dóbr osobistych, tj., aby wykazać legalność swojego działania, nie dłużej jednak niż 3 lat od wycofania zgody. Obecnie tj. po wycofaniu zgody spółka przetwarza dane wnioskodawczyni wyłącznie w zakresie adresu e-mail, identyfikatora systemowego, adresu IP umożliwiającego powiązanie faktu wyrażenia zgody z określonym adresem IP, nazwą bazy danych, a także datą wyrażenia i wycofania zgody marketingowej. Przed wycofaniem zgód marketingowych (w tym na profilowanie) spółka przetwarzała do celów marketingu także dane związane z profilowaniem (data, URL, IP i U. użytkownika).
Prezes UODO decyzją z dnia [...] kwietnia 2023 r. nr [...] na podstawie art. art. 104 § 1 ustawy z dnia [...] czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2022 r. poz. 2000 ze zm.), zwanej dalej k.p.a. w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781 t.j.), art. 6 ust. 1, art. 12 ust. 3 i 4 w zw. z art. 21 ust. 2 i 3 oraz art. 58 ust. 2 lit. b oraz g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi M. S. na nieprawidłowości w procesie przetwarzania danych osobowych skarżącej przez P. Sp. z o. o. z siedzibą w K. polegające na przetwarzaniu danych osobowych skarżącej w celach marketingowych bez podstawy prawnej oraz pomimo złożonego sprzeciwu, w pkt. 1 udzielił P. Sp. z o.o. z siedzibą w K. upomnienia za naruszenie art. 12 ust. 3 i 4 w zw. z art. 21 ust. 2 i 3 RODO, polegające na braku odpowiedzi na sprzeciw skarżącej wobec przetwarzania jej danych osobowych na potrzeby marketingu bezpośredniego; w pkte 2 nakazał Spółce usunięcie danych osobowych wnioskodawczyni przetwarzanych bez podstawy prawnej.
Prezes UODO w toku postepowania ustalił następujący stan faktyczny:
- spółka pozyskała dnia ...04.2020 r. od skarżącej jej dane osobowe w zakresie adresu e-mail: [...] .onet.pl (Spółka nie zbiera imienia i nazwiska użytkowników), jednocześnie wnioskodawczyni udzieliła spółce m.in. następujące zgody: "Wyrażam zgodę na przetwarzanie podanego przeze mnie adresu e-mail w celach marketingowych przez Administratora P. Sp. z o.o. z siedzibą w K., przy ulicy P. [...] oraz przez partnerów biznesowych Administratora." oraz: "Wyrażam zgodę na przesyłanie na podany przeze mnie adres e-mail informacji handlowych za pomocą środków komunikacji elektronicznej (w rozumieniu ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (Dz.U.2017.1219 t.j. ze zm.) przez Administratora oraz partnerów biznesowych Administratora. Wyrażam także zgodę, aby do wysyłania powyższych informacji handlowych wykorzystywane były telekomunikacyjne urządzenia końcowe lub automatyczne systemy wywołujące (w rozumieniu art. 172 Ustawy Prawo telekomunikacyjne)." (dowody: skarga z dnia 04.01.2021 r. uzupełniona 17.01.2021 r., wyjaśnienia spółki z dnia 30.04.2021 r.);
- spółka na podstawie ww. zgody przesyłała wnioskodawczyniwiadomości marketingowe na jej ww. adres e-mail (dowody: skarga z dnia 04.01.2021 r. uzupełniona dnia 17.01.2021 r., wyjaśnienia spółki z dnia 30.04.2021 r.);
- wnioskodawczyni zwróciła się do spółki drogą poczty elektronicznej, na adres: [...]..pl ze sprzeciwem wobec przetwarzania jej danych osobowych na potrzeby marketingu bezpośredniego oraz cofnęła swoją zgodę na przetwarzanie jej danych osobowych przez spółkę (dowody: skarga z dnia 04.01.2021 r. uzupełniona dnia 17.01.2021 r. wraz z załączoną kopią wiadomości e-mail z dnia: ...11.2020 r., wyjaśnienia spółki z dnia 30.04.2021 r.);
- pomimo zgłoszonego przez skarżącą sprzeciwu i cofnięciu przez nią zgody na przetwarzanie danych spółka nadal przesyłała wnioskodawczyni wiadomości marketingowe na jej adres e-mail (dowody: skarga z dnia 04.01.2021 r. uzupełniona dnia 17.01.2021 r. wraz z załączonymi kopiami wiadomości e-mail z dnia: 04.01.2021 r. oraz 17.01.2021 r., wyjaśnienia Spółki z dnia 30.04.2021 r.);
- spółka zaprzestała przetwarzania danych osobowych wnioskodawczyni na potrzeby marketingu bezpośredniego w odpowiedzi na pismo Prezesa UODO z dnia ....04.2021 r., o numerze [...](dowody: wyjaśnienia Spółki z dnia 30.04.2021 r.);
- spółka wskazała, że jej adres e-mail [...]..pl nie jest dedykowany do obsługi zgłoszeń wycofania zgód, ale ponadto spółka nie zauważyła takiego zgłoszenia skarżącej w wyniku jego przeoczenia przez pracownika spółki (dowód: wyjaśnienia spółki z dnia 30.04.2021 r.);
- spółka nadal przetwarza dane osobowe wnioskodawczyni dla jak wskazuje – celów obrony przed roszczeniami, przez okres przedawnienia roszczeń cywilnoprawnych dotyczących dóbr osobistych.
Prezes UODO wskazał, że do czasu wniesienia przez wnioskodawczynię sprzeciwu i cofnięcia zgody na przetwarzanie przez spółkę danych osobowych wnioskodawczyni, było ono dopuszczalne na podstawie art. 6 ust. 1 lit. f RODO, stanowiącego o tym, że przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Jak stanowi bowiem motyw 47 RODO w swym zdaniu pierwszym i ostatnim, podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego. Zwłaszcza, że spółka spełniła dodatkowy w tym zakresie warunek, pozyskała bowiem wprost wyrażoną przez wnioskodawczynię zgodę, o której mowa w art. 10 ust. 1 i 2 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2020 r. poz. 344 t.j.), tj. na przesyłanie na jej adres e-mail informacji handlowych za pomocą środków komunikacji elektronicznej, a który to akt prawny w swym art. 4 stanowi ponadto, że jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych. Art. 21 ust. 2 RODO stanowi, że jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Jeżeli zaś osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów (art. 21 ust. 3 RODO).
Prezes UODO wyjaśnił, że definicja marketingu wskazuje na działania zmierzające do określenia możliwości sprzedaży produktu, uwzględniające istniejące lub potencjalne potrzeby nabywców w krótkim lub długim okresie i związane z tym możliwości dystrybucji, reklamy, planowania produkcji, badań rynku (hasło "marketing" w: Encyklopedia PWN - www.encyklopedia.pwn.pl). W ramach marketingu możemy więc wyróżnić wiele zagadnień, takich jak: odnajdowanie i ocenianie możliwości rynkowych, prowadzących do zaspokojenia potrzeb określonych odbiorców (nabywców) oraz dokładne ustalenie tych potrzeb, opracowywanie w oparciu o tę wiedzę produktu (usługi) oraz strategii jego dystrybucji czy przygotowanie odpowiedniej strategii ceny i promocji. Marketing usług jest więc systemem zintegrowanych działań firmy usługowej na rynku obejmującym identyfikację, kształtowanie, a następnie zaspakajanie potrzeb w sposób zapewniający satysfakcję klientom i realizację ich własnych celów ekonomicznych. Zatem kształtowanie wyższego poziomu usługi, która powinna spełniać więcej potrzeb, dostarczać więcej wartości klientowi, wpływa na budowanie przewagi konkurencyjnej takiej firmy i jest formą marketingu. Z kolei pojęcie marketingu bezpośredniego nie jest co prawda wprost zdefiniowane w przepisach o ochronie danych osobowych, jednak w ocenie Prezesa UODO uznać należy, że za marketing bezpośredni rozumie się ogół działań administratora danych, które poprzez przekazywanie informacji do indywidualnych podmiotów mają na celu wywołanie reakcji ze strony osoby, której dane dotyczą, związanej z potrzebą posiadania określonego produktu. Wysyłanie przez spółkę do wnioskodawczyni ww. wiadomości drogą poczty elektronicznej i zawierających informacje o treści handlowej mieści się zatem w opisanym pojęciu marketingu bezpośredniego.
Prezes UODO zaznaczył, że art. 12 RODO reguluje kwestie przejrzystego informowania i komunikacji oraz tryb wykonywania praw przez osobę, której dane dotyczą, zawiera regulację ogólną, nawiązującą do zasady przejrzystości przetwarzania danych dla osoby, której dane dotyczą. Określa on podstawowe wymogi odnoszące się nie tylko do sposobu informowania i komunikacji, lecz przede wszystkim nakłada na administratora obowiązek ułatwienia osobie, której dane dotyczą, realizacji przyznanych jej uprawnień, a także udzielania informacji o działaniach, jakie podjął w ramach realizacji tych uprawnień, lub przyczynach niepodjęcia takich działań. Zdanie pierwsze art. 12 ust. 2 RODO stanowi bowiem wprost, że administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22. Administrator nie może utrudniać realizacji uprawnień podmiotom, których dane osobowe przetwarza. W zdaniu pierwszym i drugim motywu 59 preambuły RODO wyjaśniono: "Należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania - i gdy ma to zastosowanie bezpłatnego uzyskiwania - w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną." Zatem spółka powinna zapewnić wnioskodawczyni możliwość realizacji swoich praw wynikających z art. 15- 22 RODO. Wnioskodawczyni skierowała swoje żądanie na adres poczty elektronicznej należący do spółki i wskazany przez nią również do kontaktu. Spółka powinna funkcjonować w obrocie gospodarczym w taki sposób, by wykonywać ciążące na niej obowiązki w zakresie realizacji praw wynikających z rozporządzenia 2016/679, a co się z tym wiąże, rozpatrywać żądania osób, których dane dotyczą, gdy wpływają na każdą jej skrzynkę e-mail. Sytuacja, w której wnioskodawczyni nie może zrealizować swojego prawa, pomimo prawidłowo złożonego żądania, jest wynikiem uchybienia Spółki. Skierowanie wynikającego z RODO żądania na należący do spółki adres e-mail jest dla niej wiążące we względzie jego rozpatrzenia. Adresatem do wykonywania praw osób, których dane dotyczą, jest administrator-jeśli administrator otrzyma żądanie, musi zostać ono rozpatrzone a działania z nim związane podane do wiadomości wnoszącemu na zasadach i w terminach wskazanych w art. 12 ust. 3 i 4 RODO. Z pewnością wykonanie obowiązków nałożonych przez RODO z kilkumiesięcznym opóźnieniem tych obowiązków nie wypełnia. Zgodnie bowiem z art. 12 ust. 3 RODO administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie - najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem (art. 12 ust. 4 RODO).
Wobec powyższego skoro spółka nie poinformowała wnioskodawczyni o powodach dla których nie podejmuje żadnych czynności w związku z jej wiadomością z dnia ...11.2020 r., naruszyła zatem przepisy art. 12 ust. 3 i 4 RODO.
Prezes UODO realizując uprawnienia wynikające z art. 58 ust. 2 lit. b RODO w związku z powyższym uznał za uzasadnione udzielenie spółce upomnienia w zakresie ww. stwierdzonych naruszeń przepisów art. 12 ust. 3 i 4 w zw. z art. 21 ust. 2 i 3 RODO, które polegało na braku odpowiedzi na sprzeciw wnioskodawczyni wobec przetwarzania jej danych osobowych na potrzeby marketingu bezpośredniego.
W ocenie Prezesa UODO przetwarzanie danych osobowych dla celów obrony przed roszczeniami, przez okres przedawnienia roszczeń cywilnoprawnych dotyczących dóbr osobistych, nie znajduje prawnego uzasadnienia w przepisach RODO. Z zebranego w sprawie materiału dowodowego nie wynika aby wnioskodawczyni wystąpiła z jakimkolwiek roszczeniem wobec spółki, które uzasadniałoby uprawnienie spółki do zachowania i przetwarzania jej danych osobowych. Spółka również nie wskazała aby aktualnie prowadziła z inicjatywy wnioskodawczyni postępowanie reklamacyjne bądź rozpatrywała jej jakikolwiek wniosek lub żądanie. W ocenie Prezesa UODO brak jest zatem spełnienia wskazywanych przez spółkę przesłanek niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora, odnośnie do przetwarzania danych osobowych wnioskodawczyni w celu dochodzenia i obrony przed roszczeniami, obsługą reklamacji czy realizacją wniosków/żądań. Przesłanka z art. 6 ust. 1 lit. f RODO, dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem bądź hipotetycznym wnioskiem, który może zostać złożony. Prezes UODO podzielił w tej kwestii stanowisko WSA w Warszawie, odnoszące się do analogicznej do art. 6 ust. 1 lit. f RODO, przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych niezbędnego dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Sąd ten w wyroku z dnia 1 grudnia 2010 r. w sprawie o sygn. akt II SA/Wa 1212/10 (LEK nr 755113) orzekł: "W niniejszej sprawie, organ podniósł, iż skarżący kierował pod adresem spółki zastrzeżenia odnośnie legalności przetwarzania jego danych i zapowiedzi skierowania sprawy na drogę sądową. Stąd też spółka uprawniona była do utrwalenia danych skarżącego i zachowania ich dla celów dowodowych na wypadek dochodzenia przez skarżącego ewentualnych roszczeń. Zdaniem Sądu, powyższe okoliczności nie wypełniają przesłanki prawnie usprawiedliwionych celów przetwarzania danych skarżącego. Należy bowiem zwrócić uwagę, iż przesłanka z art. 23 ust. 1 pkt 5 ustawy dotyczy sytuacji już istniejącej i pewnej, a więc przypadku, gdy istnieje potrzeba udowodnienia, potrzeba dochodzenia roszczenia z tytułu prowadzonej działalności gospodarczej, nie zaś sytuacji, gdy dane są przetwarzane na wypadek ewentualnego procesu i ewentualnej potrzeby udowodnienia, iż dane osobowe pozyskane bez zgody osoby, której dotyczą, są przetwarzane zgodnie z prawem. Należy również podkreślić, iż skarżący jedynie zapowiedział i nie zrealizował swoich zapowiedzi odnośnie skierowania sprawy na drogę sądową. Stąd też spółka, zdaniem Sądu, nie może przetwarzać danych osobowych skarżącego tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem skarżącego. W przeciwnym bowiem razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe skarżącego jeżeli nie zrealizuje on swoich zapowiedzi.".
Prezes UODO stoi na stanowisku, że spółka nie posiada w przedstawionym stanie, w tej chwili, podstawy z art. 6 ust. 1 RODO legitymującej przetwarzanie przez nią danych osobowych wnioskodawczyni, a przynajmniej żadnej takiej podstawy nie wykazała.
Spółka, reprezentowana przez pełnomocnika, w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie wniosła o uchylenie decyzji Prezesa UODO z dnia [...] kwietnia 2023 r. nr [...] i umorzenie postępowania administracyjnego, względnie przekazanie UODO do ponownego rozpatrzenia oraz zasądzenie - na podstawie art. 200 p.p.s.a. - kosztów postępowania według norm przepisanych, zarzucając naruszenie:
- art. 7, art. 77 § 1 i art. 80 k.p.a. polegające na rozpatrzeniu materiału dowodowego w sposób niewyczerpujący i dokonanie dowolnych ustaleń (które nie wynikają z zebranego materiału dowodowego) i przyjęcie, że adres e-mail, o który chodzi w sprawie (sam w sobie nie zawierający danych osobowych) umożliwia identyfikację osoby fizycznej (w konkretnym stanie faktycznym sprawy) a zatem stanowi daną osobową;
- art. 7, art. 77 § 1 i art. 80 k.p.a. poprzez brak weryfikacji prawnie uzasadnionego interesu administratora w momencie, gdy dojdzie do wycofania zgody/zgłoszenia sprzeciwu;
- art. 107 §1 pkt 5 k.p.a. polegające na takim sformułowaniu nakazu usunięcia danych z którego nie wynika o jakie kategorie informacji chodzi – skoro (chociażby na potrzeby niniejszego postępowania) skarżąca musi przetwarzać dane osobowe M. S.;
- art. 4 pkt 1 RODO, poprzez błędne uznanie, że sam adres e-mail stanowi dane osobowe, umożliwiające zidentyfikowanie osoby fizycznej; tymczasem sam adres e-mail nie jest informacją o charakterze osobowym, w zakres której wchodzą dane o cechach identyfikujących daną osobę; błędna ocena organu, jakoby skarżąca przetwarza dane osobowe prowadziła do bezpodstawnego wydania decyzji zobowiązującej do usunięcia danych (pkt 2 sentencji decyzji). Skoro zaś Spółka nie przetwarzała danych osobowych nie znajdą do niej zastosowania wymagania określone RODO.
Spółka w uzasadnieniu podniosła, że w sprawie nie przedstawiono żadnych dowodów - chociażby z badań statystycznych – jakie jest prawdopodobieństwo scenariusza identyfikacji osoby fizycznej na podstawie adresu e-mail [...] .onet.pl (wskazany adres nie różni się niczym od adresu np. biuro@[nazwa domeny]); nie uwzględniono, że np. adres e-mail może dotyczyć nie tylko osoby fizycznej, ale też jednostki organizacyjnej. Sam adres e-mail nie pozwala na identyfikację konkretnej osoby. Może być wyłącznie podstawą dla podjęcia określonych czynności w celu identyfikacji. Prezes UODO nie podjął się weryfikacji czy taka identyfikacja nastąpiła lub czy mogła być możliwa.
Spółka powołała się na wyrok jaki zapadł 25 listopada 2022 r. (sygn. akt: II SA/WA 710/22) WSA (wyrok na dzień sporządzenia skargi nieprawomocny) uznał, że numery telefonów nie muszą być danymi osobowymi, ponieważ do identyfikacji osoby fizycznej niezbędne są również inne informacje o abonentach, którymi podmiot wykonujący połączenie niekoniecznie dysponuje. W podobnym kontekście wypowiedział się WSA w Warszawie w wyroku z dnia 11.07.2022 r. w kontekście nr IP oraz tzw. cookies ID (sygn. II SA/Wa 3993/21 / orzeczenie nieprawomocne), zwracając uwagę na konieczność wnikliwej analizy charakteru informacji będących przedmiotem postępowania.
Spółka zwróciła uwagę, że w przypadku wycofania zgody administrator danych może mieć interes w tym, aby dane dalej przetwarzać. Wskazuje na to art. 17 RODO. Zgodnie z treścią tego przepisu (art. 17 ust. 3 lit. e) RODO), który dotyczy przypadków, gdy żądanie usunięcia danych nie będzie skuteczne. Prezes UODO nakazując usunięcie danych, nie sprecyzował o jakie dane chodzi. W najszerszym ujęciu można by uznać, że chodzi o wszelkie dane wnioskodawczyni, co w praktyce oznaczałoby brak możliwości sporządzenia skargi. Procesy przetwarzania danych identyfikuje się przede wszystkim (zgodnie z art. 6, art. 13, czy nawet art. 30 ust. 1 RODO) poprzez wskazanie celu przetwarzania, kategorii osób i kategorii danych. Natomiast Prezes UODO poprzestał na ogólnikowym stwierdzeniu "przetwarzanych bez podstawy prawnej". Z treści decyzji nie wynika, które dane podlegają (zdaniem Prezesa UODO) usunięciu.
Spółka wskazała, że Organ przedstawił – w uzasadnieniu zaskarżonej decyzji - rozumienie pojęcia "danych osobowych", sprzeczne z przepisami i motywami RODO. Takie podejście narusza intencję zawartą w motywie 26 RODO. Na poparcie powyższego przywołała wyrok NSA dnia 28 czerwca 2019 r., I OSK 2063/17, który został wydany na gruncie poprzedniego stanu prawnego (ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922, dalej jako "u.o.d.o."), niemniej w kontekście analogicznej definicji "danych osobowych", stwierdził "(...), że tylko informacje, które bez nadzwyczajnego wysiłku, bez nieproporcjonalnie dużych nakładów dają się powiązać z określoną osobą zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, zasługują na zaliczenie ich do kategorii danych osobowych".
Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie podtrzymując dotychczasowe stanowisko. Organ odniósł się do zarzutów skargi. W uzasadnieniu dodał ponadto, że utrwalone orzecznictwo wskazuje, że danymi osobowymi mogą być np. numer telefonu, numer stały lub dynamiczny IP komputera, a zatem także adres e-mail, o ile można na jego podstawie zidentyfikować osobę fizyczną (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 23 marca 2023 r., sygn. akt II SA/Wa 2219/22). Daną identyfikującą takiego użytkownika jest adres e-mail, zaś dokonywane przez Skarżącą wybory w obszarze marketingu proponowanego przez spółkę niosą o skarżącej dodatkowe informacje. W tej sprawie, spółka dysponowała dodatkowo imieniem i nazwiskiem skarżącej, od chwili przesłania przez nią żądania do spółki. Prezes UODO zaznaczył, że spółka sama przedstawiła katalog danych wnioskodawczyni jakie przetwarza. Wskazała go na stronie 4 swoich wyjaśnień z dnia 30.04.2021 r. "Obecnie tj. po wycofaniu zgody Spółka przetwarza dane Skarżącej wyłącznie w zakresie adresu e-mail, identyfikatora systemowego, adresu IP umożliwiającego powiązanie faktu wyrażenia zgody z określonym adresem IP, nazwą bazy danych, a także datą wyrażenia i wycofania zgody marketingowej. Przed wycofaniem zgód marketingowych (w tym na profilowanie) Spółka przetwarzała do celów marketingu także dane związane z profilowaniem, o którym mowa w pkt 1 niniejszego pisma (data, URL, IP i U. użytkownika).". Organ w odniesieniu do zarzutu dotyczącego sformułowania nakazu wskazał, że Spółka nie potrzebowała dodatkowych informacji, jakich danych dotyczy postępowanie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju
sądów administracyjnych (t.j. Dz. U. z 2022 r. poz. 2492 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli
ustawy nie stanowią inaczej. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi ( t.j. Dz.U. z 2023 r. poz. 1634 ze zm.).
Uwzględniając powyższe Sąd stwierdził, że skarga jest zasadna. Zaskarżona decyzja narusza bowiem przepisy prawa procesowego, tj. art. 7, art. 77 § 1, art. 80 i art. 107 § 1 k.p.a. w stopniu, który mógł mieć istotny wpływ na wynik sprawy. Wobec uzasadnionych zarzutów naruszenia prawa procesowego przedwczesne było odniesienie się do zarzutu naruszenia prawa materialnego.
W ocenie Sądu, zarówno lektura uzasadnienia zaskarżonej decyzji, jak również akta administracyjne wskazują, że Prezes UODO nie ustalił w sposób niebudzący wątpliwości stanu faktycznego sprawy – choć miał taki obowiązek na mocy art. 7 i art. 77 § 1 k.p.a. Podkreślić należy, że nie można abstrahować od konkretnych okoliczności faktycznych, których subsumpcji należy dokonać pod ściśle określone normy prawne.
Powołane przepisy statuują zasadę prawdy obiektywnej, która obliguje organ administracyjny, po pierwsze do podejmowania w toku postępowania wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli, a po drugie do wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego.
W sprawie jest bezsporne, że Spółka przesyłała uczestniczce postępowania wiadomości marketingowe na wskazany w sprawie adres e-mail.
Kluczową kwestią wymagającą oceny Prezesa UODO było zatem ustalenie, czy adres e-mail, na który uczestniczka postępowania otrzymywała niechciane wiadomości marketingowe z adresu @B..pl, o czym była mowa w jej skardze do Prezesa UODO z dnia [...] stycznia 2021 r. i z dnia [...] stycznia 2021 r. (uzupełnienie skargi do PUODO) stanowi daną osobową w rozumieniu art. 4 pkt 1 RODO, a tym samym, czy miało miejsce kwestionowane w skardze do Prezesa UODO przetwarzanie danych osobowych i w konsekwencji czy miało ono podstawę prawną. Zależnie bowiem od tych ustaleń oceniać należy kwestie działań bądź braku działań Spółki na gruncie RODO w odniesieniu do zarzutów podnoszonych przez uczestniczkę postępowania w skardze do Prezesa UODO.
Sąd zauważa, że Prezes UODO potraktował adres e-mail uczestniczki postępowania jako daną osobową, co wynika z ujmowania przez organ tego adresu jako danej osobowej w treści uzasadnienia decyzji. Jednakże z treści decyzji nie wynika jakie były tego przesłanki, jakie elementy tego adresu email bądź inne dane, czy okoliczności jego pozyskania, okoliczności faktyczne sprawy, przesądziły o zakwalifikowaniu przez Prezesa UODO adresu e-mail podawanego w skardze z 4 i [...] stycznia 2021 r. jako danej osobowej.
Wskazania wymaga, że zgodnie z art. 4 pkt 1 RODO, "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Prezes UODO nie stwierdził w uzasadnieniu decyzji, że adres e-mail uczestniczki postępowania stanowi daną dotyczącą zidentyfikowanej bądź możliwej do zidentyfikowania osoby fizycznej. Sąd nie ma podstaw do zastępowania organu i wywodzenia na tym etapie postępowania, czy dany adres e-mail, sam, bądź w powiązaniu z innymi danymi, informacjami, w konkretnych okolicznościach stanu faktycznego sprawy, stanowi daną osobową uczestniczki postępowania.
Zasadnie skarżący zarzuca w skardze, że organ nie wskazał na czym opiera stwierdzenie, że adres e-mail uczestniczki postępowania, o którym mowa w sprawie, dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
W zaskarżonej decyzji nie ma żadnych rozważań w tym zakresie, a biorąc pod uwagę, że adres e-mail, o który chodzi w sprawie nie zawiera w sobie imienia i nazwiska uczestniczki postępowania, kwestia ta jako nieoczywista powinna być przez organ rozważona i oceniona.
Dodatkowo jedynie wskazania wymaga, że Sąd nie przesądza na tym etapie postępowania, że adres e-mail, o którym mowa w sprawie nie jest daną osobową. Sąd wskazuje jedynie, że organ nie poczynił rozważań i oceny w tym zakresie w zaskarżonej decyzji, co zasadnie zarzucił skarżący.
Podkreślenia wymaga przy tym, że odpowiedź na skargę, w której organ podjął próbę wykazania, że mamy do czynienia z daną osobową, nie konwaliduje braków decyzji. Odpowiedź na skargę nie jest aktem administracyjnym i nie zastępuje decyzji. Organ powinien ocenić, czy zidentyfikowanie osoby fizycznej musi polegać na określeniu jej imienia i nazwiska, czy wystarczające jest – w kontekście przesyłania pocztą elektroniczną ofert marketingowych – oznaczenie danej osoby w sposób umożliwiający kierowanie do niej tych ofert. Oceny takiej organ w sprawie nie dokonał.
Już tylko z powodu tego uchybienia przepisom art. 7, art. 77 § 1, art. 80 i art. 107 § 3 k.p.a. konieczne było wyeliminowanie zaskarżonej decyzji z obrotu prawnego.
Sąd zauważa jednocześnie, że w wyjaśnieniach skarżącej Spółki z dnia [...] kwietnia 2021 r. skierowanych do PUODO pojawia się również m.in. informacja o adresie IP komputera. W odpowiedzi na skargę organ wskazuje, że skarżąca Spółka prowadząc komunikację elektroniczną z uczestniczką postępowania weszła w posiadanie numeru IP jej komputera. Zaskarżona decyzja pomija ten fakt i organ nie analizuje w decyzji, czy posiadanie przez Spółkę takich informacji pozwala na identyfikację uczestniczki postepowania.
Ponownie rozpoznając sprawę organ winien – przy ewentualnym podtrzymaniu twierdzenia, że adres e-mail uczestniczki postępowania, o który chodzi w sprawie, jest daną osobową - wykazać powyższe w decyzji, uzasadnić swoje stanowisko w sposób wyczerpujący.
Dodatkowo wskazania wymaga, że Prezes UODO w ustaleniach faktycznych decyzji podał, że Spółka pozyskała dnia 12 kwietnia 2020 r. dane osobowe uczestniczki postępowania w zakresie adresu e-mail. Opierając się na wyjaśnieniach Spółki z [...] kwietnia 2021 r. organ wskazał, że Spółka nie zbiera imienia i nazwiska użytkowników, a uczestniczka udzieliła Spółce m.in. zgody na przetwarzanie adresu e-mail w celach marketingowych.
Z akt administracyjnych wynika, że treść formuł przedstawionych przez Spółkę jest następująca: "Wyrażam zgodę na przetwarzanie podanego przeze mnie adresu e-mail w celach marketingowych przez Administratora P. Sp. z o.o. z siedzibą w K., przy ulicy P. [...] oraz przez partnerów biznesowych Administratora." oraz "Wyrażam zgodę na przesyłanie na podany przeze mnie adres e-mail informacji handlowych za pomocą środków komunikacji elektronicznej (w rozumieniu ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (Dz.U.2017.1219 t.j. ze zm.) przez Administratora oraz partnerów biznesowych Administratora. Wyrażam także zgodę, aby do wysyłania powyższych informacji handlowych wykorzystywane były telekomunikacyjne urządzenia końcowe lub automatyczne systemy wywołujące (w rozumieniu art. 172 Ustawy Prawo telekomunikacyjne)." Spółka wskazywała też w wyjaśnieniach z [...] kwietnia 2021 r. na wyrażenie przez uczestniczkę zgody "na profilowanie podanych przeze mnie danych celem dostarczania mi informacji handlowych dopasowanych do moich potrzeb i oczekiwań".
Uwzględniając powyższe Sąd zauważa, że Prezes UODO nie ustalił w toku postępowania - przyjmując w decyzji, że adres e-mail jest daną osobową (bez wykazania powyższego, o czym byłą już mowa wyżej) - w jaki sposób uczestniczka wyraziła zgodę na przetwarzanie podanego adresu e-mail przez Spółkę; w jaki sposób Spółka weszła w posiadanie adresu e-mail uczestniczki postępowania.
Zwrócić trzeba uwagę, że uczestniczka w skardze z [...] stycznia 2021 r. do Prezesa UODO wskazywała, że nie zapisywała się na newslettera na stronie B.. Podawała, że nie przypomina sobie, żeby w inny sposób wyrażała zgodę na przetwarzanie jej danych. Wskazała, że otrzymuje po kila spamowych e-maili dziennie. W skardze uzupełniającej z dnia [...] stycznia 2021 r. do Prezesa UODO podtrzymała te twierdzenia. Wskazała, że mimo, iż nie przypomina sobie żeby udzielała zgody, wystosowała do P. Sp. z o.o. w dniu [...]listopada 2020 r. zarówno sprzeciw wobec przetwarzania jej danych w postaci adresu e-mail w celach przesyłania wiadomości reklamowych jak i cofnęła zgodę. Uczestniczka w skardze z [...] stycznia 2020 r. raz jeszcze podkreśliła: na pewno nie udzielała firmie P. zgody i nie zapisywała się na newslettera na stronie www.B..pl. Zwróciła uwagę, że zgoda na dostarczanie treści marketingowych powinna być świadoma, "a nie przemycona w innym dokumencie".
Prezes UODO w sprawie niniejszej do wszystkich tych zagadnień w tym sposobu pozyskania adresu e-mail uczestniczki przez Spółkę nie odniósł się w decyzji i nie dokonał jednoznacznych ustaleń (art. 7 k.p.a.), nie wskazał dowodów, na podstawie których przyjął, że do przekazania adresu e-mail przez uczestniczkę doszło i że wyraziła ona zgodę na przetwarzanie danych.
Organ podał w decyzji, że "(...) Spółka wskazała jednoznacznie przekazanie jej przez Skarżącą ww. danych i udzielenie zgody na przetwarzanie danych w celach marketingowych w dniu ...04.2020 r." Następnie zaś Prezes UODO stwierdził, że "W tym stanie wobec niepewności Skarżącej należało przyjąć, że do takiego przekazania adresu e-mail i wyrażenia ww. zgód doszło."
Organ w istocie przychylił się do twierdzenia Spółki, że uczestniczka przekazała swój adres e-mail i wyraziła zgody na przetwarzanie danych w celu marketingowym. Ustalenia stanu faktycznego winny być jednak jednoznaczne i bezsporne. Organ nie zebrał w niniejszej sprawie materiału dowodowego w sposób wyczerpujący (art. 77 § 1 k.p.a.) i nie dokonał jego wszechstronnej oceny.
Podkreślenia wymaga, że zaskarżona decyzja nie zawiera pełnych ustaleń faktycznych we wskazanym wyżej zakresie. Organ nie wyjaśnił przy tym w uzasadnieniu decyzji na podstawie jakich dowodów przyjął, że uczestniczka postępowania wyraziła zgodę na przetwarzanie jej adresu e-mail przez Spółkę m.in. w celach marketingowych. Jeśli w ocenie organu wynika to z wyjaśnień Spółki organ winien wskazać, który dokładnie element tych wyjaśnień dowodzi zajętego przez organ stanowiska.
Sąd zauważa, że co prawda Spółka przedstawiła przy wyjaśnieniach z [...] kwietnia 2021 r. formuły zgód, jak wskazano, wyrażonych przez uczestniczkę [...] kwietnia 2020 r., ale przedstawione formuły nie zawierają nawet zaznaczenia ich faktycznego wyrażenia.
W ocenie Sądu – w świetle treści zaskarżonej decyzji - nie sposób stwierdzić na czym Prezes UODO opiera twierdzenie, że uczestniczka wyraziła zgody, o których mowa w wyjaśnieniach Spółki z [...] kwietnia 2021 r. Organ powinien co najmniej wyjaśnić dlaczego przyjmuje, że na podstawie wyjaśnień przedstawionych przez Spółkę możliwe jest wyprowadzenie twierdzenia o tym, że uczestniczka wyraziła zgody na przetwarzanie jej adresu e-mail w celach marketingowych. Z decyzji nie wynika na czym organ opiera swoje ustalenie faktyczne, a przypomnieć należy, że uczestniczka twierdziła, że nie zapisywała się na newslettera i nie przypomina sobie, aby zgody na przetwarzanie adresu e-mail w celach marketingowych P. Sp. z o.o. udzielała.
Kolejną kwestią, na którą należy zwrócić uwagę, a czego nie zauważył organ, jest to, że uczestniczka kierując do Spółki e-maila z dnia [...]listopada 2000 r. podała swoje imię i nazwisko. W e-mailu tym wskazała, że nie przypomina sobie, żeby udzielała P. zgody na przetwarzanie jej danych osobowych w postaci adresu e-mail; podniosła, że "jeśli jednak mimowolnie lub wskutek nieuczciwych praktyk innego podmiotu" wyraziła taką zgodę, to cofa zgodę na przetwarzanie jej danych osobowych przez Spółkę. Wskazała, że nie było, nie jest i nigdy nie będzie jej życzeniem otrzymywanie dziesiątek e-maili z niechcianymi treściami reklamowymi. Zwróciła się o nie wysyłanie treści reklamowych na jej adres e-mail. Organ nie odnosi się w decyzji do kwestii zakresu danych osobowych przetwarzanych przez Spółkę od [...]listopada 2021 r. (imienia i nazwiska uczestniczki). Prezes UODO dopiero w odpowiedzi na skargę podnosi, że Spółka od tego momentu posiadała nie tyko adres e-mail, ale też imię i nazwisko.
Powyższe ma znaczenie także w aspekcie kolejnego zarzutu skarżącej Spółki, odnoszącego się do punktu 2 zaskarżonej decyzji, a dotyczącego sposobu sformułowania przez organ nakazu usunięcia danych osobowych przez Spółkę.
Organ nakazał Spółce w punkcie 2 zaskarżonej decyzji usunięcie danych osobowych uczestniczki postępowania przetwarzanych bez podstawy prawnej.
Z treści tego rozstrzygnięcia nie wynika jakie dane osobowe uczestniczki są przetwarzane bez podstawy prawnej (z uzasadnienia decyzji nie wynika też od jakiej daty jakie dane osobowe są przetwarzane bez podstawy prawnej) i Spółka winna je usunąć. Nakaz ten jest niejednoznaczny, niejasny, lakoniczny. Nie sposób uznać, aby można było bezproblemowo go wykonać. Zwłaszcza, gdy weźmie się pod uwagę, że sama Spółka wskazywała w wyjaśnieniach z [...] kwietnia 2021 r., że "po wycofaniu zgody" Spółka przetwarza dane uczestniczki "wyłącznie w zakresie adresu e-mail, identyfikatora systemowego, adresu IP umożliwiającego powiązanie faktu wyrażenia zgody z określonym adresem IP, nazwą baz danych, a także datą wyrażenia i wycofania zgody marketingowej. Przed wycofaniem zgód marketingowych (w tym na profilowanie) Spółka przetwarzała do celów marketingu także dane związane z profilowaniem, o których mowa w pkt 1 pisma (data, URL, IP i U. użytkownika)". Nadto, przypomnieć należy, że w wiadomości e-mail z dnia [...]listopada 2020 r. uczestniczka podała Spółce swoje imię i nazwisko.
W kontekście samych wyjaśnień Spółki, nakaz z punktu 2 decyzji, jest nieprecyzyjny, albowiem nie wynika z niego, jak również z samego uzasadnienia decyzji, jakie dane osobowe uczestniczki postępowania i od którego momentu Prezes UODO uważa za dane przetwarzane przez Spółkę bez podstawy prawnej. Zarzut skargi jest w tym zakresie zasadny.
Wśród elementów decyzji administracyjnej przepis art. 107 § 1 k.p.a. wymienia w punkcie 5 rozstrzygnięcie, zaś w punkcie 6 uzasadnienie faktyczne i prawne. Przepis art. 107 § 3 k.p.a. stanowi, że uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne - wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.
W utrwalonym orzecznictwie sądów administracyjnych podkreśla się, że rozstrzygnięcie stanowi obligatoryjny i jeden z najważniejszych elementów decyzji administracyjnej. Nie jest możliwe zastąpienie rozstrzygnięcia uzasadnieniem decyzji, ani też wywodzenie rozstrzygnięcia z uzasadnienia. Innymi słowy, rozstrzygnięcie musi być sformułowane w taki sposób, aby nie było wątpliwości czego dotyczy, jakie uprawnienia zostały przyznane stronie lub jakie obowiązki zostały na nią nałożone.
Rozstrzygnięcie powinno być sformułowane precyzyjnie, bez niedomówień i możliwości różnej interpretacji. Powinno być jednoznaczne i zrozumiałe dla stron bez wnikania w treść uzasadnienia decyzji (w sprawie tej także uzasadnienie decyzji nie wyjaśnia, nie precyzuje nakazu). Wynika to z władczego charakteru aktu administracyjnego, który kształtuje prawa i obowiązki strony i musi w związku z tym być jednoznaczny i precyzyjny, jak też z podstawowych zasad postępowania administracyjnego, w tym zasady praworządności zawartej w art. 6 k.p.a. oraz zasady pogłębiania zaufania do organów państwa wyrażonej w art. 8 k.p.a. (v. wyrok NSA z dnia 6 grudnia 2021r. sygn. akt I OSK 1086/20; z dnia 2 lipca 2018 r. sygn. akt I OSK 873/18 orzeczenia.nsa.gov.pl).
Sentencja punktu 2 zaskarżonej decyzji nie spełnia ww. wymogów, gdyż
jej treść jest nieprecyzyjna, niejednoznaczna, nie wiadomo w istocie, jakich danych osobowych dotyczy obowiązek nałożony na Spółkę, bowiem nie zostało wskazane, które konkretnie dane osobowe uczestniczki postępowania są zdaniem organu przetwarzane bez podstawy prawnej.
Powyższe jest niewątpliwie skutkiem, o czym była już mowa wyżej, z dokonania niepełnych kluczowych ustaleń okoliczności faktycznych w sprawie. Ustalenie stanu faktycznego ma podstawowe znaczenie dla prowadzonego postępowania, gdyż warunkuje prawidłowe określenie zakresu przyznanych praw bądź obowiązków nałożonych na strony postępowania. W celu ustalenia stanu faktycznego i realizacji zasady prawdy obiektywnej organ obowiązany jest – zarówno na wniosek strony, jak i z urzędu – do podejmowania wszelkich czynności, które konieczne są do dokładnego wyjaśnienia stanu faktycznego sprawy, a w konsekwencji do jej załatwienia (art. 7 k.p.a.). Zebranie wszystkich potrzebnych dowodów obliguje organ do całościowej ich analizy i oceny (art. 77 § 1, art. 80 k.p.a.). Wynik tych czynności powinien zostać odzwierciedlony w uzasadnieniu podjętej decyzji (art. 107 § 3 k.p.a.). Powyższego w niniejszej sprawie zabrakło. Rolą uzasadnienia jest objaśnienie toku myślenia, który doprowadził organ administracji do zastosowania przepisu prawa w konkretnej sprawie. W sferze faktów (uzasadnienia faktycznego) chodzi o wyjaśnienie okoliczności wskazujących na potrzebę lub konieczność wydania decyzji w danej sprawie i wobec określonych podmiotów oraz wpływu tych okoliczności na treść rozstrzygnięcia. W sferze prawa (uzasadnienia prawnego) chodzi o wskazanie obowiązującej normy i jej znaczenia ustalonego w drodze wykładni.
Rozpoznając sprawę ponownie organ weźmie pod uwagę przedstawione wyżej wskazania co do konieczności dokonania pełnych i bezspornych ustaleń faktycznych. Uzasadnienie decyzji powinno wyjaśniać podstawę prawną podjętego rozstrzygnięcia.
W przypadku nałożenia obowiązku na stronę postępowania, nakaz musi być sformułowany jednoznacznie, precyzyjnie.
Zależnie od poczynionych w sprawie pełnych ustaleń faktycznych i dokonanej wszechstronnej oceny materiału dowodowego organ podejmie stosowną decyzję.
Brak pełnych i bezspornych ustaleń faktycznych czyni przedwczesną ocenę Sądu w zakresie prawidłowości zastosowania prawa materialnego.
Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie,
na podstawie art. 145 § 1 pkt 1 lit. c ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2023 r., poz. 1634 ze zm.), orzekł jak w punkcie 1 wyroku. O zwrocie kosztów postępowania, jak w punkcie 2 wyroku Sąd orzekł na podstawie art. 200 w zw. z art. 205 powołanej ustawy. Do kosztów tych Sąd zaliczył uiszczony wpis od skargi (200 zł), wynagrodzenie radcy prawnego reprezentującego skarżącego (480 zł) i opłatę skarbową uiszczoną od dokumentu pełnomocnictwa (17 zł).