II SA/Wa 2166/22

II SA/Wa 2166/22 - Wyrok WSA w Warszawie
Data orzeczenia
2023-07-13
orzeczenie nieprawomocne
Data wpływu
2022-12-06
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski
Danuta Kania /przewodniczący/
Iwona Maciejuk /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2019 poz 2325
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Danuta Kania, Sędzia WSA Iwona Maciejuk (spr.), Asesor WSA Arkadiusz Koziarski, Protokolant specjalista Wiesława Jesiotr, po rozpoznaniu na rozprawie w dniu 13 lipca 2023 r. sprawy ze skargi R. Z. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
W dniu 1 lutego 2021 r. do Urzędu Ochrony Danych Osobowych wpłynęła skarga R. Z., zwanego dalej także Skarżącym, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A. z siedzibą w W., zwanej dalej także Spółką, polegające na udostępnieniu danych osobowych Skarżącego innym podmiotom bez podstawy prawnej oraz niespełnieniu wobec Skarżącego obowiązku informacyjnego, wynikającego z art. 13 RODO. Skarżący w treści skargi oraz pisma uzupełniającego z dnia 18 lutego 2021 r. (karta 1, karta 5, karta 13 akt adm.) wskazał, że stosowane przez Spółkę procedury uniemożliwiają skuteczne zawarcie i realizację umowy oraz naruszają zasady przetwarzania danych osobowych tj. przejrzystość, adekwatność i prawidłowość. Skarżący zarzucił, że nie są dla niego jasne podstawy przetwarzania jego danych osobowych przez Spółkę. Ponadto wskazał, że nie wyraził zgody na weryfikację w BIG i u innych podmiotów godząc się na alternatywne rozwiązanie zaproponowane przez przedstawiciela, tj. wpłatę kaucji. Skarżący zażądał spełnienia wobec niego obowiązku informacyjnego na podstawie art. 13 RODO, ponieważ nie jest dla niego jasne, co stanowi podstawę prawną przekazania danych do BIG i operatorów telekomunikacyjnych w związku z profilowaniem i automatycznym podejmowaniem decyzji. Skarżący zażądał nakazania administratorowi przekazania mu następujących informacji: tożsamość (nazwa, a w przypadku osobowy fizycznej - imię i nazwisko) i dane kontaktowe administratora, podstawa prawna przetwarzania danych osobowych; informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy; informacja czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Skarżący przedstawił szereg informacji dotyczących całego procesu zawierania umowy, wskazując na praktykę Spółki [...], na nieprawidłowości w działaniu Spółki polegające m.in. na niedokładnościach w przedkładanych dokumentach.
Spółka w piśmie z dnia 8 marca 2021 r. na wezwanie Prezesa UODO wyjaśniła, że Skarżący podczas rozmowy telefonicznej wyraził chęć skorzystania z jej usług i pozyskała jego dane osobowe bezpośrednio od niego, na podstawie sporządzonego dokumentu dotyczącego chęci zawarcia umowy. Spółka wskazała, że dokument został spisany przez przedstawiciela handlowego Spółki na formularzu dotyczącym umów zawieranych za pomocą formularza elektronicznego w obecności przedstawiciela.
Z uwagi na fakt, że Skarżący nie podał adresu poczty elektronicznej do przesłania umowy, została mu przesłana papierowa forma umowy stanowiąca potwierdzenie warunków umówionych z przedstawicielem Spółki. W dniu [...] grudnia 2020 r. została przygotowana papierowa wersja umowy, która została dostarczona Skarżącemu przez technika mającego zrealizować w lokalu montaż umówionych usług, umowę przedłożono w załączeniu do wyjaśnień (karta 23 akt adm., karta 31 akt adm.). Skarżący po zapoznaniu się z treścią dostarczonej umowy, odmówił jej podpisania i odmówił przeprowadzenia montażu w umówionym dniu, więc ostatecznie montaż się nie odbył. Spółka wskazała, że po wielokrotnych i wielogodzinnych kontaktach telefonicznych Skarżącego z przedstawicielem oraz infolinią sprzedażową Spółki, zostały przygotowane kolejne propozycje. W dniu 1 marca 2021 r. do Spółki została zwrócona przez Skarżącego kolejna wersja umowy o świadczenie usług telekomunikacyjnych z naniesionymi przez Skarżącego pisemnymi zmianami i uwagami w jej treści. Spółka wyjaśniła, że naniesione zmiany dokonane przez Skarżącego stanowią zmiany treści umowy i nie mogą zostać w tej formie uznane przez Spółkę za wiążące, a usługi nie mogą być aktywowane (umowa z dopiskami Skarżącego – załącznik nr 5 do pisma, karta- 38 akt ad.).
Spółka wyjaśniła, że obecnie przetwarza dane Skarżącego w następującym zakresie: imię i nazwisko, PESEL, numer i seria dowodu osobistego, rodzaj dokumentu potwierdzającego tożsamość, adres do instalacji i korespondencji oraz numer telefonu stacjonarnego Skarżącego. Dane te przetwarzane są na podstawie art. 6 ust. 1 lit. b RODO w celu realizacji działań mających na celu prawidłowe zawarcie umowy oraz art. 6 ust. 1 lit. f RODO, tj. dla celów dowodowych oraz obrony roszczeń administratora w związku z korespondencją reklamacyjną prowadzoną ze Skarżącym, a także niniejszym postępowaniem wyjaśniającym prowadzonym przed Prezesem UODO.
Spółka wyjaśniła, że obowiązek informacyjny wobec Skarżącego, zgodnie z art. 13 RODO, został spełniony przez przedstawiciela Spółki podczas pierwszej rozmowy telefonicznej oraz ponownie poprzez standardowe załączenie dokumentu do dostarczonej Skarżącemu umowy o świadczenie usług telekomunikacyjnych z dnia [...] grudnia 2020 r. Do przedmiotowej umowy podpisanej przez Skarżącego została dołączona informacja stanowiąca klauzulę informacyjną (załącznik nr 6 do wyjaśnień Spółki, karta 47, 48 akt adm.). W treści przedmiotowej klauzuli informacyjnej Spółka poinformowała Skarżącego o tożsamości i danych kontaktowych administratora, danych kontaktowych inspektora danych osobowych; celach i podstawach prawnych przetwarzania danych osobowych, w tym o konieczności podania danych osobowych w celu zawarcia umowy, prawnie uzasadnionych interesach administratora lub strony trzeciej, odbiorcach danych osobowych lub o kategoriach odbiorców, przysługujących prawach, a także o zautomatyzowanym przetwarzaniu danych osobowych (karta 47, 48 akt adm.).
Odnosząc się do kwestii weryfikacji wiarygodności płatniczej abonenta w zakresie udostępniania danych osobowych Skarżącego biurom informacji gospodarczej oraz innym operatorom telekomunikacyjnym, Spółka wyjaśniła, że była uprawniona do weryfikacji wiarygodności płatniczej Skarżącego na podstawie art. 57 ust. 2 pkt 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2021 r. poz. 576), powołała art. 57 ust. 3 tej ustawy. Wyjaśniła też, że zgodnie z art. 10 ust. 1 ustawy z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (Dz. U. z 2021 r. poz. 2057), ujawnienie danych dotyczących wiarygodności płatniczej, którymi dysponuje biuro informacji gospodarczej, następuje, jeżeli podmiot występujący z wnioskiem posiada upoważnienie konsumenta. Upoważnienie określa zakres danych przeznaczonych do ujawnienia. Spółka wyjaśniła, że zgodnie z obowiązującymi przepisami prawa ma prawo do weryfikacji wiarygodności płatniczej abonentów, na podstawie upoważnienia abonenta, (czego nie należy mylić, jak wskazała, ze zgodą na gruncie RODO), poprzez wystąpienie do biura informacji gospodarczej o ujawnienie informacji gospodarczych dotyczących zobowiązań osoby wskazanej w upoważnieniu, w celu dokonania oceny jej wiarygodności płatniczej bądź podjęcia decyzji co do wysokości ewentualnej kaucji.
Spółka w piśmie z dnia 7 kwietnia 2021 r. (karta 52 akt adm.) wskazała,
że Skarżący w dniu [...] grudnia 2020 r. wyraził zgodę na weryfikację w biurach informacji gospodarczej poprzez wypełnienie formularza oświadczenia klienta wraz z dopiskiem na dokumencie o treści cyt.: "W związku, że ma innej możliwości zakupu usługi jestem zmuszony podpisać to oświadczenie." (załącznik nr 1 do tego pisma – karta 52 akt adm.).
Spółka w piśmie z dnia 7 kwietnia 2021 r. (karta 53 akt adm.) wyjaśniła, że w dniu [...] grudnia 2020 r. wystąpiła z wnioskiem do biur informacji gospodarczej (KRD BIG S.A., zwanej dalej KRD BIG oraz Rejestru Dłużników ERIF BIG S.A., zwanej dalej ERIF BIG) o udostępnianie informacji gospodarczych o zobowiązaniach Skarżącego w celu ich wykorzystania do dokonania oceny wiarygodności płatniczej Skarżącego przed zawarciem umowy. Od obu podmiotów otrzymała raport [...].12.2020 r. "status: brak informacji" (karta 54 akt adm.). Spółka wyjaśniła też, że KRD BIG oraz ERIF BIG są odrębnymi administratorami danych Skarżącego, które działają na podstawie przepisów ustawy o BIG. Zgodnie z art. 27 ust. 3 ustawy o BIG, rejestr zapytań obejmuje informacje w zakresie ujawnionych danych oraz daty ich ujawnienia przez okres 12 miesięcy liczonych od daty ich ujawnienia (wyjaśnienia Spółki z dnia 7 kwietnia 2021 r. wraz z załącznikami – karta 53 akt adm.).
W wyjaśnieniach z dnia 13 lipca 2021 r. (karta 80 akt adm.) Spółka ponownie wskazała, że Skarżący na podstawie podpisanego przez siebie upoważnienia (przekazanego do Urzędu pismem Spółki z dnia 7 kwietnia 2021 r. jako zał. Nr 1) upoważnił Spółkę do przekazania jego danych do KRD BIG S.A. oraz Rejestru Dłużników ERIG BIG S.A. celem umożliwienia Spółce dokonania wiarygodności płatniczej. Spółka wyjaśniła, że podczas generowania umowy w systemie, na egzemplarzu umowy z dnia [...] grudnia 2020 r. (egzemplarz umowy został przekazany do tutejszego Urzędu pismem Spółki z dnia 8 marca 2021 r. jako Załącznik nr 4) zostały zaznaczone tzw. "checkboxy" odpowiadające zakresowi udzielonego upoważnienia, o którym mowa wyżej (upoważnienie było udzielone w dniu [...] grudnia 2020 r.). Spółka podkreśliła, że żadne zgody nie są domyślnie zaznaczane na wzorcach umów stosowanych przez Spółkę. Spółka podczas generowania w systemie umów, zaznacza odpowiednie zgody na podstawie oświadczeń woli klientów. W przypadku Skarżącego, odpowiednie "checkboxy" zostały odznaczone przez pracownika przygotowującego umowę na podstawie upoważnienia podpisanego przez Skarżącego w dniu [...] grudnia 2020 r.",
KRD BIG S.A. w wyjaśnieniach z 18 sierpnia 2021 r. (karta 92 akt adm.) wskazała, że dokonała sprawdzenia swoich systemów pod kątem przetwarzania danych osobowych skarżącego i zgodnie z poczynionymi ustaleniami na dzień sporządzania niniejszego pisma KRD BIG S.A. nie przetwarza danych osobowych skarżącego jako konsumenta w rozumieniu ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych. Wyjaśniono, że KRD BIG S.A. nie jest w stanie udzielić odpowiedzi na pytania sformułowane w piśmie z dnia 4 sierpnia 2021 r.
W piśmie z dnia 27 sierpnia 2021 r. (karta 94 akt adm.) ERIF BIG wyjaśniło, że dane osobowe Skarżącego pozyskało dopiero z treści pism Prezesa UODO z 2.07 i 4.08.2021 r. ERIF BIG wskazało, że informacje gospodarcze dotyczące skarżącego na dzień sporządzenia pisma, tj. 26 sierpnia 2021 r. godz. 11:00 nie znajdują się w bazie ERIF. ERIF wyjaśniło też m.in., że na dzień sporządzenia niniejszego pisma Biuro nie przetwarza danych osobowych Skarżącego pozyskanych od Spółki [...] S.A. Podało m.in., że w związku z wynikającym z ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych obowiązkiem Biura dotyczącym przetwarzania przez Biuro wyłącznie aktualnych informacji gospodarczych, Biuro nie ma możliwości potwierdzenia, czy Spółka [...] S.A. udostępniła w przeszłości informacje gospodarcze na temat skarżącego do biura, lub, czy Biuro dokonało ich aktualizacji lub usunięcia.
Pismami z dnia 13 maja 2022 r. Prezes UODO poinformował strony o uprawnieniach wynikających z art. 10 k.p.a. w zw. z art. 73 k.p.a.
Pismem z dnia 2 lipca 2022 r. Skarżący odniósł się do wyjaśnień, pism Spółki [...] S.A. Załączył też aneks z dnia [...] grudnia 2020 r. do umowy o świadczenie usług telekomunikacyjnych. Skarżący przedstawił m.in. przebieg czynności związanych z zawieraniem umowy. Raz jeszcze wskazał, że [...] grudnia 2020 r. był zmuszony podpisać się na formularzu oświadczenia na potrzeby weryfikacji płatniczej, gdyż nie było innej opcji poza rezygnacją z usługi. Podał też m.in., że z informacją zapisaną w załączniku nr 6 mógł pobieżnie zapoznać się dopiero 17 grudnia podczas krótkiej wizyty montera. Wskazał też, że "Umieszczona była wśród kilkudziesięciu innych stron – dokumenty były niezgodne z umową i ustaleniami i zabrał je monter po tym jak okazały się nieprawidłowe". Skarżący podtrzymał swoje wcześniejsze stanowisko w sprawie.
W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych decyzją
z dnia [...] września 2022r. nr [...]., na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2021 r. poz. 735 ze zm.), zwanej dalej k.p.a., zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781), zwanej dalej ustawą z dnia 10 maja 2018 r. oraz na podstawie art. 6 ust. 1 lit. f, art. 13 ust. 1 i art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia
2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi R. Z., na nieprawidłowości w procesie przetwarzania danych osobowych przez [...] S. A. z siedzibą w W. polegające na udostępnieniu tych danych osobowych innym podmiotom bez podstawy prawnej oraz niespełnieniu obowiązku informacyjnego na podstawie art. 13 RODO, odmówił uwzględnienia wniosku.
W uzasadnieniu organ, w stanie faktycznym, jak przedstawiony wyżej, wskazał, że RODO określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w RODO, w tym uwzględniających prawa osób, których dane dotyczą. Wynikającym z RODO obowiązkiem administratora danych jest m.in. spełnienie wobec osoby, od której dane dotyczą, obowiązku informacyjnego. Przytoczył art. 13 ust. 1 RODO. Podał, że z treści artykułu wynika, że jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje: swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela (lit. a); gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych (lit. b); cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania (lit. c); jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) - prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią (lit. d); informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją (lit. e); gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia (lit. f).
Organ stwierdził, że z treści zebranego materiału dowodowego wynika, że Spółka spełniła wobec Skarżącego, chcącego zostać jej klientem, obowiązek informacyjny uregulowany w treści art. 13 RODO w sposób prawidłowy. Spółka pozyskała dane osobowe Skarżącego bezpośrednio od niego z związku z wyrażeniem przez niego chęci zawarcia umowy o świadczenie usług telekomunikacyjnych, której egzemplarz o treści uzgodnionej wcześniej ze Skarżącym został mu przekazany w dniu [...] grudnia 2020 r. Do umowy tej dołączono klauzulę zawierającą informacje o przetwarzaniu danych osobowych w zakresie obejmującym tożsamość i dane kontaktowe administratora, dane kontaktowe inspektora danych osobowych, cele i podstawy prawne przetwarzania danych osobowych, w tym informacje o konieczności podania danych osobowych w celu zawarcia umowy, informacje o prawnie uzasadnionych interesach administratora lub strony trzeciej, odbiorcy danych osobowych lub o kategoriach odbiorców, a także o informacje o zautomatyzowanym przetwarzaniu danych osobowych. W ocenie Prezesa UODO Spółka prawidłowo wypełniła tym samym wobec Skarżącego obowiązek informacyjny na podstawie art. 13 RODO, udzielając wymaganych przezeń informacji.
Prezes UODO odnosząc się do oceny legalności procesu przekazania danych osobowych Skarżącego do KRD BIG oraz ERIF BIG wskazał, że w myśl art. 6 ust. 1 lit. f RODO przetwarzanie danych osobowych jest zgodne z prawem wtedy, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz (motyw 47 RODO).
Organ wskazał, że zgodnie z art. 57 ust. 2 pkt 2 Prawa telekomunikacyjnego, dostawca usług może uzależnić zawarcie umowy o świadczenie usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do sieci, od pozytywnej oceny wiarygodności płatniczej użytkownika końcowego wynikającej z danych będących w posiadaniu dostawcy usług lub udostępnionych mu przez biuro informacji gospodarczej w trybie określonym w ustawie z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (Dz. U. z 2020 r. poz. 389 i 2320) dostawca usług powiadamia użytkownika końcowego o wystąpieniu takiego zastrzeżenia. Z kolei upoważnienie do przekazania danych dotyczących wiarygodności płatniczej zawarte jest w art. 10 ust. 1 ustawy o udostępnianiu informacji gospodarczych (...), zgodnie z którym ujawnienie danych, o których mowa w art. 9 ust. 1, dotyczących konsumenta następuje, jeżeli podmiot występujący z wnioskiem posiada upoważnienie tego konsumenta. Upoważnienie określa zakres danych przeznaczonych do ujawnienia.
Prezes UODO odnosząc się do zarzutu udostępnienia przez Spółkę danych osobowych Skarżącego KRD BIG oraz ERIF BIG, stwierdził, że zgromadzony w sprawie materiał dowodowy wykazał, że przedmiotowe udostępnienie na rzecz biur informacji gospodarczej w celu weryfikacji wiarygodności płatniczej Skarżącego nastąpiło na podstawie uprzednio udzielonego przez niego upoważnienia z dnia [...] grudnia 2020 r. oraz w oparciu o ww. przepisy prawa. Skarżący wyraził zgodę na to, aby Spółka ujawniła KRD BIG oraz ERIF BIG informacje gospodarcze dotyczące jego zobowiązań. Spółka wskazała, że podczas sporządzania egzemplarza umowy zaznaczono okienka zgód dotyczące udostępnienia danych osobowych biurom informacji gospodarczej w zakresie zgodnym z udzielonym przez Skarżącego upoważnieniem. Prezes UODO zaznaczył, że nie jest organem kompetentnym do badania skuteczności złożonego przez Skarżącego oświadczenia woli, a tym bardziej stwierdzenia, czy jest ono wadliwe. W zgromadzonym materiale dowodowym znajduje się kopia podpisanego przez Skarżącego oświadczenia na potrzeby weryfikacji wiarygodności płatniczej z dnia [...] grudnia 2020 r. Organ stwierdził, że zobowiązany jest przyjąć złożenie przez Skarżącego powyższego oświadczenia za fakt. Mając na uwadze powyższe Prezes UODO stwierdził, że proces przetwarzania danych osobowych Skarżącego polegający na udostępnieniu jego danych osobowych do KRD BIG oraz ERIF BIG był procesem legalnym znajdującym uzasadnienie w przesłance z art. 6 ust. 1 lit. f RODO. Jednocześnie Prezes UODO wskazał, że aktualnie oba ww. podmioty nie przetwarzają danych osobowych Skarżącego.
Organ podniósł, że postępowanie administracyjne prowadzone przez niego służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej przywracającej stan zgodny z prawem na podstawie art. 58 ust. 2 RODO. Ocena dokonywana przez Prezesa Urzędu w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu odpowiadającego dyspozycji art. 58 ust. 2 RODO służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych - jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją.
W ocenie Prezesa UODO nie ma podstaw do stwierdzenia, że w niniejszej sprawie takie nieprawidłowości istnieją. Spółka spełniła wobec Skarżącego obowiązek informacyjny na podstawie art. 13 RODO. W zakresie udostępnienia danych osobowych Skarżącego innym podmiotom organ wskazał, że przedmiotowe udostępnienie odbyło się zgodnie z prawem, w celu realizacji prawnie uzasadnionego interesu realizowanego przez administratora na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 10 ust. 1 ustawy o BIG art. 57 ust. 2 pkt 2 Prawa telekomunikacyjnego.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2022 r. nr [...] stała się przedmiotem skargi R. Z. do Wojewódzkiego Sądu Administracyjnego w Warszawie. Zaskarżonej decyzji zarzucił naruszenie:
- art. 6 ust. lit. f RODO polegające na błędnym przyjęciu, że Spółka miała podstawę prawną do przetwarzania danych osobowych Skarżącego poprzez ich przekazanie do biur informacji gospodarczej. Uzasadniając zarzut wskazał, że warunkiem koniecznym,
a nie spełnionym w tym przypadku jest niezbędność do realizacji celu jakim było sprawdzenie wiarygodności płatniczej. Organ nie podważył faktu, że dopuszczalną alternatywną formą mogło być wpłacenie kaucji tj. dającej mocniejszą gwarancję faktycznej zapłaty za przyszłe faktury, a cytował w uzasadnieniu decyzji, że jest to tylko uprawnienie, co przekreśla możliwość użycia tej przesłanki ze względu na brak niezbędności. Ponadto brak niezbędności podkreśla p. 13 Informacji Spółki o przetwarzaniu danych osobowych gdzie można przeczytać "...Zautomatyzowana decyzja o nałożeniu kaucji podejmowana jest także w przypadku odmowy wyrażenia zgody na dokonanie weryfikacji Klienta w biurach informacji gospodarczej i u innych przedsiębiorców telekomunikacyjnych."
- przepisów polegające na błędnym przyjęciu, że Skarżący wyraził zgodę na przekazanie jego danych w celu sprawdzenia wiarygodności płatniczej. Uzasadniając zarzut wskazał, że zgoda opisana w prawie telekomunikacyjnym w związku z art. 174 ma zostać wyrażona jak w RODO. Podał, że organ w decyzji zacytował fakt, że była wymuszona, co przekreśla możliwość uznania jej za prawidłową, również w kontekście Prawa telekomunikacyjnego. Skarżący podniósł, że "czytając i podpisując oświadczenie bez zaznaczania checkbox-ów z notatką o wymuszenia" rozumiał, że nie jest to zgoda na przekazanie danych ani do BIG-ów ani do innych operatorów telekomunikacyjnych;
- art. 13 RODO polegające na błędnym przyjęciu, że Spółka prawidłowo wykonała obowiązek informacyjny wobec Skarżącego. Uzasadniając zarzut skarżący wskazał,
że aby można było przyjąć, że tak było powinien on zgodnie z art. 12 ust. 1 RODO mieć formę zwięzłą, przejrzystą i być zrozumiały. Organ nie odniósł się do formy "ogólnej informacji" nie mającej związku z przetwarzaniem danych związanych z konkretnymi procesami. Skarżący przywołał też m.in. punkt 13 Informacji Spółki o przetwarzaniu danych osobowych. Odwołując się do wytycznych 05/2020 EROD p. 123
"... administrator nie może zastąpić zgody innymi zgodnymi z prawem podstawami. Na przykład nie można stosować uzasadnionego interesu z mocą wsteczną jako podstawy uzasadniającej przetwarzanie danych w sytuacji powstania wątpliwości co do ważności zgody. (...)", w nawiązaniu do ustalenia, że jego dane były jednak przekazane do BIG-ów [...] grudnia 2020 r., wskazał na brak upoważnienia;
- art. 13 RODO polegające na błędnym przyjęciu, że Spółka prawidłowo wykonała obowiązek informacyjny w łatwo dostępnej formie, jak określa art. 12 ust. 1 RODO. Uzasadniając zarzut wskazał, że organ nie odniósł się do stosowanej praktyki podpisywania obioru paczki dokumentów od kuriera i przyjęcia tego za prawidłowo udzielone zgody, pomimo tego, że nie można było się wcześniej zapoznać z treścią zapakowanych dokumentów.
- przepisów postępowania polegające na zaniechaniu zgromadzenia całości materiału dowodowego oraz niewłaściwą ocenę posiadanego materiału dowodowego. Skarżący odnosząc się do ustaleń faktycznych wskazał m.in., że nie podał adresu poczty elektronicznej do przeslania umowy aby nie dostawać niezamówionej informacji handlowej. Wskazał też m.in., że prawie 3 miesiące trwało zanim otrzymał od Spółki umowę z potwierdzonymi właściwymi warunkami określonymi z przedstawicielem handlowym w umowie z [...] grudnia 2020 r. Podniósł, że w ciągu kilku miesięcy przygotowano niezgodne z ustaleniami i nieakceptowalne dokumenty. Skarżący przedstawił informacje dotyczące procesu zawierania umowy, w tym dostarczenie 12 stycznia 2021 r. przez kuriera umowy gdzie domyślnie zaznaczone były zgody na marketing (przy braku zniżki promocyjnej za brak zgody na marketing), w dniu 18 stycznia 2021 r. dostarczenie przez kuriera nowej umowy, która wyglądała podobnie jak poprzednia i 23 lutego 2021 r. kolejnej umowy, ale tym razem z gorszymi finansowo warunkami świadczenia usługi oraz 9 marca 2021 r. dostarczenie przez pracownika Spółki umowy z warunkami z [...] grudnia 2020 r. i podpisanie umowy. Podał, że "okazało się, że nie jest konieczna wysyłka kurierem i nie jest konieczna zgoda na przekazanie do BIG, itd.".
Skarżący stwierdził, że pozostawienie decyzji organu w obrocie prawnym pozbawi go, jak też inne osoby prawa do ochrony danych osobowych i utrwalenie nieprawidłowych praktyk przetwarzania danych przez Spółkę.
Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując ustalenia decyzji. Organ odniósł się do zarzutów skargi. Prezes UODO wskazał, że nie zgadza się z zarzutem Skarżącego, iż doszło do błędnego przyjęcia, że Spółka miała podstawę prawną do przetwarzania danych osobowych Skarżącego poprzez ich przekazanie do biur informacji gospodarczej. Zgodnie ze stanowiskiem doktryny cyt.: "Termin "wiarygodność płatnicza" odnosić należy do tych danych będących w posiadaniu dostawcy usług lub udostępnionych przez biuro informacji gospodarczej, które dotyczą zdolności użytkownika końcowego do realizacji zobowiązań finansowych wynikających z umowy o świadczenie usług telekomunikacyjnych, będącej umową dwustronnie zobowiązującą. W świetle takiej interpretacji ocena "wiarygodności płatniczej" ma pozwolić przewidzieć, czy użytkownik końcowy, gdy stanie się abonentem, a więc po zawarciu z nim umowy o świadczenie usług telekomunikacyjnych i jego aktywacji w sieci tego dostawcy usług telekomunikacyjnych, będzie opłacał wystawiane przez tego dostawcę faktury za świadczone usługi telekomunikacyjne. Informacje o wiarygodności płatniczej użytkownika końcowego muszą być pozyskane legalnie." (A. Krasuski [w:] Prawo telekomunikacyjne. Komentarz, wyd. IV, Warszawa 2015, art. 57). Organ wskazał m.in., że badanie wiarygodności płatniczej przyszłego klienta uznać zaś należy za prawnie uzasadniony interes Spółki, o którym mowa w art. 6 ust. 1 lit. f RODO. Zgromadzony w przedmiotowej sprawie materiał dowodowy wykazał, że kwestionowane przez Skarżącego udostępnienie jego danych osobowych na rzecz biura informacji gospodarczej w celu weryfikacji wiarygodności płatniczej nastąpiło prawidłowo. W zgromadzonym w niniejszym postępowaniu materiale dowodowym znajduje się kopia podpisanego przez Skarżącego oświadczenia na potrzeby weryfikacji wiarygodności płatniczej z dnia [...] grudnia 2020 r. W ocenie Skarżącego, Spółka nie dysponowała jednak właściwym upoważnieniem, gdyż Skarżący składając podpis na dokumencie zawarł zastrzeżenie, iż jest zmuszony podpisać to oświadczenie, gdyż nie ma innej możliwości zakupu usługi. Ponadto w ocenie Skarżącego, Spółka powinna zgodnie z pkt 13 regulaminu przetwarzania danych osobowych skorzystać z prawa nałożenia na Skarżącego kaucji. Wbrew twierdzeniom Skarżącego, jak wskazał Prezes Urzędu, zobowiązany jest przyjąć, iż doszło do złożenia przez Skarżącego powyższego oświadczenia zawierającego zgodę na dokonanie weryfikacji wiarygodności płatniczej w trybie ustawy o BIG za fakt. Zasadność nieskorzystania przez Spółkę z innej metody zabezpieczenia się na wypadek niewypłacalności przyszłego klienta nie mogło natomiast stanowić przedmiotu oceny Prezesa Urzędu. Mając na uwadze powyższe okoliczności. Prezes Urzędu podtrzymał stanowisko, zgodnie z którym działanie Spółki było prawidłowe. W ocenie organu za chybiony należy uznać zarzut naruszenia art. 174 Prawa telekomunikacyjnego, poprzez błędne przyjęcie, że Skarżący wyraził zgodę na przekazanie jego danych w celu sprawdzenia wiarygodności płatniczej w rozumieniu przepisów o ochronie danych osobowych. Zgodnie z treścią ww. przepisu do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych, co oznacza, że artykuł ten odnosi się jedynie do zgód wyrażonych na podstawie przepisów PT. Zauważyć należy, że w niniejszej sprawie udostępnienie danych osobowych Skarżącego na rzecz biur informacji gospodarczej nastąpiło w oparciu o art. 57 ust. 2 pkt 2 PT, który odsyła do przepisów ustawy o BIG. Proces ten nastąpił w celu przeprowadzenia weryfikacji płatniczej na podstawie upoważnienia udzielonego przez Skarżącego. Ujawnienie danych osobowych przez Spółkę do biura informacji gospodarczej we wniosku o udostępnienie danych w celu przeprowadzenia weryfikacji wiarygodności płatniczej Skarżącego oraz udostępnienie danych Skarżącego Spółce przez biuro informacji gospodarczej, w odpowiedzi na wniosek Spółki, stanowią dwa niezależne od siebie procesy przetwarzania danych. Organ podkreślił też, że w treści podpisanego przez Skarżącego oświadczenia na potrzeby weryfikacji wiarygodności płatniczej z dnia [...] grudnia 2020 r. jest zawarta informacja na temat zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO. Odnosząc się do zarzutu naruszenia przez Spółkę art. 13 w zw. z art. 12 ust. 1 RODO, organ wskazał m.in., że Spółka spełniła wobec Skarżącego obowiązek informacyjny zgodnie z wytycznymi art. 12 ust. 1 RODO. Wymagane informacje przestawione zostały Skarżącemu na dwóch stronach formatu A4 oraz zostały opisane zrozumiałym językiem. Prezes zaznaczył, że zdaniem skarżącego nie odniósł się do formy "ogólnej informacji" nie mającej związku z przetwarzaniem danych związanych z konkretnymi procesami. Ponadto w ocenie Skarżącego przyjęcie, że obowiązek został przez Spółkę spełniony prawidłowo oznacza, że równie dobrze można by tam dopisać kolejne dziesiątki czy setki sposobów przetwarzania, które nie mają związku z faktycznym przetwarzaniem w tym konkretnym przypadku. Prezes UODO mając na uwadze powyższe wskazał, że nie ulega wątpliwości, iż przedłożona Skarżącemu klauzula informacyjna cechuje się pewnym stopniem ogólności. Niemniej jednak, powyższe nie przesądza o tym, że administrator spełnił swój obowiązek w sposób nieprawidłowy. Treść przedmiotowej klauzuli zawiera bowiem podstawowe informacje o procesach przetwarzaniu danych osobowych klienta zawierającego umowę ze Spółką. Organ nie ma podstaw, aby uznać, że przekazane w tym dokumencie informacje nie są zgodne ze stanem faktycznym, jak podnosi Skarżący. Ich zakres odpowiada zaś treści art. 13 ust. 1 i 2 RODO. Dalej Prezes UODO odnosząc się do zarzutu naruszenia przepisów postępowania polegającego na zaniechaniu zgromadzenia całości materiału dowodowego oraz niewłaściwą ocenę posiadanego materiału dowodowego uznał go za niezasadny. Wskazał, że w celu zweryfikowania zarzutów Skarżącego względem Spółki, korzystając z instrumentów prawnych określonych w art. 58 ust. 1 lit. a) i e) RODO, zwrócił się do Spółki o złożenie pisemnych wyjaśnień w sprawie oraz potwierdzających je dowodów. Sposób działania organu ochrony danych osobowych był zdeterminowany spoczywającym na nim, na mocy art. 77 § 1 k.p.a., obowiązkiem wyczerpującego zebrania oraz rozpatrzenia całego materiału dowodowego. Przedmiotem postępowania była ocena legalności udostępnienia danych osobowych Skarżącego przez Spółkę innym podmiotom oraz niespełnienie przez Spółkę obowiązku informacyjnego na podstawie art. 13 RODO. Prezes Urzędu wskazał, że wziął pod uwagę przedłożony przez Spółkę materiał dowodowy niezbędny do oceny zarzucanych nieprawidłowości w procesie przetwarzania danych osobowych Skarżącego. Podkreślił, że w niniejszym postępowaniu nie badał sposobu zawierania umowy ze Skarżącym, lecz wyłącznie zakwestionowany w skardze proces przetwarzania jego danych osobowych przez Spółkę.
Organ wniósł o rozpoznanie sprawy w trybie uproszczonym, na podstawie art. 119 pkt 2 ustawy – Prawo o postępowaniu przed sądami administracyjnymi.
Skarżący w piśmie z dnia 6 stycznia 2023 r. wniósł o przeprowadzenie rozprawy.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2022 r. poz. 2492 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2023 r. poz. 259 ze zm.)).
W ocenie Sądu, analizowana pod tym kątem skarga R. Z. nie zasługuje na uwzględnienie. Zaskarżona decyzja nie narusza ani przepisów prawa materialnego ani przepisów postępowania administracyjnego w stopniu, który miałby wpływ na wynik sprawy.
Odnosząc się do zasadniczej części zarzutów skargi podkreślenia wymaga,
że wszystkie podniesione w skardze kwestie dotyczące procesu zawierania umowy, sposobów przedstawiania wzajemnych ustaleń stron umowy i ich realizowania przez Spółkę w tym zakresie nie było i nie mogło być przedmiotem oceny Prezesa Urzędu Ochrony Danych Osobowych. Organ ten powołany jest bowiem wyłącznie do wypełniania zadań wynikających z RODO, a zatem m.in. rozstrzygania w kwestiach dotyczących legalności przetwarzania danych osobowych na skutek skarg wnoszonych przez osoby, których dane dotyczą. Zatem, wyłącznie kwestie dotyczące zgodności z prawem przetwarzania danych osobowych skarżącego mogły być, i były - jak wynika z treści zaskarżonej decyzji - przedmiotem oceny Prezesa UODO.
Istota niniejszej sprawy przed Prezesem UPDO sprowadzała się zatem do oceny, czy zgodne z prawem było udostępnienie danych osobowych Skarżącego przez Spółkę innym podmiotom, tj. Biurom Informacji Gospodarczej, tj. KRD BIG i ERIF BIG i czy Spółka wypełniła wobec Skarżącego obowiązek informacyjny, o którym mowa w art. 13 RODO, przez co należy rozumieć również ocenę, czy ten obowiązek informacyjny był wypełniony należycie, a zatem, czy przedstawiono wymagane prawem informacje i czy były one przedstawione, stosownie do art. 12 RODO, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
W sprawie tej organ należycie przeprowadził postępowanie. Podjął wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego (art. 7 k.p.a.).
W sposób wyczerpujący zebrał i rozpatrzył wszechstronnie cały zgromadzony materiał dowodowy (art. 77 § 1 k.p.a.). Na podstawie całokształtu materiału dowodowego, zgromadzonego w aktach administracyjnych, prawidłowo wywiódł, że brak było podstaw do uwzględnienia wniosku Skarżącego, albowiem nie doszło do naruszenia na gruncie RODO jego praw przez Spółkę [...]. Ocena organu dokonana w niniejszej sprawie nie była dowolna, a tym samym nie naruszała art. 80 k.p.a. W przedstawionych w decyzji przez organ prawidłowo ustaleniach stanu faktycznego, których nie ma potrzeby w tym miejscu przedstawiać ponownie, zasadne jest stwierdzenie Prezesa UODO, że kwestionowane przez Skarżącego przetwarzanie przez Spółkę jego danych osobowych nie naruszało RODO.
Na podstawie całości prawidłowo zgromadzonego w tej sprawie przez organ materiału dowodowego zawartego w aktach postępowania administracyjnego stwierdzić należało tym samym, że ocena organu o braku podstaw do podjęcia działań naprawczych wobec Spółki na gruncie RODO – w związku z przetwarzaniem danych osobowych Skarżącego – jest prawidłowa.
Dokonując oceny zgodności z prawem zaskarżonej decyzji na wstępie należy,
że zgodnie z motywem 40 RODO, aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Powyższe znalazło wyraz w art. 6 ust. 1 RODO określającym przesłanki legalności przetwarzania danych osobowych. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
"Przetwarzanie", zgodnie z art. 4 pkt 2 RODO, oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Nie ma w świetle powyższego wątpliwości, że kwestionowane przez Skarżącego udostępnienie jego danych osobowych przez Spółkę innym podmiotom (biurom informacji gospodarczych) stanowi jeden ze sposobów przetwarzania danych osobowych przez Spółkę.
W stanie faktycznym tej sprawy Sąd podziela ustalenie Prezesa UODO,
że przetwarzanie (udostępnienie) danych osobowych Skarżącego innym podmiotom, tj. KRD BIG i ERIF BIG nastąpiło zgodnie z RODO, albowiem na podstawie art. 6 ust. 1 pkt 1 lit.f RODO. Powołany przepis stanowi o uprawnieniu do przetwarzania, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W przepisie tym określono trzy kumulatywne przesłanki legalności przetwarzania danych osobowych, a mianowicie, po pierwsze, realizację uzasadnionych interesów przez administratora danych lub osobę trzecią, po drugie, konieczność przetwarzania danych osobowych dla potrzeb wynikających z tych uzasadnionych interesów oraz, po trzecie, przesłankę, aby prawa i wolności osoby objętej ochroną danych nie miały pierwszeństwa (v. wyrok Trybunału Sprawiedliwości z dnia 17 czerwca 2021 r. C-597/19, punkt 106).
Za prawnie uzasadniony interes w rozumieniu powołanego przepisu trafnie Prezes UODO uznał ocenę wiarygodności płatniczej, albowiem zgodnie z art. 57 ust. 2 pkt 2 Prawa telekomunikacyjnego, dostawca usług może uzależnić zawarcie umowy o świadczenie usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do sieci, od: pozytywnej oceny wiarygodności płatniczej użytkownika końcowego wynikającej z danych będących w posiadaniu dostawcy usług lub udostępnionych mu przez biuro informacji gospodarczej w trybie określonym w ustawie z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (Dz. U. z 2021 r. poz. 2057) dostawca usług powiadamia użytkownika końcowego o wystąpieniu takiego zastrzeżenia. Stosownie zaś do art. 10 ust. 1 ustawy o udostępnianiu informacji gospodarczych (...), ujawnienie danych, o których mowa w art. 9 ust. 1, dotyczących konsumenta następuje, jeżeli podmiot występujący z wnioskiem posiada upoważnienie tego konsumenta. Upoważnienie określa zakres danych przeznaczonych do ujawnienia.
W świetle powyższego, w ocenie Sądu, uwzględniając przy tym motyw 47 RODO, przetwarzanie danych Skarżącego (w tym ich udostępnienie) w celu oceny wiarygodności płatniczej stanowi – wbrew zarzutom skargi – prawnie uzasadniony interes administratora. Skarżący nie mógł oczekiwać, chcąc zawrzeć umowę o świadczenie usług telekomunikacyjnych, że kwestia jego praw i wolności będzie w tym przypadku nadrzędna nad interesami Spółki i przeważy nad potrzebą oceny wiarygodności płatniczej. W sprawie tej wystąpił przy tym istotny rodzaj powiązania pomiędzy Skarżącym a Spółką.
W doktrynie prawniczej wskazuje się, że termin "wiarygodność płatnicza" odnosić należy do tych danych będących w posiadaniu dostawcy usług lub udostępnionych przez biuro informacji gospodarczej, które dotyczą zdolności użytkownika końcowego do realizacji zobowiązań finansowych wynikających z umowy o świadczenie usług telekomunikacyjnych, będącej umową dwustronnie zobowiązującą. W świetle takiej interpretacji ocena "wiarygodności płatniczej" ma pozwolić przewidzieć, czy użytkownik końcowy, gdy stanie się abonentem, a więc po zawarciu z nim umowy o świadczenie usług telekomunikacyjnych i jego aktywacji w sieci tego dostawcy usług telekomunikacyjnych, będzie opłacał wystawiane przez tego dostawcę faktury za świadczone usługi telekomunikacyjne. Informacje o wiarygodności płatniczej użytkownika końcowego muszą być pozyskane legalnie (v. A.Krasuski [w:] Prawo telekomunikacyjne. Komentarz, wyd. IV, WK 2015, Lex).
W związku z zamiarem zawarcia umowy o świadczenie usług telekomunikacyjnych przetwarzanie danych osobowych Skarżącego w tym celu (oceny wiarygodności płatniczej w związku z zamiarem zawarcia umowy) należy uznać za niezbędne.
Nie sposób dokonać oceny wiarygodności płatniczej bez danych osobowych. Nie można tym samym podzielić zarzutów skargi w tym zakresie. Kwestia ewentualnego pobierania kaucji, o czym także jest mowa w skardze, nie jest przedmiotem niniejszej sprawy, wykracza poza jej granice i nie była także przedmiotem oceny prezesa UODO (nie mieści się w jego kompetencjach). Zauważyć jedynie należy, że kwestia kaucji w żaden sposób nie wpływa na prawidłowość stwierdzenia organu, że przesłanką przetwarzania (udostępnienia danych) Skarżącego przez Spółkę do biur informacji gospodarczych jest art. 6 ust. 1 lit.f RODO, albowiem ewentualne pobieranie kaucji nie podważa niezbędności przetwarzania (udostępnienia) danych do BIG w celu oceny wiarygodności płatniczej.
Pojęcie niezbędności przetwarzania w prawnie uzasadnionych interesach oznacza, że to przetwarzanie musi być faktycznie potrzebne, musi występować związek pomiędzy realizacją prawnie uzasadnionego interesu a przetwarzaniem danych. Związek taki w niniejszej sprawie występuje i określony jest przy tym wprost w Prawie telekomunikacyjnym.
W doktrynie prawniczej wskazuje się, że art. 57 ust. 3 Prawa telekomunikacyjnego, "umożliwia dostawcy usług odmowę zawarcia umowy o świadczenie usług telekomunikacyjnych bądź zawarcie jej na warunkach mniej korzystnych dla użytkownika końcowego w przypadku negatywnej oceny wiarygodności płatniczej użytkownika końcowego dokonanej na podstawie informacji udostępnionych przez biuro informacji gospodarczej, o którym mowa w art. 57 ust. 2 pkt 2 pr.tel. Zawarcie umowy na warunkach mniej korzystnych w szczególności może polegać na żądaniu przez dostawcę usług telekomunikacyjnych zabezpieczenia wierzytelności wynikających z tej umowy. W praktyce w razie negatywnej oceny wiarygodności płatniczej użytkownika końcowego dostawca usług telekomunikacyjnych najczęściej żąda od użytkownika końcowego uiszczenia kaucji. Innymi postanowieniami tego typu są ograniczenia możliwości korzystania przez abonenta z roamingu międzynarodowego, limity korzystania z określonego rodzaju usług (w tym w zakresie usługi roamingu krajowego)", (v. A.Krasuski [w:] Prawo telekomunikacyjne. Komentarz, wyd. IV, WK 2015, Lex).
W sprawie, wbrew twierdzeniom skargi, nie ma przy tym wątpliwości, że Skarżący udzielił Spółce upoważnienia [...] grudnia 2020 r. na potrzeby weryfikacji wiarygodności płatniczej (k- 30 akt adm.), w związku z czym nie ma podstaw do stwierdzenia,
że udostępnienie jego danych osobowych na potrzeby tej weryfikacji było nieuprawnione. Zawarcie przez Skarżącego dopisku (zastrzeżenia) na upoważnieniu, że Skarżący zmuszony jest podpisać oświadczenie, gdyż nie ma innej możliwości zakupu usługi, nie wpływa na prawidłowość ustalenia Prezesa UODO, że przetwarzanie danych w celu oceny wiarygodności płatniczej w związku z zamiarem zawarcia umowy nastąpiło w tym przypadku na podstawie art. 6 ust. 1 lit.f RODO. Prezes UODO trafnie wskazał w decyzji, że nie jest uprawniony do badania skuteczności złożonego oświadczenia woli, a tym bardziej stwierdzenia, że jest ono wadliwe. Kwestie stosowania, czy niestosowania innych metod zabezpieczenia się Spółki na wypadek niewypłacalności przyszłego klienta, na co w skardze wskazuje Skarżący, nie są przedmiotem niniejszej sprawy. Zasadnie też w odpowiedzi na skargę organ zwrócił uwagę, że oświadczenie Skarżącego z dnia [...] grudnia 2020 r., o którym mowa, nie stanowi zgody w rozumieniu RODO. Powołany
w skardze art. 174 Prawa telekomunikacyjnego nie znajduje zastosowania
do weryfikacji wiarygodności płatniczej, albowiem przepis art. 57 ust. 2 pkt 2 Prawa telekomunikacyjnego odsyła w tym zakresie do ustawy o udostępnianiu informacji gospodarczych (...) i trybu tam uregulowanego.
Trafnie – w stanie faktycznym tej sprawy – organ uznał zatem, że proces przetwarzania danych osobowych Skarżącego polegający na ich udostępnieniu KRD BIG i ERIF BIG był procesem legalnym. Nie ma przy tym, w świetle treści art. 57 ust. 2 ustawy Prawo telekomunikacyjne, wątpliwości, że podstawowe prawa i wolności Skarżącego, nie miały w tym przypadku – w związku z oceną wiarygodności płatniczej– nadrzędnego charakteru wobec interesów Spółki telekomunikacyjnej. Nadto, w stanie faktycznym tej sprawy nie jest trafne odwołanie się przez Skarżącego do fragmentu wytycznych 05/2020 Europejskiej Rady Ochrony Danych, dotyczących zgody na mocy rozporządzenia 2016/679 (RODO) p. 123. W sprawie tej, w procesie udostępnienia danych w celu oceny wiarygodności płatniczej, zastosowanie znajdował bowiem art. 6 ust. 1 lit.f RODO, a nie art. 6 ust. 1 lit.a. Udostępnienie danych w dniu [...] grudnia 2020 r. w celu oceny wiarygodności płatniczej miało miejsce na podstawie upoważnienia z dnia 1[...] grudnia 2020 r.
Podnieść należy przy tym, że w orzecznictwie Trybunału Sprawiedliwości przyjmuje się i pogląd ten prezentuje także Sąd rozpoznający niniejszą sprawę, że
"Ze względu na to, że RODO uchyliło i zastąpiło dyrektywę 95/46, a właściwe przepisy tego rozporządzenia mają w istocie zakres identyczny jak właściwe przepisy tej dyrektywy, orzecznictwo Trybunału dotyczące wspomnianej dyrektywy znajduje również co do zasady zastosowanie w odniesieniu do tego rozporządzenia (v. wyrok Trybunału Sprawiedliwości z dnia 17 czerwca 2021 r. C-597/19, punkt 107).
Warto wskazać przy tym, że KRD BIG S.A. w wyjaśnieniach z 18 sierpnia 2021 r. (karta 92 akt adm.) wskazała, że dokonała sprawdzenia swoich systemów pod kątem przetwarzania danych osobowych skarżącego i zgodnie z poczynionymi ustaleniami na dzień sporządzania niniejszego pisma KRD BIG S.A. nie przetwarza danych osobowych skarżącego jako konsumenta w rozumieniu ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych. W piśmie z dnia 27 sierpnia 2021 r. (karta 94 akt adm.) ERIF BIG wyjaśniło zaś, że dane osobowe Skarżącego pozyskało dopiero z treści pism Prezesa UODO z 2.07 i 4.08.2021 r. ERIF BIG wskazało,
że informacje gospodarcze dotyczące skarżącego na dzień sporządzenia pisma, tj. 26 sierpnia 2021 r. godz. 11:00 nie znajdują się w bazie ERIF. ERIF wyjaśniło też m.in., że na dzień sporządzenia niniejszego pisma Biuro nie przetwarza danych osobowych Skarżącego pozyskanych od Spółki [...] S.A.
Skarga nie jest zasadna także w pozostałym zakresie. Odnosząc się do zarzutów skargi dotyczących naruszenia art. 13 RODO, Sąd nie stwierdził naruszenia prawa. Prezes UODO prawidłowo zdaniem Sądu ocenił, że Spółka należycie wypełniła wobec Skarżącego obowiązek informacyjny. Zgodnie z art. 13 ust. 1 RODO, jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje: a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela; b) gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych; c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania; d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) - prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; f) gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
Stosownie do ust. 2, poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania: a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) - informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; d) informacje o prawie wniesienia skargi do organu nadzorczego; e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Zgodnie z ust. 3, jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2. Stosownie do ust. 4, ust. 1, 2 i 3 nie mają zastosowania, gdy - i w zakresie, w jakim - osoba, której dane dotyczą, dysponuje już tymi informacjami.
W sprawie nie ma wątpliwości, że Spółka przedstawiła Skarżącemu, w załączeniu do egzemplarza umowy przekazanego [...] grudnia 2020 r., klauzulę zawierającą informacje o przetwarzaniu danych osobowych. Skarżący w piśmie do organu z dnia 2 lipca 2022 r. wskazał, że z informacją "zapisaną w załączniku nr 6 mógł pobieżnie zapoznać się dopiero 17 grudnia podczas krótkiej wizyty montera", a także, że "Umieszczona była wśród kilkudziesięciu innych stron – dokumenty były niezgodne z umową i ustaleniami i zabrał je monter po tym jak okazały się nieprawidłowe"., co nie zmienia prawidłowości ustalenia organu, że Spółka wypełniła wobec Skarżącego obowiązek informacyjny, o którym mowa w powołanym przepisie RODO. W klauzuli tej ujęto bowiem informacje obejmujące tożsamość i dane kontaktowe administratora (punkt 1 klauzuli-art. 13 ust. 1 lit.a RODO), dane kontaktowe inspektora danych osobowych (punkt 2 klauzuli-art. 13 ust. 1 lit.b RODO), cele i podstawy prawne przetwarzania danych osobowych, w tym informacje o konieczności podania danych osobowych w celu zawarcia umowy, informacje o prawnie uzasadnionych interesach administratora lub strony trzeciej (punkt 3 i 4 klauzuli – art. 13 ust. 1 lit. c,d RODO), odbiorcach danych osobowych lub o kategoriach odbiorców (punkt 5 i 6 klauzuli – art. 13 ust. 1 lit.e RODO), informacje o okresie przechowywania danych (punkt 7 klauzuli -art. 13 ust. 2 lit.a RODO), informacja o prawach przysługujących podmiotowi danych (punkt 8, 9, 10, 11 klauzuli- art. 13 ust. 2 pkt b,c RODO), informacja o prawie wniesienia skargi do organu nadzorczego (pkt 12 klauzuli- art. 13 ust. 2 lit.d RODO), informacje, czy podanie danych jest wymogiem (punkt 3 klauzuli – art. 13 ust. 2 lit.e RODO), informacje na temat zautomatyzowanego podejmowania decyzji, w tym profilowania (punkt 13, 14, 15, 16, 4 klauzuli – art. 13 ust. 2 lit.f RODO).
Wobec treści klauzuli informacyjnej stwierdzić należało, że Prezes UODO trafnie stwierdził, że Spółka prawidłowo wypełniła wobec Skarżącego obowiązek informacyjny, o którym mowa w art. 13 RODO.
Skarżący zarzucił w skardze, że organ nie odniósł się do "(...) formy "ogólnej informacji" nie mającej związku z przetwarzaniem danych związanych z konkretnymi procesami".
W istocie organ w uzasadnieniu decyzji nie odniósł się do kwestii formy klauzuli informacyjnej, nie powiązał art. 13 RODO z art. 12 tego rozporządzenia unijnego, jednakże w ocenie Sądu to uchybienie procesowe przepisowi art. 107 § 3 k.p.a., nie miało wpływu na wynik sprawy, albowiem treść klauzuli informacyjnej pozwala jednoznacznie stwierdzić, że informowanie było przejrzyste. Z art. 12 ust. 1 RODO wynika, że udzielenie osobie, której dane dotyczą (w szczególności zaś, gdy informacje kierowane są do dziecka) informacji, o których mowa w art. 13 RODO, powinno nastąpić w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Treść klauzuli informacyjnej w ocenie Sądu odpowiada tym wymogom, niezależnie od pewnego stopnia ogólności informacji. Bezsprzecznie bowiem klauzula odnosi się wprost do przetwarzania danych przez Spółkę jako administratora danych, a pozostałe informacje są związane jednoznacznie z przetwarzaniem danych przez tego administratora. Informacje podane zostały w sposób zwięzły, jasnym, prostym językiem, w przejrzystej i zrozumiałej formie. Kwestionowanie przez skarżącego realizacji obowiązku informacyjnego, także co do formy, nie jest zatem zasadne. Spółka nie uchybiła zasadzie przejrzystego informowania. Przyjęty przez Spółkę sposób poinformowania Skarżącego umożliwiał zapoznanie się z treścią informacji bez większego wysiłku, tak gdy chodzi o formę, jak i treść przekazywanych informacji. Zasadnie tym samym organ w sprawie niniejszej odmówił uwzględnienia wniosku Skarżącego i – wobec braku nieprawidłowości w zarzucanych Spółce działaniach w zakresie przetwarzania danych osobowych - nie zastosował żadnego z uprawnień naprawczych.
Raz jeszcze podkreślenia wymaga, że wszystkie inne kwestie podniesione
w skardze a dotyczące procesu zawierania umowy o świadczenie usług telekomunikacyjnych, praktyk stosowanych przez Spółkę w zakresie kontaktów
z klientem, w tym przygotowywania dokumentów w ramach ustaleń między stronami,
nie były przedmiotem niniejszej sprawy i nie mogły mieć wpływu na jej wynik.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2023 r., poz. 259), orzekł jak w wyroku.