II SA/Wa 1816/18

II SA/Wa 1816/18 - Wyrok WSA w Warszawie
Data orzeczenia
2019-05-22
orzeczenie prawomocne
Data wpływu
2018-10-17
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Janusz Walawski /przewodniczący sprawozdawca/
Łukasz Krzycki
Sławomir Fularski
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OSK 1883/21 - Wyrok NSA z 2022-12-20
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Janusz Walawski (spr.), Sędzia WSA Sławomir Fularski, Sędzia WSA Łukasz Krzycki, Protokolant Magdalena Morawiec, po rozpoznaniu na rozprawie w dniu 22 maja 2019 r. sprawy ze skargi M.K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2018 r. nr [...] w przedmiocie odmowy uwzględnienia wniosku oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, działając na podstawie art. 104 § 1 K.p.a., art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) w zw. z art. 18 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138) oraz art. 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ogólnie rozporządzenie o ochronie danych (Dz. U. UE.L.2016.119.1), po przeprowadzeniu postępowania administracyjnego w sprawie skargi M. K. na przetwarzanie jego danych osobowych przez [...]z siedzibą w W., dalej jako Bank, w celach marketingowych oraz ich udostępnienie na rzecz [...] z siedzibą w W., dalej jako Spółka, w dniu [...] lipca 2018 r. wydał decyzję nr [...] którą odmówił uwzględnienia wniosku.
Organ w uzasadnieniu decyzji podał, że M. K. zakwestionował przetwarzanie jego danych osobowych oraz ich wykorzystywanie w celach marketingowych, a także ich nieuprawnione przekazanie w kontekście przestrzegania przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138), zwanej dalej ustawą.
W ustalonym stanie faktycznym organ podał, że ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
Organ w zakresie posiadanych kompetencji badał, czy u podstaw przetwarzania przez spółkę danych osobowych M. K. znajduje się jedna z przesłanek legalizujących przetwarzanie danych osobowych enumeratywnie wymienionych w art. 23 ust. 1 ustawy. Dla legalności przetwarzania danych osobowych wystarczające było zatem spełnienie jednej z przesłanek określonych w tym przepisie.
W okolicznościach niniejszej sprawy, w pierwszej kolejności należy wskazać, iż [...] pozyskał dane osobowe M. K. na podstawie art. 23 ust. 1 pkt 3 ustawy, w związku z zawarciem przez niego umowy na prowadzenie jego rachunku bankowego przez Bank.
Podkreślić należy, że administrator danych nie musi wykonywać czynności związanych z przetwarzaniem danych osobowych i może zlecić wykonywanie czynności z tym związanych podmiotowi zewnętrznemu. Z ustalonego stanu faktycznego wynika, że pomiędzy M. K., a Spółką nie została zawarta żadna umowa i z tego względu Spółka nie mogła wykorzystywać jego danych osobowych do celów marketingowych. Spółka nie działała również na zlecenie Banku, lecz jako administrator danych osobowych, tym samym nie realizowała zawartej z nim umowy z Bankiem. Obecnie Bank i Spółka nie przetwarzają danych ww. w celach marketingowych, a zatem brak jest podstaw do sformułowania wobec Spółki nakazu zaprzestania danych osobowych M. K. w tym celu. Stosownie bowiem do treści art. 18 ustawy, Generalny Inspektor wydaje nakaz przywrócenia stanu zgodnego z prawem, w sytuacji gdy stwierdzi naruszenie przepisów ustawy. Z przywołanego przepisu wynika zatem, iż warunkiem wydania takiego nakazu jest istnienie stanu naruszenia prawa do ochrony danych osobowych w chwili wydania decyzji administracyjnej, a taki w przedmiotowej sprawie nie istnieje.
M. K., reprezentowany przez profesjonalnego pełnomocnika, wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie na powyżej określoną decyzję zarzucając, że do jej wydania doszło w warunkach naruszenia następujących przepisów:
1. art. 107 § 1 K.p.a., poprzez brak powołania podstawy prawnej rozstrzygnięcia, co uniemożliwia kontrolę prawidłowości zastosowania przepisów prawa materialnego;
2. art. 107 § 3 K.p.a., poprzez brak wyjaśnienia podstawy prawnej rozstrzygnięcia z przytoczeniem przepisów prawa, co uniemożliwia kontrolę prawidłowości zastosowania przepisów prawa materialnego;
3. art. 107 § 3 K.p.a., poprzez brak uzasadnienia stanowiska organu, kwestionującego zakwalifikowanie czynności Banku i Spółki do art. 31 ustawy, wbrew ich stanowiskom;
4. art. 7, art. 77 § 1, art. 78 § 1 oraz art. 80 K.p.a., polegające na ich naruszeniu.
Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie i podtrzymał stanowisko przedstawione w uzasadnieniu zaskarżonej decyzji.
Pełnomocnik skarżącego w piśmie procesowym z dnia [...] grudnia 2018 r. odniósł się do odpowiedzi na skargę, a w jego ocenie potwierdza ona zasadność zarzutów podniesionych w skardze.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Sąd administracyjny wykonuje wymiar sprawiedliwości, poddając kontroli decyzje wydawane przez organy administracji publicznej pod względem ich zgodności z prawem, badając czy właściwie zastosowano przepisy prawa materialnego i przestrzegano przepisów proceduralnych w postępowaniu administracyjnym. W przypadku stwierdzenia naruszenia prawa sąd władny jest wzruszyć zaskarżoną decyzję. Przepis art. 145 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r., poz. 2107, dalej jako P.p.s.a.) reguluje kiedy decyzje lub postanowienia podlegają uchyleniu.
Dokonując kontroli zaskarżonej decyzji, Sąd doszedł do wniosku, że ustalenia organu wyprowadzone ze zgromadzonego w sprawie materiału dowodowego, które doprowadziły do odmowy uwzględnienia wniosku skarżącego, należy uznać za prawidłowe i nie naruszające prawa w zakresie wskazanym w skardze.
Zgodnie z art. 23 ust. 1 ustawy, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania(ust. 2).
Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe (ust. 3).
Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:
1) marketing bezpośredni własnych produktów lub usług administratora danych;
2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (ust. 4).
Powyżej przytoczony przepis w ust. 1 określa materialne przesłanki przetwarzania danych osobowych i mają one charakter generalny, gdyż odnoszą się do wszelkich form przetwarzania danych osobowych i co do zasady są równoprawne. Podkreślić jednak należy, że równoprawność nie oznacza, iż jest obojętne, w oparciu o która przesłankę dochodzi do przetwarzanie danych osobowych, bowiem konsekwencje prawne nie są identyczne.
Z akt sprawy wynika, że Bank pozyskał dane osobowe skarżącego na podstawie art. 23 ust. 1 pkt 3 ustawy w związku z zawarciem z nim umowy kredytu mieszkaniowego. Użyte w tym przepisie sformułowanie "jest konieczne do realizacji", w ocenie Sądu oznacza de facto, że zebrane dane są niezbędne jednej ze stron umowy, w związku z wyrażoną wolą drugiej strony. Należy zatem uznać, że skoro celem przetwarzania jest wywiązanie się przez osobę z umowy, to usprawiedliwione będzie wykorzystanie niezbędnych w tym celu informacji osobowych przez administratora danych.
Zgoda na przetwarzanie danych osobowych ma charakter oświadczenia woli. Winna być ona wyraźna. Nie wystarczy zatem samo powiadomienie o zamiarze przetwarzania danych i brak sprzeciwu z drugiej strony. Zgoda nie musi być, co prawda, udzielona na piśmie, ale winna jasno i jednoznacznie prezentować wolę zainteresowanego i jej zakres. Udzielający zgody musi być przy tym zorientowany, o jakie dane chodzi i o jakie ich przetwarzanie, w tym zwłaszcza, do jakich celów. Sposób poinformowania musi być zrozumiały i nie może dotyczyć bliżej niedookreślonych czynności. Przetwarzanie i wykorzystanie danych powinno następować tylko w tym celu, dla którego zostały pozyskane i cel ten powinien być znany osobie, której dane dotyczą. Oznacza to obowiązek informowania o celu gromadzenia i zakaz zbierania danych na zapas, dla nieokreślonych lub niedających się określić celów.
Z zebranego w sprawie materiału dowodowego wynika, że skarżący nie zawarł ze Spółką żądnej umowy, co oznacza że nie mogła ona wykorzystywać jego danych osobowych, które uzyskała od Banku, do celów marketingowych. Wbrew twierdzeniu pełnomocnika skarżącego, Spółka nie działała na zlecenie Banku, jako podmiot określony w art. 31 ustawy, a występowała wyłącznie jako administrator danych osobowych.
Działalność prowadzona dla celów marketingowych może być dopuszczalna bez zgody zainteresowanego, zgodnie z art. 23 ust. 1 pkt 5 ustawy. Winna ona jednak wówczas odpowiadać bardziej restryktywnym warunkom. Nie wystarczy już bowiem tylko, aby dane te były, w świetle art. 26 ust. 1 pkt 1 i 3 ustawy, przetwarzane zgodnie z prawem, merytorycznie poprawne i adekwatne do celów, ale muszą być one niezbędne do wypełnienia usprawiedliwionych celów administratora danych i nie mogą naruszać praw i wolności osoby, której dane dotyczą. Jeżeli jednak dochodzi do przetwarzania danych osobowych, to proces ten nie może być legalizowany przesłanką z art. 23 ust. 1 pkt 2 ustawy, na który powołała się Spółka w piśmie z dnia [...] listopada 2017 r.
Z akt sprawy wynika, że Spółka zaprzestała przetwarzania danych osobowych skarżącego w celach marketingowych.
Zgodnie z art. 18 ust. 1 ustawy, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień;
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego;
5) zabezpieczenie danych lub przekazanie ich innym podmiotom;
6) usunięcie danych osobowych.
Przesłanką wydania przez Prezesa Urzędu Ochrony Danych Osobowych nakazu jest stwierdzenie naruszenia przepisów o ochronie danych osobowych, tj. z zebranego w postępowaniu materiału dowodowego musi wynikać, że swoim działaniem lub zaniechaniem administrator naruszył przepisy prawa. Stwierdzony przez organ stan naruszenia przepisów o ochronie danych osobowych powinien istnieć w dacie wydania decyzji. Przewidziana zaś w art. 18 pkt 1 ust. 1 ustawy sankcja w postaci usunięcia uchybień obejmuje czynności przywracające stan zgodny z prawem, inne niż wymienione w pozostałych punktach tego przepisu.
Przenosząc powyższe rozważania natury ogólnej na grunt rozpoznawanej sprawy, uznać należy, że organ, wydając decyzję merytoryczną odmawiającą uwzględnienia wniosku skarżącego działał prawidłowo. Organ zasadnie przyjął, że jakkolwiek stan naruszenia przepisów ustawy miał miejsce w chwili udostępnienia danych skarżącego, to w momencie wydawania decyzji już nie zachodził i w konsekwencji brak było podstaw do sformułowania nakazu, o którym mowa w art. 18 ust. 1 ustawy o ochronie danych osobowych.
Dane osobowe skarżącego były przetwarzane z naruszeniem przepisów ustawy o ochronie danych osobowych jednakże działania te mają jednak charakter nieodwracalny.
Odnosząc się do zarzutów podniesionych w skardze, Sąd uznał je za niezasadnego, gdyż organ wydając zaskarżoną decyzję nie naruszył przepisów postępowania w niej określonych.
Mając powyższe ustalenia na uwadze, na podstawie art. 151 P.p.s.a., Sąd orzekł jak w sentencji.