II SA/Wa 511/18

II SA/Wa 511/18 - Wyrok WSA w Warszawie
Data orzeczenia
2018-11-23
orzeczenie nieprawomocne
Data wpływu
2018-04-03
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Kwiecińska /przewodniczący/
Iwona Maciejuk /sprawozdawca/
Maria Werpachowska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
I OSK 596/19 - Postanowienie NSA z 2019-04-12
III OSK 1018/21 - Wyrok NSA z 2022-03-31
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska, Sędziowie WSA Iwona Maciejuk (spr.), Maria Werpachowska, Protokolant starszy specjalista Bogumiła Kobierska, po rozpoznaniu na rozprawie w dniu 23 listopada 2018 r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2018 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] listopada 2014 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t. j.. Dz. U. z 2013 r. poz. 267 ze zm.) w zw. z art. 12 pkt 2, art. 22 oraz art. 23 ust. 1 pkt 5 i art. 23 ust. 4 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2014 r. poz. 1182), zwanej dalej u.o.d.o., po przeprowadzeniu postępowania administracyjnego w sprawie wniosku P. M., nakazał [...] sp. z o.o. z siedzibą w [...], zwanej dalej także [...], przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych P. M. poprzez zaprzestanie przetwarzania jego danych osobowych w celu marketingu produktów i usług [...] S.A. z siedzibą w [...], zwanego dalej także [...].
W uzasadnieniu organ wskazał, że do Biura GIODO wpłynął wniosek P. M., w którym wniósł on o zbadanie legalności procesu przetwarzania jego danych osobowych przez [...] sp. z o.o. z siedzibą w [...], zwane dalej również [...] w związku ze skierowaniem do niego telefonicznie oferty objęcia ochroną ubezpieczeniową przez [...] S.A. Skarżący wskazał, że pomimo, iż jest stroną umowy zawartej z [...] Sp. z o.o., której przedmiotem jest świadczenie usług telekomunikacyjnych dotyczących wskazanego numeru telefonu, nie wyrażał zgody na prowadzenie wobec niego marketingu produktów [...] Spółka Akcyjna z siedzibą w [...], jak również uprzedniej zgody na umowy za pośrednictwem telefonu. Generalny Inspektor ustalił następujący stan faktyczny:
1. [...] jako administrator danych przetwarza dane osobowe skarżącego na podstawie przepisów ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t. j. Dz. U. z 2014 r. poz. 243) w celu realizacji zawartej z nim umowy o świadczenie usług telekomunikacyjnych (wskazano nr umowy) z dnia [...] października 2013 r..
2. W wyjaśnieniach udzielonych GIODO [...] wskazała, że przetwarza dane osobowe skarżącego w następujących celach: a. świadczenie usług; b. sprzedaż produktów i usług Spółki; c. prowadzenie działań marketingowych przez Spółkę samodzielnie lub we współpracy z innymi podmiotami; d. archiwizacja danych; e. prowadzenie analiz gospodarczych. Ponadto [...] wyjaśniła, że działając na podstawie art. 808 Kodeksu cywilnego Spółka (jako ubezpieczający) zawarła z firmami ubezpieczeniowymi (jako ubezpieczycielami) umowy ubezpieczenia grupowego. Zgodnie z ich postanowieniami osobami objętymi ochroną ubezpieczeniową (czyli ubezpieczonymi) będą ci abonenci Spółki, którzy do takiej umowy przystąpią. Usługa świadczona przez Spółkę na rzecz abonentów polega na umożliwieniu im przystąpienia do umowy ubezpieczenia grupowego zawartej pomiędzy Spółką a danym ubezpieczycielem na warunkach indywidualnie wynegocjowanych przez Spółkę dla abonentów Spółki. (...) Połączenia telefoniczne, których celem jest zaoferowanie abonentom przystąpienia do danej umowy ubezpieczenia grupowego są realizowane na podstawie art. 23 ust. 4 pkt 1 u.o.d.o. w związku z art. 23 ust. 1 pkt 5 u.o.d.o., przez partnera biznesowego Spółki, któremu to Spółka powierzyła w trybie art. 31 u.o.d.o. przetwarzanie danych osobowych. Spółka nie przekazuje danych osób, które zgodnie z art. 32 ust. 1 pkt 8 u.o.d.o. wniosły sprzeciw wobec przetwarzania ich danych osobowych w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5 u.o.d.o., gdy administrator danych (tj. Spółka) zamierza je przetwarzać w celach marketingowych łub wobec przekazywania ich danych osobowych innemu administratorowi danych.
3. Z wyjaśnień [...] Sp. z o. o. wynika, że skarżący nie wniósł sprzeciwu wobec przetwarzania jego danych osobowych, o którym mowa w art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych.
4. Dane osobowe skarżącego [...] udostępnił [...] Sp. z o.o. z siedzibą w [...] (zwana dalej także [...]) w drodze realizacji umowy powierzenia przetwarzania danych osobowych zawartej z tym podmiotem, która jest częścią ramowej umowy z dnia [...] stycznia 2012 r. dotyczącej organizacji akcji telemarketingowych zawartej pomiędzy [...],[...] oraz [...]. Dane osobowe skarżącego zostały następnie usunięte z systemów informatycznych [...] po ich wykorzystaniu w ramach akcji telemarketingowej.
5. W związku z realizacją: 1) porozumienia z dnia [...] marca 2014 r. - Umowa Grupowego Ubezpieczenia na Życie oraz Ubezpieczenia od Następstw Nieszczęśliwego Wypadku dla Klientów [...] Sp. z o.o. "[...]" nr [...] oraz współpracy w zakresie obsługi ubezpieczenia 2) umowy ramowej dotyczącej organizacji akcji telemarketingowych z dnia [...] stycznia 2012 r. 3) Porozumienia w sprawie obowiązywania Umowy Ramowej Dotyczącej Organizacji Akcji Telemarketingowych z dnia [...] stycznia 2012 r. zawartych pomiędzy [...],[...] i [...], pracownik [...] (będącej jednocześnie agentem ubezpieczeniowym [...]), wykonał do skarżącego w dniu [...] marca 2014 r. w porozumieniu z [...] połączenie telefoniczne w celu przedstawienia oferty produktu ubezpieczeniowego (tj. możliwości przystąpienia do ubezpieczenia grupowego) "[...]", gdzie [...] występuje jako potencjalny Ubezpieczający, a [...] jako potencjalny Ubezpieczyciel, a skarżący jako potencjalny Ubezpieczony. W przeprowadzonej rozmowie telefonicznej skarżącemu została przekazana informacja, że jako klient Spółki może przystąpić do polisy ubezpieczeniowej o nazwie "[...]". Skarżący nie przystąpił do zaproponowanej mu polisy ubezpieczeniowej i jednocześnie zwrócił się do [...] o udzielenie mu wyjaśnień w związku z przetwarzaniem jego danych osobowych do celów marketingowych.
6. [...] wskazała, że w jej ocenie oferta została złożona P. M. w ramach marketingu usług własnych administratora danych osobowych, cyt.: "Oferta, którą proponują nasi konsultanci jest "produktem własnym" ze względu na fakt, że jest ona stworzona na potrzeby naszej firmy - jest to indywidualna oferta dla naszych Klientów, której nie otrzyma Pan kontaktując się bezpośrednio z ubezpieczycielem lub poprzez współpracę z jakimkolwiek innym podmiotem."
W tym stanie faktycznym GIODO stwierdził, że przetwarzanie danych osobowych P. M. odbyło się z naruszeniem przepisów ustawy o ochronie danych osobowych. Skarżący nie wyraził bowiem zgody na przetwarzanie jego danych osobowych (art. 23 ust. 1 pkt 1), nie było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2), nie było to konieczne do realizacji umowy, której P. M. był stroną, ani niezbędne do podjęcia działań przed zawarciem umowy na żądanie P. M. (art. 23 ust. 1 pkt 3), nie było to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (art. 23 ust. 1 pkt 4), ani nie było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych albo odbiorców danych (art. 23 ust. 1 pkt 5).
Organ stwierdził, że stan faktyczny jednoznacznie wskazuje na prowadzenie przez [...] marketingu produktów i usług podmiotu trzeciego, świadczącego usługi ubezpieczeniowe, tj. [...]. Wskazywany przez [...] argument, iż celem takiej oferty jest jedynie promocja własnych produktów i usług nie jest zasadny. Przedmiotowe działania marketingowe prowadzone są w jego interesie jedynie z racji potencjalnych korzyści finansowych [...] wynikających z zawartej w dniu [...] marca 2014 r. Umowy Grupowego Ubezpieczenia na Życie oraz Ubezpieczenia od Następstw Nieszczęśliwego Wypadku dla Klientów [...] Sp. z o.o. "[...]". Korzyści z takich działań odnosi także Ubezpieczyciel (tj. [...]), który pozyskując Abonentów [...], obejmuje ich ochroną ubezpieczeniową. Bez znaczenia pozostaje fakt,
iż podmiotem, który prowadzi działania marketingowe wobec P. M. pozostaje operator telekomunikacyjny (także w kwestii promowania usług Ubezpieczyciela), działający przy pomocy Spółki [...] z którą ma podpisaną umowę powierzenia przetwarzania danych osobowych. Także to, że Ubezpieczającym jest [...], w związku z czym zgodnie z porozumieniem jest (§2 pkt4) jest uprawniony w pierwszej kolejności do otrzymania świadczenia ubezpieczeniowego nie zmienia faktu, iż działanie [...] nie jest marketingiem jedynie jego własnych produktów lub usług. Dodatkowo nie bez znaczenia pozostaje, że w przypadku objęcia Abonenta [...] ochroną ubezpieczeniową jego dane osobowe zostają przekazane na rzecz [...], które stosownie do §3 pkt porozumienia staje się nowym administratorem danych osobowych. Poza tym [...] Sp. z o.o. występuje także jako Agent ubezpieczeniowym [...], które zgodnie z §2 pkt 2.2 i 2.3 umowy ramowej dotyczącej organizacji akcji telemarketingowych, któremu w związku z prowadzoną akcją przysługuje wynagrodzenie, którego wysokość regulowana jest w odrębnej umowie. W przedmiotowej sprawie [...], w myśl przyjętych rozwiązań, nie ponosi żadnych kosztów prowadzenia akcji telemarketingowej, a rola [...] sprowadza się de facto do udostępnienia danych osobowych własnych abonentów w związku z tą akcją. Organ wskazał, że [...] działa jako Agent Ubezpieczeniowy [...]. W §1 umowy ramowej dotyczącej organizacji akcji telemarketingowych określono, iż konsultant to cyt.: "osoba fizyczna wykonująca czynności agencyjne, o której mowa w art. 9 ust. 1 ustawy z dnia 22 maja 2003 roku o pośrednictwie ubezpieczeniowym, za pośrednictwem, których [...] [[...]] wykonuje czynności agencyjne, na potrzeby wykonania postanowień Umowy." GIODO jednoznacznie stwierdził, że w przedmiotowej sprawie mamy do czynienia z produktem ubezpieczeniowym podmiotu trzeciego, czyli Ubezpieczyciela ([...]), na rzecz którego działa Spółka [...], której [...] powierza w tym celu przetwarzanie danych osobowych.
GIODO wskazał, że przesłanka zawarta w art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 1 u.o.d.o. ma zastosowanie wyłącznie do marketingu własnych produktów lub usług. Podał, ze powyższe stanowisko znajduje swoje odzwierciedlenie także
w orzecznictwie sądów administracyjnych (wyrok NSA z dnia 5 stycznia 2010 roku sygn. I OSK 399/09). W ocenie GIODO działania podejmowane przez [...] w celu przedstawienia oferty produktowej były przetwarzaniem danych osobowych P. M. w celu marketingu bezpośredniego produktu podmiotu trzeciego ([...]). Przepisy ustawy o ochronie danych osobowych dopuszczają przetwarzanie danych osobowych w takim celu jedynie po uzyskaniu zgody osoby, której dane dotyczą,
a postępowanie nie wykazało, aby [...] taką zgodą dysponowała.
[...] sp. z o.o. wniosła o ponowne rozpatrzenie sprawy. W dniu [...] grudnia 2014 r. do Biura GIODO wpłynęło uzupełnienie wniosku o ponowne rozpatrzenie sprawy. Spółka zarzuciła 1) nieuwzględnienie i błędne przyjęcie, że przetwarzanie danych przez [...] nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych, 2) błędne przyjęcie, że art. 23 ust. 4 pkt 1 u.o.d.o. ma zastosowanie wyłącznie do marketingu produktów i usług własnych (pominięcie jego otwartego katalogu), 3) błędne przyjęcie, że oferowanie przystąpienia do umowy grupowego ubezpieczenia nie stanowi marketingu własnych produktów i usług
a podmiotu trzeciego, 4) przyjęcie, że jedyną przesłanką dopuszczającą przetwarzanie danych osobowych w przedmiotowy sposób jest zgoda oraz 5) sprzeczność decyzji
z poprzednią decyzją wydaną w analogicznej sprawie.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] stycznia 2018 r. nr [...], na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257), zwanej dalej k.p.a. utrzymał w mocy własną decyzję z dnia [...] listopada 2014 r.
Rozpatrując sprawę w tym samym stanie faktycznym i prawnym GIODO stwierdził, że w przedmiotowej sprawie przetwarzanie danych osobowych P. M. odbyło się z naruszeniem przepisów ustawy o ochronie danych osobowych. Abonent nie wyraził bowiem zgody na przetwarzanie jego danych osobowych (art. 23 ust. 1 pkt 1), nie było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2), nie było to konieczne do realizacji umowy, której abonent był stroną, ani niezbędne do podjęcia działań przed zawarciem umowy na żądanie abonanta (art. 23 ust. 1 pkt 3), nie było to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (art. 23 ust. 1 pkt 4), ani nie było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych albo odbiorców danych (art. 23 ust. 1 pkt 5). W ocenie Generalnego Inspektora stan faktyczny jednoznacznie wskazuje na prowadzenie przez [...] marketingu produktów i usług podmiotu trzeciego, świadczącego usługi ubezpieczeniowe, tj. [...].
Organ wskazał, że przesłanka zawarta w art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 1 ustawy ma zastosowanie wyłącznie do marketingu własnych produktów lub usług. Otwarty katalog zawarty art. 23 ust. 4 pkt 1 ustawy nie oznacza zatem dowolności co do jego zakresu. W szczególności, biorąc pod uwagę zasadę racjonalnego ustawodawcy, wskazano w tym przepisie marketing bezpośredni własnych produktów lub usług administratora danych a nie jakiegokolwiek podmiotu z którym administrator zawarł odrębną umowę. W ustalonym w niniejszej sprawie stanie faktycznym przetwarzanie danych P. M. przez [...] w celach marketingu produktów lub usług innych niż produkty i usługi własne [...] nie mogło ponadto następować w oparciu o przesłanki wskazane w art. 23 ust. 2, 3 i 4 u.o.d.o.
Odnosząc się zarzutu, jakoby w analogicznej sprawie P. M. Generalny Inspektor wydał całkowicie odmienną decyzję (decyzja z dnia [...] grudnia 2013 r., znak: [...]), organ wskazał, że dotyczyła ona prawidłowości udostępnienia danych osobowych na podstawie umowy powierzenia, a nie prawidłowości przetwarzania danych osobowych w celach marketingowych, jak to ma miejsce w niniejszej sprawie.
W ocenie Generalnego Inspektora Ochrony Danych Osobowych działania podejmowane przez [...] w celu przedstawienia oferty produktowej były przetwarzaniem danych osobowych P. M. w celu marketingu bezpośredniego produktu podmiotu trzeciego ([...]). Przepisy ustawy o ochronie danych osobowych dopuszczają przetwarzanie danych osobowych w takim celu jedynie po uzyskaniu zgody osoby, której dane dotyczą, a postępowanie nie wykazało, aby [...] taką zgodą dysponowała.
[...] Sp. z o.o. z siedzibą w [...], reprezentowana przez radcę prawnego, pismem z dnia 2 marca 2018 r. wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Generalnego Inspektora Ochrony Danych Osobowych nr [...] utrzymującą w mocy decyzję GIODO z dnia [...] listopada 2014 r. Pełnomocnik wskazał, że zaskarżona decyzja doręczona Spółce nie zawiera daty wydania. Zaskarżając decyzję GIODO w całości pełnomocnik zarzucił:
1. naruszenie przepisów prawa materialnego, a mianowicie:
- naruszenie art. 23 ust 1 pkt 5 w zw. art. 23 ust. 4 pkt 1 u.o.d.o., poprzez błędne przyjęcie, że przetwarzanie danych P. M. przez Spółkę w zakresie objętym postępowaniem, nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych,
- naruszenie art. 23 ust. 4 pkt 1 u.o.d.o., poprzez błędne przyjęcie, że przesłanka zawarta w tym przepisie ma zastosowanie wyłącznie do marketingu własnych produktów lub usług, podczas gdy określony w tym przepisie katalog prawnie usprawiedliwionych celów przetwarzania danych osobowych jest otwarty,
- naruszenie art. 23 ust. 4 pkt 1 u.o.d.o. w zw. z art. 808 k.c., poprzez błędne przyjęcie, że oferowanie przystąpienia do umowy grupowego ubezpieczenia, której stroną jest Spółka [...] nie stanowi marketingu własnych produktów i usług tylko marketing produktów i usług podmiotu trzeciego - ubezpieczyciela ([...]),
- naruszenie art. 23 ust. 1 pkt 5 u.o.d.o. poprzez przyjęcie, że jedyną przesłanką dopuszczającą przetwarzanie danych osobowych w przedmiotowy sposób może być przesłanka wskazana w art. 23 ust. 1 pkt 1 u.o.d.o., tj. zgoda osoby, której dane dotyczą.
2. Naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, a mianowicie:
- art. 107 § 1 pkt. 2 k.p.a., poprzez brak oznaczenia daty wydania zaskarżonej decyzji,
- art. 138 § 1 k.p.a., poprzez utrzymanie decyzji z dnia [...] listopada 2014 r. w mocy, podczas gdy należało ww. decyzję dotkniętą wskazanymi we wniosku o ponowne rozpatrzenie sprawy wadami uchylić i orzec odmiennie co do istoty sprawy, bądź uchylić ww. decyzję i umorzyć postępowanie,
- art. 80 w związku z art. 77 § 1 k.p.a., poprzez brak rozpatrzenia całości materiału dowodowego i dowolne, a nie swobodne dokonanie oceny materiału dowodowego,
co doprowadziło do błędnych wniosków i w konsekwencji wydania nieprawidłowych decyzji administracyjnych,
- art. 107 § 3 k.p.a., poprzez brak wskazania w uzasadnieniu zaskarżonej decyzji przyczyn, dla których organ nie ustosunkował się do części dowodów, a w konsekwencji powodów dla których dowodom odmówił wiarygodności i mocy dowodowej.
Pełnomocnik wniósł o stwierdzenie nieważności zaskarżonej decyzji, jako wydanej
z rażącym naruszeniem prawa, tj. art. 107 § 1 pkt. 2 k.p.a., ewentualnie, w przypadku nie uwzględnienia tego żądania o uchylenie zaskarżonej decyzji oraz poprzedzającej jej decyzji z dnia [...] listopada 2014 r. oraz zasądzenie kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego.
W obszernym uzasadnieniu pełnomocnik przedstawił rozszerzoną argumentację
w zakresie podniesionych zarzutów. Wskazał m.in., że zaskarżona decyzja, która
nie zawiera wszystkich składników określonych w art. 107 § 1 k.p.a. jest decyzją wadliwą prawnie. Oznaczenie bowiem wyłącznie miesiąca i roku wydania decyzji (jak ma to miejsce w niniejszej sprawie), nie jest oznaczeniem daty w rozumieniu art. 107
§ 1 k.p.a. Tymczasem, oznaczenie daty decyzji jest doniosłe chociażby z tego względu, że dla oceny legalności decyzji przez sąd administracyjny miarodajny jest stan prawny
i faktyczny istniejący w dniu wydania decyzji.
Pełnomocnik wskazał też, że organ nie dokonał ponownej analizy sprawy
i w konsekwencji nie wydał własnego rozstrzygnięcia, ale bezkrytycznie przyjął ustalenia organu, będące podstawą wydania decyzji z dnia [...] listopada 2014 r. Podniósł, że organ nie odniósł się do faktu, że Spółka jest stroną umowy ubezpieczenia grupowego "[...]", do treści i sposobu prowadzenia rozmowy telefonicznej, w której proponowano przystąpienie do umowy ubezpieczenia grupowego - co szeroko opisywała Spółka w uzupełnieniu wniosku o ponowne rozpatrzenie sprawy i co zdaniem pełnomocnika przemawia za przyjęciem, że Spółka [...] prowadziła marketing własnego produktu, a nie produktu podmiotu trzeciego. Organ nie wskazał przyczyn, dla których nie ustosunkował się do prowadzonych rozmów telefonicznych w oparciu o skrypt rozmowy "[...]". Organ nie wskazał też, dlaczego dowodom tym odmówił mocy dowodowej - choć z całości materiału i treści zaskarżonej decyzji wynika, że taka odmowa ma miejsce w niniejszej sprawie.
Pełnomocnik wskazał, że bezsporne jest, że w art. 23 ust. 4 u.o.d.o., uznano za cel prawnie usprawiedliwiony w rozumieniu art. 23 ust. 1 pkt 5 marketing bezpośredni własnych produktów lub usług administratora danych.
Powyższe nie oznacza jednak, że niemożliwe jest powołanie się przez administratora danych na to, iż przetwarzanie danych jest niezbędne w celu marketingu bezpośredniego cudzych produktów lub usług (por. M. Stryja, A. Stryja, Teraz zacznie się na dobre, "Rzeczpospolita" z 30 listopada 1999 r.). Administrator danych przetwarzający je w związku z marketingiem cudzych produktów lub usług może powołać się na art. 23 ust. 1 pkt 5, jeżeli nie ma wątpliwości, iż przetwarzanie
nie narusza praw i wolności osoby, której dane dotyczą, a przetwarzanie mieści
się w ramach jego działalności.
Za taką interpretacją przemawia brzmienie art. 32 ust. 1 pkt 8 u.o.d.o.
W przepisie tym jest mowa o celach marketingowych w ogólności, bez ograniczenia do marketingu bezpośredniego własnych produktów lub usług. Jeżeli zatem ustawodawca przyznaje osobie, której dane dotyczą, prawo wniesienia sprzeciwu, gdy administrator danych zamierza je przetwarzać w celach marketingowych w ogóle, to musi być także dopuszczalne przetwarzanie danych w celach marketingowych innych niż marketing bezpośredni własnych produktów lub usług administratora. W przeciwnym razie powyższe zróżnicowanie nie miałoby sensu. W konsekwencji za dopuszczalne należy uznać przesłanie obok informacji marketingowych własnych usług, informacji
o usługach innego podmiotu.
Organ na str. 5 uzasadnienia decyzji przyznaje, że katalog zawarty w art. 23 ust. 4 pkt. 1 jest otwarty. Skoro tak, to art. 23 ust. 1 pkt. 5 w zw. z art. 23 ust. 4 pkt. 1 u.o.d.o., nie zamyka możliwości stosowania marketingu bezpośredniego produktów
i usług podmiotów trzecich. Stosowanie takiego marketingu jest w ocenie [...] dopuszczalne przy poszanowaniu praw i wolności osoby, której dane dotyczą,
a przetwarzanie mieści się w ramach jego działalności.
W ocenie pełnomocnika należy przyjąć, że nawet czysto hipotetycznie zgadzając się z organem, że działania [...] były marketingiem produktów i usług podmiotu trzeciego, to były one dokonywane w ramach prowadzonej działalności, przy poszanowaniu praw i wolności osoby, której dane dotyczą, a zatem działanie takie było dozwolone. Tym niemniej pełnomocnik wskazał, że oferta przystąpienia do ubezpieczenia grupowego "[...]" dla abonentów [...] stanowi produkt własny Spółki [...]. Umowa ubezpieczenia grupowego oparta jest o art. 808 k.c.
W przypadku ubezpieczeń na cudzy rachunek ubezpieczający ubezpiecza cudzy interes majątkowy lub cudze życie, działając jednak we własnym imieniu. W tego typu ubezpieczeniu umowa zawarta pomiędzy ubezpieczycielem a ubezpieczającym kreuje stosunek ubezpieczeniowy pomiędzy ubezpieczycielem a ubezpieczonym - można powiedzieć, że zawarcie takiej umowy tworzy wspólny "nowy produkt / usługę". Uprawnionym do wypłaty odszkodowania jest podmiot niebiorący udziału w umowie. Korzysta jednak w pełnym zakresie z ochrony ubezpieczeniowej udzielonej przez zakład ubezpieczeń na podstawie zawiązanego w ten sposób stosunku prawnego.
Co więcej, zgodnie z treścią art. 808 § 1 KC, wskazanie ubezpieczonego w umowie (polisie) nie jest wymagane. W konsekwencji powyższego, tak stworzony produkt / usługa ubezpieczeniowa, może funkcjonować samodzielnie bez ubezpieczonych.
Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując ustalenia dokonane w zaskarżonej decyzji.
Z akt sprawy wynika, że GIODO postanowieniem z dnia [...] marca 2018 r. sprostował omyłkę pisarską zaistniałą w decyzji GIODO z dnia [...] stycznia
2018 r. (znak: dot. [...]) w ten sposób, że zastąpił
datę wydania decyzji "dnia ... stycznia 2018 r.", datą "dnia [...] stycznia 2018 r." Postanowieniem z dnia [...] lipca 2018 r. Prezes Urzędu Ochrony Danych Osobowych utrzymał w mocy postanowienie z dnia [...] marca 2018 r. Postanowienie to było przedmiotem odrębnej skargi [...] Sp. z o.o.
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 23 listopada 2018 r. sygn. akt II SA/Wa 1590/18 oddalił skargę [...] Sp. z o.o. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2018 r. w przedmiocie sprostowania.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Skarga nie podlegała uwzględnieniu, albowiem zaskarżona i poprzedzająca ją decyzja Generalnego Inspektora Ochrony Danych Osobowych nie naruszają prawa. Wszystkie zarzuty skargi Sąd uznał za niezasadne.
Zaskarżona decyzja Generalnego Inspektora Ochrony Danych Osobowych wydana została w dniu [...] stycznia 2018 r., co potwierdzają akta postępowania administracyjnego, w których znajduje się opatrzony tą datą egzemplarz zaskarżonej decyzji. Nie zachodzi tym samym wątpliwość, co do daty wydania decyzji. Okoliczność, że na egzemplarzu decyzji doręczonej skarżącemu nie wpisano daty dziennej nie stanowi podstawy stwierdzenia nieważności zaskarżonej decyzji. Zarzut rażącego naruszenia art. 107 § 1 pkt 2 k.p.a. nie jest trafny. Nadto, powyższe uchybienie nie ma wpływu na wynik sprawy. Za nietrafne Sąd uznał pozostałe zarzuty naruszenia prawa procesowego, tj. art. 77 § 1 k.p.a., art. 80 k.p.a. i art. 107 § 3 k.p.a. W ocenie Sądu organ ochrony danych osobowych zebrał pełny materiał dowodowy niezbędny do rozpatrzenia i rozstrzygnięcia tej sprawy, dokonał pełnych ustaleń stanu faktycznego i wszechstronnie rozważył materiał dowodowy dokonując prawidłowej jego oceny. Ocena ta nie jest dowolna, znajduje oparcie w materiale dowodowym i znalazła swój wyraz z uzasadnieniu, które odpowiada wymogom prawa. Uzasadnienie decyzji nie pozostawia żadnych wątpliwości co do przyczyn podjętego przez organ rozstrzygnięcia, jak również potwierdza, że organ rozpatrzył cały materiał dowodowy.
Prawidłowe są w tej sprawie ustalenia organu ochrony danych osobowych,
że przedstawienie przez [...] Sp. z o.o. swojemu abonentowi (P. M.) oferty produktu ubezpieczeniowego "[...]" (propozycja przystąpienia do umowy ubezpieczenia grupowego) stanowi marketing produktu innego podmiotu, tj. [...]. Trafnie GIODO stwierdził, że przetwarzanie przez [...] Sp. z o.o. danych osobowych swojego abonenta (P. M., którego dane zgromadzono w celu świadczenia usług telekomunikacyjnych) w celu marketingu przystąpienia do ubezpieczenia "[...]", aby mogło być uznane za legalne, winno odbywać się na podstawie zgody abonenta, tj. na podstawie przesłanki określonej w art. 23 ust. 1 pkt 1 u.o.d.o. Zgodnie z tym przepisem, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Organ ustalił, że [...] Sp. z o.o. wykonując (za pośrednictwem pracownika [...] Sp. z o.o. - będącego jednocześnie agentem ubezpieczeniowym [...]) połączenie telefoniczne w celu przedstawienia propozycji przystąpienia do ubezpieczenia grupowego, nie posiadała zgody abonenta. Zaznaczył to zresztą sam abonent P. M. we wniosku inicjującym postępowanie przed GIODO.
Podstawą tego prawidłowego ustalenia GIODO było trafne stwierdzenie na podstawie całości materiału dowodowego sprawy, że proponowany abonentowi telekomunikacyjnemu produkt nie jest produktem własnym administratora danych, tj. [...] Sp. z o.o., z którą to Spółką P. M. ma zawartą umowę o świadczenie usług telekomunikacyjnych, ale jest produktem innego podmiotu, tj. Spółki [...].
Podnoszona przez Skarżącą Spółę [...] okoliczność, że [...] Sp. z o.o. zawarła z [...] Spółka Akcyjna umowę z dnia [...] marca 2014 r. grupowego ubezpieczenia na Życie oraz ubezpieczenia od następstw nieszczęśliwego wypadku dla klientów [...] Sp. z o.o. "[...]" nr [...] oraz współpracy w zakresie obsługi ubezpieczenia, potwierdza tylko, że w tym przypadku mamy do czynienia z produktem (usługą) [...]. Nie można mówić o produkcie własnym, czy usłudze własnej [...] w sytuacji, gdy ochrony ubezpieczeniowej udziela [...]. Także okoliczność,
że [...] będzie ubezpieczającym i uprawnionym w pierwszej kolejności do otrzymania świadczenia ubezpieczeniowego, co wynika wprost ze wskazanej umowy, potwierdza, że oferowany produkt, usługa nie jest produktem (usługą) własną Spółki [...]. Podniesiona w skardze kwestia obowiązków [...], w sytuacji, gdy abonent przystąpi już do umowy grupowego ubezpieczenia, nie zmienia stanowiska Sądu w tej sprawie, albowiem kwestie te pozostają bez wpływu na ustalenia dokonywane w stanie faktycznym niniejszej sprawy, tj. gdy abonent nie jest "ubezpieczonym" w rozumieniu art. 808 k.c. Nadto, sam przepis art. 808 k.c., na który Spółka [...] powołała się w skardze i na który powoływała się w toku postępowania administracyjnego, także potwierdza ustalenia GIODO. Przepis ten stanowi, że ubezpieczający może zawrzeć umowę ubezpieczenia na cudzy rachunek. Ubezpieczony może nie być imiennie wskazany w umowie, chyba że jest to konieczne do określenia przedmiotu ubezpieczenia (§ 1 art. 808 k.c.). Ubezpieczony jest uprawniony do żądania należnego świadczenia bezpośrednio od ubezpieczyciela, chyba że strony uzgodniły inaczej; jednakże uzgodnienie takie nie może zostać dokonane, jeżeli wypadek już zaszedł (art. 808 § 3 k.c.). Z przepisów tych nie wynika w żaden sposób, że w sprawie tej mamy do czynienia z produktem (usługą) własną [...], albowiem, sam ten podmiot zawarł umowę ubezpieczenia z ubezpieczycielem. Nadto, w umowie, na którą powołuje się skarżąca Spółka zawarty jest § zatytułowany "Wynagrodzenie Ubezpieczającego", stąd też trafne są twierdzenia GIODO, że działania marketingowe, o których mowa w sprawie prowadzone są wobec abonenta telekomunikacyjnego w interesie [...] "z racji potencjalnych korzyści finansowych [...] wynikających z zawartej w dniu [...] marca 2014 r. Umowy (...).
W sprawie niniejszej GIODO nie stwierdził, że operator telekomunikacyjny [...] nie może zawrzeć umowy ubezpieczenia na cudzy rachunek na podstawie art. 808 k.c. Organ ochrony danych osobowych stwierdził jedynie – i w ocenie Sądu zasadnie –
że przedstawianie swojemu abonentowi (P. M.) propozycji przystąpienia do umowy grupowego ubezpieczenia powinno było odbyć się na podstawie zgody abonenta (art. 23 ust. 1 pkt 1 u.o.d.o.). W sprawie tej nie znajduje zastosowania przepis art. 23 ust. 1 pkt 5 u.o.d.o. w zw. z art. 23 ust. 4 u.o.d.o.
W sprawie tej nie zachodzą przy tym przesłanki określone w art. 23 ust. 1 pkt 2, 3 i 4 u.o.d.o., co nie było kwestionowane i w ocenie Sądu to ustalenie GIODO nie budzi żadnych wątpliwości.
Odnosząc się do przepisu art. 23 ust. 1 pkt 5 u.o.d.o. w zw. z art. 23 ust. 4 u.o.d.o., który w ocenie skarżącego [...] miałby stanowić podstawę prawną marketingu produktu [...], tj. produktu innego podmiotu niż administrator danych ([...]), co wskazano już wyżej, Sąd stwierdził, że stanowisko [...] nie jest trafne.
Zgodnie z art. 23 ust. 1 pkt 5 u.o.d.o. przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Stosownie zaś do art. 23 ust. 4 u.o.d.o., za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5 uważa się w szczególności:1) marketing bezpośredni własnych produktów i usług administratora danych; 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Biorąc pod uwagę, że w tym przypadku, w odniesieniu do działania marketingowego [...] wystosowanego wobec abonenta P. M., nie mieliśmy do czynienia z marketingiem własnych produktów i usług administratora danych (t.j. Spółki [...]), co Sąd wskazał już wyżej uznając za trafne ustalenia GIODO, rozważyć należało, czy pomimo tego nie znajdował w tym przypadku zastosowania art. 23 ust. 1 pkt 5 u.o.d.o., albowiem katalog usprawiedliwionego celu ujęty w ust. 4 art. 23 u.o.d.o. nie ma charakteru zamkniętego. Dokonując ustaleń w tym zakresie Sąd stwierdził, że w sprawie tej nie można mówić o prawnie usprawiedliwionym celu (innym niż wymieniony w ust. 4 art. 23), który mógłby stanowić podstawę legalności działania wymienionej Spółki zakwestionowanego przez P. M. przed GIODO i będącego przedmiotem tej konkretnej sprawy. Ustawodawca stanowi w tym przepisie o niezbędności przetwarzania danych dla wypełnienia celu "prawnie usprawiedliwionego" realizowanego przez administratora danych. Spółka [...] w skardze do Sądu podnosi
w tym aspekcie, że działania były dokonywane "w ramach prowadzonej działalności", dodaje przy tym, że "przy poszanowaniu praw i wolności osoby, której dane dotyczą". Zauważyć jednak należy, że brak działań Spółki [...] (marketingowych, o których mowa w sprawie) wobec swojego abonenta P. M. nie stanowiłby i nie stanowił żadnej przeszkody w prowadzeniu przez [...] działalności gospodarczej, co potwierdza na gruncie tej sprawy fakt zawarcia przez [...] ze Spółką [...] umowy z dnia [...] marca 2014 r. a także sama treść art. 808 § 1 k.c. Przetwarzanie zatem przez [...] danych osobowych P. M. w celu marketingowym, o którym mowa w decyzji GIODO nie było niezbędne dla administratora danych ([...]) w prowadzonej działalności gospodarczej w rozumieniu art. 23 ust. 1 pkt 4 u.o.d.o. Nadto, ustawodawca wymaga jednocześnie, aby to przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczą (abonenta P. M.). Pamiętać należy, że administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2. (art. 26 ust. 1 pkt 2 u.o.d.o.). Stosownie do art. 26 ust. 2 u.o.d.o., przetwarzanie danych w innym celu niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: 1) w celu badań naukowych, dydaktycznych, historycznych lub statystycznych; 2) z zachowaniem przepisów art. 23 i 25. Wykładni art. 23 ust. 1 pkt 4 u.o.d.o. nie można dokonywać w oderwaniu m.in. od przepisu art. 26 u.o.d.o. Tym bardziej nie sposób wyprowadzić wniosku, że działanie marketingowe [...] wobec własnego abonenta czyli przetwarzanie ich w celu innym niż ten, dla którego dane zgromadzono, albowiem w związku z promocją produktu (usługi) innego podmiotu, było niezbędne [...] w ramach prowadzonej działalności i nie naruszało praw
i wolności abonenta P. M., który zwrócił się do GIODO w tej sprawie. Zgodnie z art. 1 ust. 2 u.o.d.o. przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. Dobro administratora danych – Spółki [...] ze względu na możliwą do osiągnięcia korzyść finansową – poprzez przetwarzanie danych osobowych abonenta w innym celu niż ten, dla którego dane zgromadzono, na skutek marketingu produktu (usługi) innego podmiotu – nie przeważa w tej sprawie (nie jest nadrzędne) nad dobrem abonenta (P. M.), który kwestionuje wykorzystanie swoich danych w ten sposób przez Spółkę [...] bez jego uprzedniej zgody. Pamiętać należy, że prawo do prywatności statuowane w art. 47 Konstytucji RP zagwarantowane jest m.in. w aspekcie właśnie ochrony danych osobowych przewidzianej w art. 51 Konstytucji RP.
Nie jest też trafna argumentacja skarżącego odwołująca się do art. 32 ust. 1 pkt 8 u.o.d.o. Przepis ten stanowi jednoznacznie, że każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych,
a zwłaszcza prawo do wniesienia sprzeciwu wobec przetwarzania jej danych
w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi. Nie może budzić wątpliwości, że w przepisie tym jest mowa o prawie wniesienia sprzeciwu w tych przypadkach, gdy dane osobowe przetwarzane są przez administratora legalnie na wskazanej podstawie prawnej, czyli na podstawie art. 23 ust. 1 pkt 4 i 5 u.o.d.o. Z sytuacją taką nie mamy do czynienia w niniejszej sprawie, albowiem jak już wykazano to wyżej przepis art. 23 ust. 1 pkt 4 nie stanowił podstawy prawnej przetwarzania przez [...] danych osobowych P. M. w celu marketingu produktów i usług [...]. Dane wymienionego abonenta mogły być zatem przetwarzane w ten sposób wyłącznie na podstawie jego zgody.
Z tych wszystkich względów Sąd stwierdził, że zaskarżona i poprzedzająca ją decyzja Generalnego Inspektora Ochrony Danych Osobowych odpowiadają prawu.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2018 r., poz. 1302 ze zm.), orzekł jak w wyroku.