II SA/Wa 3670/21

II SA/Wa 3670/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-07-07
orzeczenie nieprawomocne
Data wpływu
2021-10-27
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Iwona Maciejuk /sprawozdawca/
Joanna Kube /przewodniczący/
Łukasz Krzycki
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 2594/22 - Wyrok NSA z 2025-11-12
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2019 poz 2325
art. 145 par. 1 pkt 1 lit. c, art. 200, art. 205
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędzia WSA Iwona Maciejuk (spr.), Sędzia WSA Łukasz Krzycki, , Protokolant specjalista Elwira Sipak, po rozpoznaniu na rozprawie w dniu 7 lipca 2022 r. sprawy ze skargi Fundacji P. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz Fundacji P. z siedzibą w W. kwotę 697 zł (sześćset dziewięćdziesiąt siedem złotych), tytułem zwrotu kosztów postępowania.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] sierpnia 2021 r.
nr [...], po przeprowadzeniu z urzędu postępowania administracyjnego w sprawie dotyczącej stosowania przez [...] S.A. z siedzibą w [...], zwanej dalej Spółką, praktyk w zakresie pozyskiwania zgody od klientów i potencjalnych klientów na przetwarzanie danych osobowych w celach marketingowych przez podmioty z grupy kapitałowej [...] ([...] S.A., [...] S.A., [...] S.A., [...] S.A., [...] S.A., [...] S.A., [...] S.A., [...] S.A., [...] S.A.) jako warunek konieczny do korzystania z bezpłatnej usługi "[...]", z udziałem Fundacji [...] z siedzibą w [...] dopuszczonej do udziału w postępowaniu zgodnie z postanowieniem z dnia 23 stycznia 2020 r., na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735), zwanej dalej k.p.a., art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) i art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, nie stwierdził naruszenia przepisów o ochronie danych osobowych.
W uzasadnieniu organ wskazał m.in., że pozyskał informacje o przyjętych przez [...] S.A. budzących wątpliwość praktykach w zakresie pozyskiwania zgody od klientów i potencjalnych klientów na przetwarzanie danych osobowych w celach marketingowych przez podmioty z grupy kapitałowej [...] ([...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA.), jako warunek konieczny do korzystania z bezpłatnej usługi - "[...]". Zgodnie z ww. pozyskanymi informacjami, aby skorzystać z oferty bezpłatnego ubezpieczenia należało za pomocą formularza udostępnionego na stronie internetowej Spółki - [...] podać dane osobowe rodzica bądź pełnoletniego ucznia / studenta do 25 roku życia, dane dziecka lub dzieci zgłaszanych do ubezpieczenia oraz zaznaczyć trzy "okienka" potwierdzające zgodę na przetwarzanie przez podmioty z grupy kapitałowej [...] danych osobowych w celach marketingowych. Dodatkowo konieczne było potwierdzenie zapoznania się z "informacją odnośnie administratora danych osobowych". W przypadku braku zaznaczenia któregokolwiek z okienek, pojawiała się informacja, o braku możliwości przyjęcia formularza deklaracji przystąpienia do ubezpieczenia.
Prezes UODO wskazał, że w toku postępowania ustalił stan faktyczny przedstawiony poniżej. Podał, co następuje.
1. Jak wyjaśniło [...] S.A. organizatorem akcji "[...]", zwaną dalej Akcją, jest spółka [...]Spółka Akcyjna z siedzibą w [...], wskazując że cyt.: "(...) [...] SA uczestniczy w akcji jedynie w roli ubezpieczyciela na podstawie umowy ubezpieczenia grupowego zawartej z [...] jako ubezpieczającym. Należy także podkreślić, że klauzule zgód wskazane w piśmie nie są zbierane, a tym samym wymagane przez [...] SA. Zgody te zbiera [...]. Ponadto, [...] SA (ani żadna ze spółek Grupy. [...]) nie przetwarza i nie będzie przetwarzać w celach marketingowych danych osobowych dzieci, które zostaną objęte umową ubezpieczenia grupowego. Zakres danych zbieranych przez [...] SA za pośrednictwem [...] w celu zawarcia umowy ubezpieczenia jest minimalny, adekwatny i niezbędny do zawarcia tej umowy. [...] SA będzie przetwarzać dane osobowe dzieci wyłącznie w celu i zakresie niezbędnym do objęcia dzieci ochroną ubezpieczeniową w ramach grupowego ubezpieczenia NNW, oferowanego na podstawie umowy ubezpieczenia grupowego zawartej pomiędzy organizatorem Akcji, tj. [...] (ubezpieczającym) a [...] SA działającą w roli ubezpieczyciela. Jednocześnie wskazujemy, że poza ubezpieczeniem grupowym dostępnym w ramach Akcji, [...] SA oferuje równolegle analogiczne co do zakresu ubezpieczenie indywidualne NNW Edukacja, dostępne przez infolinię, u agenta oraz w placówkach [...] SA. (...)" (dowód: pismo [...] S.A. z dnia [...] lipca 2019 r.). 2. Jak wskazała Spółka cyt.: "(...) Zgody na udostępnienie danych do pozostałych spółek z grupy [...] do wykorzystania w ich własnych celach marketingowych zbierane są w ramach Akcji przez [...]. Nie są one zbierane w ramach umowy ubezpieczenia zawartej z [...] SA. Zgody są pozyskiwane wyłącznie od pełnoletnich osób, które chcą przystąpić do Akcji, tj. od: rodziców dzieci uczących się lub pełnoletnich uczniów, do ukończenia przez nich 25. roku życia (...)" (dowód: pismo Spółki stanowiące załącznik nr 2 do pisma [...] S.A. z dnia [...] lipca 2019 r.). 3. Spółka wyjaśniła, że dane osobowe dzieci zbierane są przez Spółkę w ramach Akcji wyłącznie w celu i zakresie niezbędnym do objęcia dzieci ochroną ubezpieczeniową w ramach grupowego ubezpieczenia NNW Edukacja, oferowanego na podstawie umowy ubezpieczenia grupowego zawartej pomiędzy organizatorem Akcji, tj. [...] (ubezpieczającym), a [...] S.A. działającą w roli ubezpieczyciela. W związku z Akcją, dane osobowe dzieci nie są w ogóle zbierane ani wykorzystywane do celów marketingowych (dowód: pismo Spółki stanowiące załącznik nr 2 do pisma [...] S.A. z dnia [...] lipca 2019 r.). 4. Jak wskazała Spółka cyt.: "(...) Zasady przeprowadzenia Akcji zostały wskazane w Regulaminie Akcji, czyli w podstawowym dokumencie opisującym zasady Akcji. Regulamin, w okresie prowadzenia Akcji, był dostępny na stronie [...]. Regulamin akceptowały osoby pełnoletnie, wyrażające wolę wzięcia udziału w Akcji, przed wyrażeniem zgód na przetwarzanie ich danych. Regulamin opisuje m.in, zasady przetwarzania danych osobowych uczestników Akcji, w tym w pkt 19. zawiera informację o prawie do wycofania zgody na przetwarzanie danych oraz wskazuje, w jaki sposób zgoda może być wycofana. Organizator Akcji już od momentu jej uruchomienia informował uczestników Akcji o prawie do wycofania zgody oraz sposobie jej wycofania. Uczestnik, który wycofa zgodę na przetwarzanie danych nie ponosi negatywnych konsekwencji takiego działania, tj. dziecko takiego uczestnika Akcji nie utraci uzyskanej ochrony ubezpieczeniowej. Uczestnicy mogą więc swobodnie wycofać udzielone zgody w każdym momencie, bez utraty korzyści, które uzyskali przystępując do Akcji. Po wypełnieniu formularza zgłoszeniowego każdy uczestnik akcji (rodzic/opiekun/pełnoletni uczeń) otrzymał certyfikat potwierdzający włączenie do ubezpieczenia dziecka/pełnoletniego ucznia, zawierający m.in. okres ubezpieczenia (...)" (dowód: pismo Spółki stanowiące załącznik nr 2 do pisma [...] S.A. z dnia [...] lipca 2019 r.). 5. Akcja trwała w okresie od dnia [...] maja 2019 r. do dnia [...] czerwca 2019 r. (dowód: Zasady akcji [...] - regulamin Akcji, karta 9 akt sprawy). 6. Spółka wyjaśniła, iż w dniu [...] czerwca 2019 r. została wprowadzona zmiana na formularzu dostępnym w okresie prowadzenia Akcji na stronie [...] pośrednictwem którego przystępowano do Akcji. Wprowadzona zmiana miała na celu jeszcze bardziej przejrzyste informowanie uczestników Akcji o prawie do wycofania zgody. W pierwszej warstwie informacji widocznej dla użytkownika wypełniającego formularz dostępna była wyraźnie wyodrębniona informacja o prawie do wycofania zgody o następującej treści: "Masz prawo w dowolnym momencie wycofać zgodę za pośrednictwem adresu e-mail [...] albo pisemnie pod adresem Administratora wskazanym w Regulaminie." (dowód: pismo Spółki stanowiące załącznik nr 2 do pisma [...] S.A. z dnia [...] lipca 2019 r.). 7. Jak wyjaśniła Spółka cyt.:"(...) nie przekazała danych osobowych osób, które korzystały z bezpłatnej usługi "[...]" pozostałym podmiotom Grupy [...] (poza [...] SA oraz [...] SA). Celem zbierania zgód na udostępnienie danych osobowych spółkom z Grupy [...] było uzyskanie podstawy prawnej (zgody) do udostępnienia tych danych innym spółkom z Grupy [...]. Na chwilę obecną stosowne umowy z podmiotami Grupy [...] (poza [...] SA i [...] SA) nie zostały jeszcze zawarte (...)" (dowód: wyjaśnienia Spółki z dnia [...] listopada 2019 r.). 8. Spółka wskazała, że cyt.: (...) nie informowała uczestników akcji o możliwości zawarcia umowy ubezpieczenia w ramach "[...]" w przypadku wyrażenia zgody na udostępnienie danych osobowych jedynie [...] SA oraz [...] SA w celach marketingowych obejmujących profilowanie jedynie przez te podmioty, gdyż takiej możliwości nie było z uwagi na cel akcji (...)" (dowód: wyjaśnienia Spółki z dnia [...] listopada 2019 r.). 9. Spółka wyjaśniła, że nie przekazała i nie przekazuje pozostałym podmiotom z Grupy [...], innym niż [...] SA oraz [...] SA, informacji o wycofaniu zgody na przetwarzanie danych osobowych w celach marketingu bezpośredniego, obejmującego profilowanie. Jak wskazała cyt.: "(...) Inne spółki z Grupy [...] nie są na dzień dzisiejszy odbiorcami danych. Mając na uwadze art. 19 RODO obowiązek przekazania takich informacji zostałby zrealizowany w przypadku, gdyby inne spółki z Grupy [...] faktycznie otrzymały dane (...)" (dowód: wyjaśnienia Spółki z dnia [...] listopada 2019 r.). 10. Zgodnie z ust. 6 regulaminu akcji cyt. " W ramach akcji, jej uczestnicy są uprawnieni do bezpłatnego zgłoszenia w czasie trwania akcji swoich dzieci do grupowego ubezpieczenia NNW funkcjonującego na podstawie umowy zawartej pomiędzy Organizatorem (ubezpieczającym) a [...] SA (...) jeżeli wyrażą zgody na udostępnienie danych do wskazanych celów oraz na przekazywanie informacji handlowych drogą elektroniczną oraz za pomocą urządzeń końcowych." (dowód: wydruk obejmujący "[...]", karta 9 akt sprawy). 11. Klauzule zgody wymagane przez Spółkę obejmują m. in.: 1) zgodę na udostępnienie przez [...] SA danych osobowych podmiotom z grupy [...], tj. [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...], [...] SA, w ich własnych celach marketingowych, obejmujących profilowanie zmierzające do określenia preferencji lub potrzeb w zakresie produktów ubezpieczeniowych i innych produktów finansowych oraz przedstawienia odpowiedniej oferty, 2) zgodę na otrzymywanie od [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA informacji marketingowych za pośrednictwem połączeń głosowych (rozmowa telefoniczna, komunikaty głosowe, IVR), 3) zgodę na otrzymywanie od [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] informacji marketingowych za pośrednictwem środków komunikacji elektronicznej (email/SMS/MMS) (dowód: formularz deklaracji przystąpienia do Akcji według stanu na dzień [...] maja 2019 r., karty 4 - 8 akt sprawy). 12. W pkt 6 instrukcji wypełnienia formularza deklaracji przystąpienia do Akcji według stanu na dzień [...] maja 2019 r. wskazano, cyt. "Musisz zaznaczyć zgody do wskazanych celów, żebyś mógł wysłać formularz i pomyślnie przystąpić do ubezpieczenia." (dowód: formularza deklaracji przystąpienia do Akcji według stanu na dzień [...] maja 2019 r., karty 4 - 8 akt sprawy). 13. Spółka wskazała, że cyt.: "(...) przekazała podmiotom danych informację o alternatywnej możliwości zawarcia umowy ubezpieczenia, tj. bez konieczności wyrażania zgód na przetwarzanie danych w celach marketingowych przez podmioty z Grupy [...]. Informacja ta znajdowała się w formularzu internetowym, dzięki czemu była łatwo dostępna dla użytkownika. Do informacji tej podmiot danych miał dostęp przed przystąpieniem do akcji (...)"• Ponadto Spółka wyjaśniła, że cyt.: "(...) przedstawiła informację o sposobie informowania klienta o alternatywnej możliwości zawarcia umowy ubezpieczenia. Informacja ta znajdowała się na formularzu internetowym służącym zgłoszeniu do ubezpieczenia w ramach akcji "[...]", dzięki czemu była łatwo dostępna dla użytkownika. Wskazano tam, iż do zakupu ubezpieczenia może dojść u agenta, przez telefon lub w oddziale [...]. Na tej samej stronie internetowej, na której był dostępny ww. formularz, w zakładce "Kontakt i pomoc" podany był numer infolinii [...], natomiast w zakładce "Znajdź oddział łub agenta" użytkownik miał możliwość wyszukania odpowiedniej dla siebie lokalizacji placówki [...] łub agenta [...] (...)" (dowód: wyjaśnienia Spółki z dnia [...] listopada 2019 r. oraz z dnia [...] marca 2021 r. wraz z załącznikami).
Prezes UODO nie stwierdzając naruszenia prawa przez [...] S.A. przywołał w uzasadnieniu decyzji art. 6 ust. 1 lit. a RODO, dotyczący zgody jako przesłanki przetwarzania danych osobowych. Wskazał też m.in., że podstawą prawną przetwarzania danych osobowych mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Podał, że za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego (motyw 47). Organ przywołał art. 5 ust. 1 lit. a RODO. Wskazał, że zgodnie z art. 4 pkt 11) RODO, pod pojęciem zgody osoby, której dane dotyczą, rozumie się dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Wyraźne działanie potwierdzające oznacza, że osoba, której dane dotyczą, musi podjąć celowe działanie, by wyrazić zgodę na określone przetwarzanie. Zgoda ta musi również spełniać kryteria tj. a) dobrowolność - zgoda oznaczać musi możliwość realnego, swobodnego wyboru, nie może być wymuszona; brak wyrażenia zgody nie może również powodować negatywnych konsekwencji dla osoby, której dane dotyczą; b) konkretność - zgoda musi określać precyzyjnie cel przetwarzania danych oraz wskazywać zakres danych; niedopuszczalne jest zbieranie zgód blankietowych, ogólnych; należy również wyraźnie oddzielić informacje związane z uzyskaniem zgody od informacji dotyczących innych kwestii; c) świadomość - przed uzyskaniem zgody należy zapewnić niezbędne informacje osobom, których dane dotyczą, aby umożliwić im podejmowanie świadomych decyzji i zrozumienie, na co wyrażają zgodę; prosząc o zgodę, administratorzy powinni upewnić się, że używają jasnego i prostego języka; d) jednoznaczność - ważna zgoda wymaga jednoznacznego okazania w formie oświadczenia lub wyraźnego działania potwierdzającego, co oznacza, że osoba, której dane dotyczą, musi podjąć celowe działanie w celu wyrażenia zgody na określone przetwarzanie.
Prezes UODO podał, że zgodnie z art. 7 RODO jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych (ust. 1). Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca (ust. 2). Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie (ust. 3). Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy (ust. 4).
Biorąc pod uwagę powyższe Prezes UODO stwierdził, że w toku postępowania wyjaśniającego przeprowadzonego z urzędu nie potwierdziły się informacje dotyczące stosowania przez [...] S.A. nieprawidłowych praktyk w zakresie pozyskiwania zgody od klientów i potencjalnych klientów na przetwarzanie danych osobowych w celach marketingowych przez podmioty z grupy kapitałowej [...] ([...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA, [...] SA.), jako warunek konieczny do korzystania z bezpłatnej usługi - "[...]". Organ ochrony danych podał, że zasady przeprowadzenia ww. akcji zostały wskazane w regulaminie Akcji, który w okresie jej prowadzenia był dostępny na stronie [...]. Pobranie regulaminu Akcji przez użytkownika było niezbędne do przejścia do następnych kroków umożliwiających ich przystąpienie do akcji, w tym wyrażenia zgód marketingowych. Ponieważ zgody były pozyskiwane wyłącznie od pełnoletnich osób, które chciały przystąpić do Akcji, tj. od: rodziców dzieci uczących się lub pełnoletnich uczniów, do ukończenia przez nich 25. roku życia, wskazał, że regulamin akceptowały osoby pełnoletnie, wyrażające wolę wzięcia udziału w Akcji, przed wyrażeniem zgód na przetwarzanie ich danych osobowych. Regulamin Akcji oprócz informacji dotyczących zasad przetwarzania danych osobowych uczestników Akcji w pkt. 19 zawierał również informację o prawie do wycofania zgody na przetwarzanie danych oraz wskazywał, w jaki sposób zgoda może być wycofana ("W zakresie, w jakim podstawą przetwarzania danych osobowych jest zgoda, uczestnik promocji ma prawo jej wycofania. Zgodę można odwołać w każdym czasie za pośrednictwem adresu email [...] lub pisemnie na wyżej wskazany adres siedziby administratora. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego na podstawie zgody przed jej wycofaniem. W celu skorzystania z powyższych praw należy skontaktować się z administratorem lub z Inspektorem Ochrony Danych, korzystając ze wskazanych wyżej danych kontaktowych"). Organ wskazał, że Europejska Rada Ochrony Danych Osobowych w wytycznych 05/2020 dotyczące zgody na mocy rozporządzenia 2016/679 wskazała, że zgoda może być właściwą, zgodną z prawem podstawą wyłącznie wówczas, gdy osobie, której dane dotyczą, zapewnia się kontrolę oraz rzeczywistą możliwość wyboru w odniesieniu do przyjęcia lub odrzucenia zaoferowanych warunków lub odrzucenia ich bez niekorzystnych konsekwencji. Zwracając się o zgodę, administrator ma obowiązek oceny, czy spełni wszystkie wymogi uzyskania ważnej zgody. Zgoda uzyskana w pełnej zgodności z RODO jest narzędziem zapewniającym osobom, których dane dotyczą, kontrolę nad tym, czy dotyczące ich dane osobowe będą przetwarzane. Prezes UODO wskazał, że Spółka [...] S.A., od początku Akcji informowała uczestników o prawie do wycofania zgody oraz sposobie jej wycofania, przy czym ta informacja była przekazywana podmiotom danych przed wyrażeniem zgód na przetwarzanie danych w celach marketingowych tj. uczestnicy najpierw musieli zaakceptować regulamin Akcji (w tym informacje o możliwości i formie wycofania zgody na przetwarzanie danych w celach marketingowych), a następnie mogły wyrazić ww. zgody. Podkreślić również należy fakt, iż uczestnik, który wycofał zgodę na przetwarzanie danych, nie ponosił negatywnych konsekwencji takiego działania, tj. dziecko takiego uczestnika Akcji nie utraciło uzyskanej ochrony ubezpieczeniowej. Uczestnicy ww. Akcji mogli zatem swobodnie wycofać udzielone zgody na każdym etapie Akcji, bez utraty oferowanego ubezpieczenia, które uzyskali przystępując do Akcji. Tym samym zdaniem organu brak podstaw do twierdzenia, że złożenie zgody przez osobę zainteresowaną ubezpieczeniem stanowi świadczenie w ramach zawartej umowy w rozumieniu art. 6 ust. 1 lit. b RODO. Organ wskazał m.in., że osoby, które wyraziły zgodę i jej nie odwołały, jak i osoby, które wyraziły zgodę, a następnie ją odwołały, korzystają z ubezpieczenia na tożsamych warunkach tj. świadczenie po stronie ubezpieczyciela nie zmienia się.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych Spółka [...] S.A. spełniła kryteria niezbędne do prawidłowego wyrażenia zgody w rozumieniu art. 4 pkt 11 RODO tj. mającej charakter dobrowolny, konkretny, świadomy i jednoznaczny. Organ wskazał, że oświadczenie o wyrażeniu zgody przygotowane przez Spółkę miało zrozumiałą i łatwo dostępną formę i było sformułowane jasnym i prostym językiem. Wyrażenie zgody było świadome i poinformowane, tj. podmioty danych przed wyrażeniem zgód były informowane o prawie do ich wycofania, przy jednoczesnym pozostaniu przy oferowanym ubezpieczeniu. Prezes UODO wskazał, że tożsamość administratora oraz cele przetwarzania danych osobowych były jednoznacznie określone. Stwierdził, że zgoda była konkretna i jednoznaczna. Podniósł, że z treści zbieranych przez Spółkę zgód wynika wprost, na czyją rzecz zostały wyrażane oraz w jakim celu były zbierane. Podmiotom danych zostały także wskazane wszystkie istotne okoliczności dotyczące przetwarzania ich danych, dzięki czemu w konsekwencji każdy uczestnik Akcji mógł w sposób świadomy korzystać z przysługujących mu zgodnie z RODO praw, w tym również z prawem do wycofania wyrażonych zgód, jak i sposobie ich wycofania, zanim wyraziły zgody. Zdaniem organu ochrony danych osobowych brak jest podstaw by stwierdzić, iż Spółka [...] S.A. nie umożliwiła uczestnikom Akcji wyrażenia zgód marketingowych w pełni świadomie i dobrowolnie. W zakresie oceny dobrowolności wyrażanych zgód na przetwarzanie danych w celach marketingowych spółek z Grupy [...] w sytuacji, gdy wyrażenie tych zgód jest warunkiem skorzystania z Akcji, Prezes UODO wskazał, że zgodnie z wytycznymi 05/2020 dotyczącymi zgody na mocy rozporządzenia 2016/679 Europejska Rady Ochrony Danych Osobowych wskazała, że przymiot "dobrowolności" zakłada rzeczywistą możliwość dokonania wyboru przez osoby, których dane dotyczą, oraz sprawowania przez nie kontroli. Co do zasady RODO stanowi, że jeżeli osobie, której dane dotyczą, nie przysługuje rzeczywista możliwość wyboru, czuje się ona zmuszona do wyrażenia zgody lub poniesie negatywne konsekwencje w przypadku jej niewyrażenia, zgoda będzie nieważna. Jeżeli wyrażenie zgody stanowi nieodłączną i niepodlegającą negocjacji część warunków, uznaje się, że nie jest ona dobrowolna. W związku z tym wyrażenie zgody nie zostanie uznane za dobrowolne, jeżeli osoba, której dane dotyczą, nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.
Zdaniem organu ochrony danych osobowych zebrany w sprawie materiał dowodowy jednoznacznie wykazał, iż uczestnicy Akcji mieli możliwość wyboru pomiędzy ubezpieczeniem w ramach Akcji, na preferencyjnych warunkach, a ubezpieczeniem standardowym, znajdującym się w ofercie Spółki, o czym przede wszystkim świadczyła konieczność zapoznania się z regulaminem Akcji przed jej przystąpieniem. Wobec powyższego należy uznać zdaniem Prezesa UODO, iż nie został naruszony art. 7 RODO. Organ ochrony danych osobowych podniósł, że brak jest podstaw by uznać, iż przedmiotowa zgoda została uzależniona od wykonania przedmiotowej umowy ubezpieczenia, albowiem Spółka nadal miała w swojej ofercie ubezpieczenie standardowe. Uczestnik Akcji, który po przystąpieniu wycofał zgody na przetwarzanie swoich danych w celach marketingowych, nie ponosił negatywnych konsekwencji ww. decyzji, albowiem nadal obejmowało go ubezpieczenie oferowane w ramach ww. Akcji.
Prezes UODO wskazał, że przedmiotowej dobrowolności wyrażenia zgody nie można rozpatrywać wyłącznie z perspektywy sposobu w jaki Spółka prezentuje swoje oferty za pośrednictwem strony internetowej, albowiem nie jest to w zakresie kompetencji organu ochrony danych osobowych.
Postępowanie dowodowe przeprowadzone w sprawie nie dostarczyło zdaniem organu ochrony danych osobowych dowodów na potwierdzenie, że do naruszenia, będącego impulsem do wszczęcia z urzędu niniejszego postępowania, w istocie doszło.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2021 r.
nr [...] stała się przedmiotem skargi Fundacji P. z siedzibą w [...], reprezentowanej w postępowaniu sądowym przez adwokata, do Wojewódzkiego Sądu Administracyjnego w Warszawie. Fundacja wnosząc o uchylenie zaskarżonej decyzji i zasądzenie zwrotu kosztów postępowania według norm przepisanych zarzuciła:
1. naruszenia przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj. art. 7, art. 75 § 1, art. 77 § 1 i art. 80 k.p.a. w zw. z art. 7 ust. 1 u.o.d.o. poprzez: niedopełnienie obowiązku przeprowadzenia postępowania zgodnie z ww. przepisami; brak wyjaśnienia wszystkich istotnych okoliczności sprawy; brak oceny wszystkich dowodów; niewyczerpujące zebranie i brak rozpatrzenia całego materiału dowodowego, co skutkowało błędnym ustaleniem stanu faktycznego, polegającym na niewłaściwym przyjęciu, że [...] S.A. przekazała podmiotom danych informację o alternatywnej możliwości zawarcia umowy ubezpieczenia bez konieczności wyrażania zgód na przetwarzanie danych w celach marketingowych przez podmioty z Grupy [...], podczas gdy stało się już w trakcie trwania akcji, nie objęło natomiast osób, które pierwotnie zgłosiły akces do ubezpieczenia;
2. naruszenia prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 4 pkt 11, art. 5 ust. 1 lit a, art. 6 ust 1 lit a i art 7 ust 4 RODO poprzez: błędne przyjęcie, że [...] S.A. spełniła kryteria niezbędne do prawidłowego wyrażenia zgody w rozumieniu art. 4 pkt 11 RODO, tj. mającej charakter dobrowolny, konkretny, świadomy i jednoznaczny, podczas gdy pozyskiwane zgody nie spełniały wymagań określonych przez przepisy ogólnego rozporządzenia o ochronie danych osobowych; błędne przyjęcie, że "z treści zbieranych przez Spółkę zgód wynika wprost, na czyją rzecz zostały wyrażane oraz w jakim celu były zbierane", podczas gdy przedmiotowa zgoda była pozyskiwana zbiorczo dla wszystkich podmiotów powiązanych kapitałowo w Grupie [...] i wobec tego podmiot danych nie miał pełnej swobody w dysponowaniu jego danymi osobowymi (skarżona decyzja pomija aktualne i najnowsze orzecznictwo NSA wyrażone w wyroku z dnia 20 kwietnia 2021 r., III OSK 161/21).
Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując stanowisko zawarte w zaskarżonej decyzji. Zarzuty skargi uznał za nieuzasadnione. Podniósł m.in., że Fundacja w żaden sposób nie uzasadniła stawianego zarzutu naruszenia przepisów postępowania. Organ w odniesieniu do zarzutu naruszenia prawa materialnego wskazał m.in., że zarzut ten stanowi jedynie polemikę ze stanowiskiem organu wyrażonym w zaskarżonej decyzji. Fundacja w skardze nie wskazała w jaki sposób w jej ocenie została naruszona przez Spółkę zasada dobrowolności zgodny w przedmiotowym postępowaniu. Organ wskazał też m.in., że w klauzulach zgód Spółka [...] S.A. rozróżniła i jednoznacznie wskazała dla uczestników Akcji, który podmiot w jakiej formie może się z nimi kontaktować w celach marketingowych, zatem brak jest podstaw by uznać, że uczestnicy Akcji nie dysponowali wiedzą o tym w jaki sposób podmioty będą im oferowały swoje produkty, w następstwie wyrażonych przez nich zgód. W zakresie zaś wskazanego w zarzucie wyroku NSA z dnia 20 kwietnia 2021 r. (sygn. III OSK 161/21) organ wskazał, że niniejszy wyrok odnosi się do sytuacji, gdy wyrażana zgoda ma dotyczyć różnych celów przetwarzania danych. W niniejszym postępowaniu przedmiotowe zgody przez podmioty grupy [...] SA dotyczą tych samych celów tj. cyt.: "(...) marketingowych, obejmujących profilowanie zmierzające do określenia preferencji lub potrzeb w zakresie produktów ubezpieczeniowych i innych produktów finansowych oraz przedstawienia odpowiedniej oferty".
Pełnomocnik Fundacji w piśmie procesowym z dnia [...] lutego 2022 r. rozszerzył argumentację zarzutów skargi. Podniósł m.in., że naruszenie art. 7. art.. art. 75 § 1, art. 77 § 11 art. 80 k.p.a. skutkowało błędnym ustaleniem stanu faktycznego poprzez niewłaściwe przyjęcie, że [...] S.A. w ramach prowadzonej akcji przekazywała podmiotom danych informacje o alternatywnej możliwości zawarcia umowy ubezpieczenia bez konieczności wyrażania zgody na przetwarzanie danych w celach marketingowych przez podmioty należące do grupy kapitałowej [...]. Powyższa okoliczność została uznana za jedną z wiodących dla ustalenia, że nie doszło do naruszenia ochrony danych osobowych. Tymczasem, jak wskazał pełnomocnik, z dowodów przedstawionych organowi przez skarżącego w sposób jednoznaczny i niebudzący wątpliwości wynika, że rozpoczynając akcję promującą możliwość "nieodpłatnego" zawarcia umowy ubezpieczenia formularz nie informowano uczestników o możliwości zawarcia umowy ubezpieczenia bez konieczności wyrażania zgód marketingowych. W toku postępowania przedstawiono dokumenty sporządzone przez skarżącego na dzień [...] maja 2019 r. Z dokumentów tych wynika, że w powyższym dniu (tj. dwa dni po rozpoczęciu akcji) ani formularz, ani regulamin akcji nie zawierały informacji o tym, że istnieje możliwość zawarcia umowy bez konieczności wyrażenia zgody na przetwarzanie danych (brak informacji o alternatywie).
Pełnomocnik podniósł m.in., że Prezes UODO konstatując, że taka alternatywa istnieje, nie dokonał szczegółowych ustaleń kiedy i w jaki sposób została ona wprowadzona przez [...] S.A. oraz czy spełnione zostały wszystkie wymagania związane z przejrzystością i sposobem komunikowania niezbędnych informacji podmiotom danych. Co więcej, informacja zamieszczona na stronie akcji promocyjnej, na którą powołuje się Prezes UODO w skarżonym rozstrzygnięciu, sprowadza się jedynie do wskazania, że "do zakupu ubezpieczenia może dojść u agenta, przez telefon lub w oddziale [...]". Jedyne, do czego organ nawiązuje w uzasadnieniu wydanej decyzji, to okoliczność, że [...] czerwca 2019 r. (tj. również po rozpoczęciu obowiązywania akcji) wprowadzono zmianę dotyczącą bardziej przejrzystego informowania o prawie do wycofania zgody. Organ nie odniósł się zaś do zmiany w zakresie alternatywnej możliwości zawarcia umowy. Organ nie analizował ani nie przytaczał szczegółowo treści informacji, co jest istotne z perspektywy wymagań określonych w art. 7 i 12 RODO. Pełnomocnik podniósł, że nie sposób zgodzić się ze stanowiskiem organu co do ważności zgody na przetwarzanie danych osobowych. Pełnomocnik wskazał, że organ w toku postępowania nie podjął czynności zmierzających do ustalenia, czy podmiot danych miał rzeczywistą możliwość wyboru w odniesieniu do przyjęcia lub odrzucenia oferowanych warunków lub odrzucenia tych warunków bez negatywnych konsekwencji. Mimo, iż powyższa okoliczność ma kluczowe znaczenie dla oceny ważności zgody, organ okoliczność tę pominął, zaś swoją uwagę skupił na rozważaniach dotyczących możliwości wycofania zgody. Powyższe uznać należy za niewłaściwe, bowiem zgodnie z opracowanymi przez EROD Wytycznymi 05/2020 dotyczącymi zgody na mocy rozporządzenia 2016/679 (wersja 1.1 przyjęta 4.05.2020 r.) ważność zgody jest powiązana bezpośrednio ze swobodą przyjęcia lub odrzucenia oferowanych warunków, a co za tym idzie kluczowe znaczenie ma istnienie tej swobody przed wyrażeniem zgody. Pełnomocnik podniósł też m.in., że ważna zgoda, to zgoda wyrażona w sposób świadomy. Świadomość podmiotu danych powinna obejmować zarówno cele przetwarzania jego danych, podstawy, jak i tożsamość podmiotu będącego administratorem. Tymczasem sposób, w jaki podmiot danych miał wyrażać zgodę na przetwarzanie danych w ramach oferowanej akcji, nie pozwalał podmiotowi danych na świadome podjęcie decyzji. Wątpliwości budzi m. in. okoliczność kto będzie administratorem danych, czy będą to wszystkie podmioty z grupy kapitałowej [...], czy zgoda jest udzielona wobec wszystkich podmiotów, czy tylko niektórych podmiotów z grupy, a ponadto czy wycofanie zgody, które w ocenie organu jest tak istotne, ma być dokonane w sposób ogólny wobec wszystkich podmiotów, czy może oddzielnie wobec każdego z nich.
W niniejszej sprawie niewyrażenie zgody na przetwarzanie danych osobowych uniemożliwiało zawarcie umowy, a co tym idzie warunkiem przystąpienia do ubezpieczenia było właśnie wyrażenie zgody. Powyższe potwierdza również regulamin akcji, w punkcie 6 wskazano bowiem: "w ramach akcji, jej uczestnicy są uprawnieni do bezpłatnego zgłoszenia w czasie trwania akcji swoich dzieci do grupowego ubezpieczenia (...), jeśli wyrażą zgodę na udostępnienie danych do wskazanych celów oraz na przekazywanie informacji handlowych drogą elektroniczną oraz za pomocą urządzeń końcowych. Nie ulega wątpliwości, że udostępnianie danych w celach marketingowych nie jest konieczne do świadczenia usługi ubezpieczenia. Wbrew temu organ błędnie uznał, że nie ma podstaw do uznania, że zawarcie umowy zostało uzależnione od wyrażenia zgody. Tymczasem uzależnienie zawarcia umowy od wyrażenia zgody wynika zarówno z konstrukcji formularza, jak i z oznaczenia w formularzu pola zgody jako pola obowiązkowego i wreszcie z regulaminu akcji. Wskazał, że ustalenie czy przetwarzanie danych odbywa się zgodnie z art. 7 ust. 4 RODO wymaga przeprowadzenia dogłębnej analizy, czego organ nie uczynił, poświęcając tej kwestii wyłącznie jedno zdanie uzasadnienia. Pełnomocnik wskazał też, że ważność zgody uzależniona jest od spełnienia wymaganych przepisami RODO przesłanek, tj. ma stanowić dobrowolne, konkretne, świadomie i jednoznaczne okazanie woli. Dla ustalenia ważności zgody bez znaczenia pozostaje okoliczność, czy administrator poinformuje podmiot danych o prawie wycofania zgody. Poinformowanie podmiotu o tym prawie jest istotne z punktu widzenia realizacji przez administratora obowiązków informacyjnych, tym niemniej nie stanowi to przesłanki ważności udzielonej zgody na przetwarzanie danych.
Prezes UODO w piśmie procesowym z dnia [...] czerwca 2022 r. podtrzymał stanowisko wyrażone w zaskarżonej decyzji oraz odpowiedzi na skargę. Wskazał m.in., że praktyka uzależniająca skorzystanie z usługi "[...]" od wyrażania zgód na przetwarzanie danych w celach marketingowych przez podmioty z grupy [...] budziła zastrzeżenia organu nadzorczego, w związku z powyższym działając zgodnie z art. 52 ust. 3 ustawy z dnia 10 maja 2018 r., organ kierując wystąpienie do [...] i zobowiązał ten podmiot do pisemnego ustosunkowania się do ww. wystąpienia w terminie 30 dni od daty jego otrzymania. [...] S.A. wyjaśniło, że w akcji uczestniczy jedynie w roli ubezpieczyciela i klauzule zgód nie są zbierane przez [...]. [...] S.A. do swojej odpowiedzi załączyło stanowisko [...] S.A. w przedmiocie zasad przeprowadzenia akcji oraz zgód administracyjnych.
Prezes UODO podał, że [...] w treści swojej odpowiedzi poinformowała, że w związku z zaleceniami zawartymi w treści wystąpienia Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2019 r., w dniu [...] czerwca 2019, została wprowadzona zmiana na formularzu dostępnym w okresie prowadzenia akcji na stronie [...], za pośrednictwem którego przystępowano do akcji. Jak wskazała [...] zmiana miała na celu bardziej przejrzyste informowanie uczestników akcji o prawie do wycofania zgody. Już w pierwszej warstwie informacji widocznej dla użytkownika wypełniającego formularz dostępna była wyraźnie wyodrębniona informacja o prawie do wycofania zgody o następującej treści (cyt.): "Masz prawo w dowolnym momencie wycofać zgodę za pośrednictwem adresu e-mail [...] albo pisemnie pod adresem Administratora wskazanym w Regulaminie". Tym samym, jak wskazał Prezes UODO, [...] dokonało analizy klauzul zgód i dokonało ich korekty w oparciu o wytyczne zawarte w wystąpieniu Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2019 r. wykazując dostosowanie ich formy do wymogów przepisów RODO. W aspekcie, że [...] doprecyzowało treść informacji eliminując zgłaszane niejasności odnośnie oświadczeń o wyrażeniu zgody na przetwarzanie danych w celach marketingowych, podkreślenia wymaga, że samo ewentualne naruszenie zasady alternatywy w ocenie organu nie stanowi samodzielnego kryterium, które wystarczyłoby do uznania, że zgoda nie została wyrażona w sposób swobodny. Organ dodał m.in. (na marginesie), że zgoda podmiotu danych nie jest wymagana w sytuacji przekazania danych w ramach powierzenia przetwarzanie dokonanego w oparciu o art. 28 ust. 3 RODO, jak również wskazał, że wyrażenie zgody na przetwarzanie danych osobowych w celach marketingowych nie oznacza, że administrator będzie obligatoryjnie prowadził wobec danej osoby czynności marketingowe, lecz że ma przyzwolenie osoby, której dane dotyczą na ich dokonanie. Dodatkowo organ podkreślił, że [...] załączył wydruk zrzutu z ekranu formularza z dnia [...] czerwca 2019 r,, w którym wyraźnie wskazano (cyt.) "analogiczne ubezpieczanie możesz kupić u agenta, przez telefon lub w oddziale [...]", czym wykazał, że informował o możliwości innego sposobu zawarcia umowy ubezpieczenia. Prezes UODO podniósł, że [...] wyraźnie wskazało potencjalnym klientom, że istnieją różne sposoby zawarcia oferowanej umowy ubezpieczenia. Organ powołał się na wyrok SN z dnia 4 marca 2014 r. sygn. akt III SK 34/13 dotyczący przekazu reklamowego. W ocenie Prezesa Urzędu Ochrony Danych Osobowych osoba rozważająca umowę ubezpieczenia powinna posiadać podstawową wiedzę m.in. na czym polega umowa ubezpieczenia, jaka jest rola ubezpieczającego oraz ubezpieczyciela. Organ nie podzielił stanowiska Fundacji, że "Dla ustalenia ważności zgody bez znaczenia pozostaje okoliczność, czy administrator poinformuje podmiot danych o prawie wycofania zgody". Z powyższym nie sposób się w ocenie organu zgodzić, gdyż kwestia odwołalności zgody decyduje o jej dopuszczalności, więc z oczywistych względów była również przedmiotem analizy prawnej organu w niniejszej sprawie.
Pełnomocnik [...] S.A. na rozprawie przed Wojewódzkim Sądem Administracyjnym w Warszawie w dniu 7 lipca 2022 r. wniósł o oddalenie skargi podzielając argumentację Prezesa UODO.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Skarga podlegała uwzględnieniu.
Sąd za trafne uznał zarzuty naruszenia art. 7, art. 77 § 1 i art. 80 k.p.a., które to uchybienie mogło mieć istotny wpływ na wynik sprawy.
Postępowanie w niniejszej sprawie wszczęte zostało przez Prezesa UODO z urzędu i dotyczyło praktyk stosowanych przez [...] S.A. w zakresie pozyskiwania zgody od klientów i potencjalnych klientów na przetwarzanie ich danych osobowych w celach marketingowych przez podmioty z grupy kapitałowej [...] wymienione w decyzji. Akcja, o której mowa w decyzji, w trakcie której pozyskiwane były zgody na przetwarzanie danych osobowych w celach marketingowych przez inne podmioty niż administrator, trwała według ustaleń organu od [...] maja 2019 r. do [...] czerwca 2019 r. Wydając decyzję w dniu [...] sierpnia 2021 r. Prezes UODO nie stwierdził naruszenia prawa w stosowanej przez [...] S.A. praktyce pozyskiwania zgód na przetwarzanie przez inne podmioty w celu marketingowym danych osobowych klientów i potencjalnych klientów [...] S.A.
Z akt postępowania administracyjnego, jak i z samej decyzji wynika, że sytuacja faktyczna w zakresie procesu przetwarzania danych osobowych (pozyskiwania zgód) w trakcie akcji "[...]" nie była przez cały czas taka sama. Wskazuje na to zarówno znajdujące się w aktach administracyjnych wystąpienie Prezesa UODO do [...] S.A. z dnia [...] czerwca 2019 r., jak i pismo procesowe organu z dnia [...] czerwca 2022 r. Potwierdzenie zmieniających się okoliczności sprawy w zakresie stosowanej praktyki [...] S.A., choć bez pełnych ustaleń faktycznych, odnaleźć można także w samej decyzji Prezesa UODO.
Z całokształtu materiału dowodowego zgromadzonego przez organ wynika,
że proces przetwarzania danych osobowych, tj. pozyskiwania przez [...] S.A. zgód na przetwarzanie danych osobowych w celach marketingowych przez inne podmioty, tj. podmioty z grupy kapitałowej [...], kształtował się inaczej do czasu skierowania przez Prezesa UODO wystąpienia do [...] S.A. z dnia [...] czerwca 2019 r., a inaczej po tym wystąpieniu, gdy [...] S.A. dokonało korekty w zakresie stosowanej praktyki pozyskiwania zgód.
Z pisma procesowego Prezesa UODO z dnia [...] czerwca 2022 r. wynika, że korekta mająca na celu dostosowanie procesu zbierania zgód, o których mowa w decyzji, do wymogów RODO, nastąpiła [...] czerwca 2019 r. Organ wprost wskazał w tym piśmie procesowym, że " (...) [...] dokonało analizy klauzul zgód i dokonało ich korekty w oparciu o powyższe wytyczne zawarte w wystąpieniu Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2019 r. wskazując dostosowanie ich formy do wymogów RODO" (str. 4 pisma organu).
Takich jednoznacznych ustaleń organu w zakresie wskazania dnia, od którego według Prezesa UODO praktyka pozyskiwania zgód nie naruszała przepisów RODO w zaskarżonej decyzji brak.
W decyzji, w ustaleniach faktycznych, jest mowa wyłącznie o tym, że zmiana wprowadzona w dniu [...] czerwca 2019 r. na formularzu dostępnym, w okresie prowadzenia akcji, na stronie internetowej, "miała na celu jeszcze bardziej przejrzyste informowanie uczestników Akcji o prawie do wycofania zgody." (punkt 6 ustaleń faktycznych decyzji organu).
Sama informacja o prawie do wycofania zgody nie stanowi przesłanki do stwierdzenia, że zastosowana w tej sprawie praktyka [...] S.A. pozyskiwania zgód dla innych podmiotów do przetwarzania przez nich danych osobowych w celach marketingowych była zgodna z przepisami RODO.
Organ nie dokonał w sprawie pełnych i dokładnych ustaleń jak kształtowała się praktyka pozyskiwania zgód w trakcie całej Akcji, tj. od początku jej trwania, w tym do czasu reakcji [...] S.A. na wystąpienie skierowane przez organ do spraw ochrony danych osobowych do [...] S.A. w dniu [...] czerwca 2019 r. i następnie po tym okresie, aż do końca Akcji.
Z akt sprawy wynika (podnosi to zresztą trafnie Fundacja), że na początku Akcji, o której mowa w decyzji, konieczne było wyrażenie zgody na przetwarzanie danych osobowych w celach marketingowych dla podmiotów z grupy kapitałowej [...], aby w ogóle przystąpić do ubezpieczenia. Sam Prezes UODO wskazał na takie ustalenie faktyczne na dzień [...] maja 2019 r. w punkcie 12 decyzji. W formularzu na stronie internetowej wprost wskazane było wówczas "Musisz zaznaczyć zgody do wskazanych celów, żebyś mógł wysłać formularz i pomyślnie przystąpić do ubezpieczenia".
Okoliczność, że w reakcji na wystąpienie Prezesa UODO do [...] S.A., Spółka [...] S.A. dokonała korekty stosowanej praktyki wynika z akt administracyjnych i znajduje potwierdzenie w piśmie procesowym Prezesa UODO z dnia [...] czerwca 2022 r.
Sąd zauważa przy tym, że [...] S.A. w toku postępowania przedstawiło organowi przy piśmie z dnia [...] marca 2021 r. "zrzut z ekranu formularza z dnia [...].06.2019 r.", w którym obok informacji "aby przystąpić do akcji należy wyrazić zgody wymienione w formularzu" przedstawiono informację "analogiczne ubezpieczenie możesz kupić u agenta, przez telefon lub w oddziale [...]".
Prezes UODO nie ustalił w decyzji, kiedy, tj. w jakiej dacie potencjalni klienci i klienci [...] S.A. uzyskali informację od administratora o możliwości zawarcia proponowanej w ramach Akcji umowy ubezpieczenia, bez konieczności wyrażenia zgód na przetwarzanie danych osobowych przez szereg podmiotów z grupy kapitałowej [...] w ich własnych celach marketingowych (w tym obejmujących profilowanie). Organ nie rozważył wszechstronnie zebranego dotychczas materiału dowodowego i nie dokonał jego pełnej oceny z uwzględnieniem przepisów RODO, w tym zwłaszcza w kontekście oceny, czy w istocie od początku Akcji można mówić o tym, że zgoda pozyskiwana na przetwarzanie danych przez inne podmioty w ich własnych celach marketingowych była dobrowolna. Wydaje się, że zastrzeżenia Prezesa UODO co do istniejącej na początku Akcji praktyki uzależniającej skorzystanie z ubezpieczenia od wyrażenia zgód na przetwarzanie danych przez inne podmioty niż administrator w ich własnych celach marketingowych, były na gruncie RODO zasadne.
Biorąc pod uwagę, że brak rzeczywistego lub wolnego wyboru nie pozwala przyjąć, że wyrażenie zgody było dobrowolne (przeczy dobrowolności) – motyw 42 RODO, art. 4 pkt 11 RODO, art. 7 ust. 4 RODO, ustalenie, o którym mowa wyżej może mieć istotny wpływ na wynik postępowania wszczętego przez organ z urzędu.
Organ winien ustalić jak dokładnie kształtowała się kwestia dobrowolności udzielanych zgód pozyskiwanych przez [...] S.A. przez cały okres trwania Akcji, o której mowa w decyzji i dopiero wówczas ocenić, czy przez cały czas (od początku do końca prowadzonej Akcji) był to proces zgodny z wymogami RODO. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy (art. 7 ust. 4 RODO).
W ocenie Sądu, na tym etapie postępowania, stwierdzenie przez Prezesa UODO, że nie doszło do naruszenia przepisów RODO, uznać należało za dowolne i nie znajdujące oparcia w materiale dowodowym. Z uzasadnienia decyzji domniemywać można, że Prezes UODO nie stwierdzając naruszenia RODO przyjął dla swych ustaleń i rozważań stan faktyczny dotyczący praktyki pozyskiwania zgód, istniejący po 6 czerwca 2019 r. Tymczasem, skoro organ ochrony danych zdecydował się w tej sprawie na wszczęcie postępowania z urzędu – z uwagi na konkretny stan faktyczny – to nie może uchylić się od oceny tego stanu faktycznego.
Podkreślenia wymaga nadto, że samo przedstawienie przez [...] S.A., tj. podmiot zbierający zgody na przetwarzanie danych osobowych przez inne podmioty (z grupy kapitałowej [...]) w ich własnych celach marketingowych, informacji o prawie do wycofania zgody – nie jest równoznaczne z tym, że zgodę wyrażono dobrowolnie. Dobrowolność należy oceniać na gruncie art. 7 ust. 4 RODO. Pamiętać należy bowiem, że zgodnie z RODO, wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem (art. 7 ust. 3 RODO).
Organ nie rozważył nadto, czy istotnie w sprawie można mówić o pełnej swobodzie dysponowania przez klientów i potencjalnych klientów [...] S.A. w ramach Akcji, o której mowa w decyzji, swoimi danymi osobowymi w sytuacji, gdy wymagano od nich (konieczne było) aby można było przystąpić do ubezpieczenia: wyrażenie wszystkich trzech zgód (zawartych w treści formularza "pole jest wymagane"), w tym 1) zgody na przetwarzanie danych w celach marketingowych obejmujących profilowanie, 2) zgody na przetwarzanie danych w celach marketingowych za pośrednictwem rozmowy telefonicznej, komunikatów głosowych, IVR a także 3) zgody na przetwarzanie danych w celach marketingowych za pośrednictwem email, sms, mms. Organ nie ocenił, czy w takiej sytuacji można mówić o rzeczywistym lub wolnym wyborze podmiotów danych, skoro nie można było odmówić wyrażenia choćby jednej ze zgód.
Odnosząc się do przywołanego przez Prezesa UODO w piśmie procesowym z dnia 7 czerwca 2022 r. wyroku SN z dnia 4 marca 2014 r. sygn. akt III SK 34/13 podkreślić należy, że sprawa niniejsza, w której postępowanie wszczęte zostało przez organ ochrony danych osobowych z urzędu, nie dotyczy "nieuczciwych praktyk rynkowych", a zgodności z prawem przedstawionego w decyzji sposobu pozyskiwania (zbierania) zgód na przetwarzanie danych osobowych przez inne podmioty niż administrator w ich własnych celach marketingowych, co obejmowało m.in. zgodę na profilowanie (motyw 60, 70, 71, 72, art. 4 pkt 4 RODO). Z decyzji organu nie wynika, czy podmioty danych były poinformowane o konsekwencjach profilowania.
Biorąc pod uwagę, że do zadań Prezesa UODO należy monitorowanie i egzekwowanie stosowania RODO, organ uwzględni przedstawione wyżej rozważania Sądu i dokona pełnej i rzetelnej oceny zgodności z RODO stosowanych praktyk dotyczących pozyskiwania zgód, o których mowa w decyzji.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2022 r., poz. 329), orzekł jak w punkcie 1 wyroku. O zwrocie kosztów postępowania sądowego, jak w punkcie 2 wyroku, Sąd orzekł na podstawie art. 200 w zw. z art. 205 powołanej ustawy. Do kosztów tych Sąd zaliczył wynagrodzenie pełnomocnika skarżącego (480 zł), uiszczony wpis sądowy od skargi (200 zł) oraz opłatę od dokumentu pełnomocnictwa (17 zł).