II SA/Wa 772/23

II SA/Wa 772/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-01-29
orzeczenie prawomocne
Data wpływu
2023-04-18
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Izabela Głowacka-Klimas
Łukasz Krzycki /przewodniczący/
Mateusz Rogala /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U.UE.L 2016 nr 119 poz 1 art. 6 ust. 1 lit. f, art. 6 ust. 1 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2023 poz 1634
art. 145 par. 1 pkt 1 lit. a
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Łukasz Krzycki, Sędzia WSA Izabela Głowacka-Klimas, Asesor WSA Mateusz Rogala (spr.), Protokolant specjalista, Monika Gieroń, po rozpoznaniu na rozprawie w dniu 29 stycznia 2024 r. sprawy ze skargi [...] S.A. z siedzibą w P. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję, 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] S.A. z siedzibą w P. kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania.
Uzasadnienie
Zaskarżoną do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzją z dnia [...] lutego 2023 r. nr [...] Prezes Urzędu Ochrony Danych Osobowych, działając m.in. na podstawie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. a) i b) oraz art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, powoływanego dalej jako rozporządzenie nr 2016/679), udzielił [...] S.A. z siedzibą w P. upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. a) i b) rozporządzenia nr 2016/679 polegające na przetwarzaniu danych osobowych T. U., w tym jego imienia i nazwiska, adresu poczty elektronicznej oraz numeru NIP, w celu przesyłania drogą elektroniczną informacji o nieistniejących zaległościach w płatnościach za karty [...], bez podstawy prawnej.
W uzasadnieniu swojego rozstrzygnięcia organ podał, że w dniu 20 marca
2019 r. T. U. wniósł skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A.
W toku postępowania wnioskodawca oświadczył, że korzysta z usług spółki, za które rozlicza się z nią za pośrednictwem kart [...], za pomocą polecenia zapłaty. Spółka przetwarza jego dane, w tym imię i nazwisko, adres poczty elektronicznej oraz numer NIP, w celu przesyłania mu drogą elektroniczną informacji o zaległościach w płatnościach za karty [...], które nie istnieją. Skarżący wskazał, że w dniu [...] stycznia 2016 r. zwrócił się do spółki z wnioskiem o wyjaśnienie tej sytuacji i otrzymał odpowiedź, że spółka nie zaprzestanie przesyłania mu kwestionowanej korespondencji, ponieważ jest ona generowana przez system o godzinie, która może rozmijać się z zaksięgowaną kwotą lub klient może nie posiadać wystarczających środków na koncie z wyrażoną zgodą na obciążenie rachunku.
Na wezwanie organu spółka wyjaśniła natomiast, że pozyskała dane osobowe wnioskodawcy w dniu [...] kwietnia 2015 r. w zakresie imienia, nazwiska, adresu, w tym adresu prowadzenia działalności gospodarczej oraz jej nazwy, adresu poczty elektronicznej, numeru NIP, numeru PESEL, numeru VAT-UE, numeru REGON, numeru rachunku bankowego oraz numeru rejestracyjnego pojazdu, w związku z zawarciem umowy o wydanie i używanie kart [...]. Spółka oświadczyła, że aktualnie przetwarza dane strony na podstawie: art. 6 ust. 1 lit. b) rozporządzenia nr 2016/679 w celu wykonania zawartej umowy, art. 6 ust. 1 lit. c) rozporządzenia nr 2016/679 w celu wypełnienia obowiązków prawnych związanych z płaceniem podatków, prowadzeniem księgowości i rachunkowości oraz art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 w celu realizacji prawnie usprawiedliwionego interesu spółki.
W wyjaśnieniach z dnia [...] lutego 2020 r. spółka oświadczyła, że przesyłane do stronie elektroniczne powiadomienia dotyczyły zaległości w płatnościach, które nie występowały. Spółka wskazała, że nie otrzymała od wnioskodawcy wiadomości, w której wyraziłby on sprzeciw wobec przetwarzania jego danych osobowych, w tym na przesyłanie mu wiadomości elektronicznych, zaś prowadzona z nim korespondencja wskazuje na kwestionowanie przez niego zbyt wczesnego przesyłania wiadomości przypominających o zaległych płatnościach, co spółka zakwalifikowała jako reklamację.
Spółka oświadczyła ponadto, że podjęła działania techniczne i organizacyjne, aby nie dochodziło do nieprawidłowości w zakresie przetwarzania adresu poczty elektronicznej skarżącego w celu przesyłania mu przypomnienia o zaległych płatnościach. Ograniczyła także przetwarzanie adresu poczty elektronicznej skarżącego w tych celach do czasu przyjęcia procedur mających na celu opóźnienie terminów wysyłania wiadomości elektronicznych informujących użytkowników kart [...], rozliczających się za pomocą polecenia zapłaty, o zaległych płatnościach tak, żeby nie dochodziło do sytuacji, w której przypomnienia wysyłane są do osób, które terminowo dokonały płatności.
W dalszej części uzasadnienia swojego rozstrzygnięcia organ wyjaśnił, że przetwarzanie przez [...] S.A. danych osobowych T. U., w tym jego adresu poczty elektronicznej na podstawie art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 w związku z realizacją prawnie uzasadnionych interesów administratora, nie znajduje uzasadnienia. Zebrany materiał dowodowy wykazał bowiem, że wnioskodawca nie zalegał, ani nie zalega z opłatami za korzystanie z usług spółki, ponieważ każdorazowo dokonywał ich w terminie z uwagi na aktywną usługę polecenia zapłaty.
Ponadto, zdaniem organu, spółka dokonując ww. procesu przetwarzania danych skarżącego naruszyła art. 5 ust. 1 lit. a) rozporządzenia nr 2016/679, zgodnie z którym dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą oraz art. 5 ust. 1 lit. b) rozporządzenia nr 2016/679, który stanowi, że dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Spółka nie miała podstawy prawnej do przetwarzania danych skarżącego w zakresie i w sposób objęty jego skargą, a w prowadzonej z nim korespondencji elektronicznej dotyczącej kwestionowanego procesu nie wskazała mu istnienia konkretnych przesłanek, które uprawniałyby ją do ww. czynności, ani precyzyjnie nie wyjaśniła, dlaczego ten proces w doniesieniu do jego osoby ma miejsce. Organ podniósł, że T. U. dokonywał płatności terminowo, nie miał natomiast wpływu na mechanizm obsługi płatniczej spółki, który powodował przetwarzanie jego danych bez podstawy prawnej.
Biorąc pod uwagę przedstawione okoliczności organ uznał za uzasadnione udzielenie spółce upomnienia w związku ze stwierdzony naruszeniem.
[...] S.A. wniósł na powyższą decyzję skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, zaskarżając ją w całości i wnosząc o jej uchylenie w całości oraz o zasądzenie kosztów postępowania.
Strona skarżąca zarzuciła zaskarżonej decyzji naruszenie:
1. prawa materialnego, tj. art. 6 ust. 1 w zw. z art. 58 ust. 2 lit. b) rozporządzenia nr 2016/679 poprzez ich błędną wykładnię polegającą na uznaniu, że każde nienależyte wykonanie umowy lub uchybienie w obsłudze klienta stanowi również naruszenie przepisów rozporządzenia nr 2016/679 i w konsekwencji uznanie, że spółka nie legitymowała się podstawą prawną do przetwarzania danych osobowych T. U., co skutkowało nałożeniem na skarżącą upomnienia, podczas gdy spółka legitymowała się podstawą do przetwarzania danych osobowych T. U. wynikającą z art. 6 ust. 1 lit. b) oraz art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 dla celu przesyłania mu drogą elektroniczną informacji o zaległościach w płatnościach za karty [...];
2. prawa materialnego, tj. art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 poprzez jego błędną wykładnię polegającą na uznaniu, że przedsiębiorca posiada prawnie uzasadniony interes w przetwarzaniu danych tylko w przypadku zgłoszenia konkretnego roszczenia do podmiotu, którego dane dotyczą, podczas gdy zgodnie z prawidłową wykładnią tego przepisu, jeśli strony łączy umowa, sama możliwość powstania roszczenia powoduje, że przedsiębiorca posiada prawnie uzasadniony interes w przetwarzaniu danych osobowych;
3. przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 107 § 3 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2022 r., poz. 2000 ze zm., powoływanej dalej jako k.p.a.), polegające na niedostatecznym i niepełnym uzasadnieniu decyzji poprzez brak dokładnego uzasadnienia, dlaczego i w jaki sposób spółka dopuściła się rzekomego naruszenia zasad wyrażonych w art. 5 ust. 1 lit. a) i b) rozporządzenia nr 2016/679.
W uzasadnieniu skargi skarżąca podniosła, że kluczowym błędem organu było uznanie, że nieprawidłowości w obsłudze klienta są równoznaczne z przetwarzaniem danych osobowych bez podstawy prawnej i tym samym naruszeniem przepisów rozporządzenia nr 2016/679. Spółka przetwarzała dane osobowe T. U. na podstawie art. 6 ust. 1 lit. b) rozporządzenia nr 2016/679 w celu wykonania umowy, której stroną jest T. U. oraz na podstawie art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 w celu obsługi, dochodzenia i obrony roszczeń w razie zaistnienia wzajemnych wierzytelności oraz dla celów kontaktowych w przypadku, gdy istnieją uzasadnione wątpliwości, że płatność została naliczona za niedokonane faktycznie zakupy towarów lub usług, w tym w związku z brakiem/błędnym opłaceniem transakcji dokonanej na stacji paliw z użyciem kart [...].
Skarżąca wskazała, że w niniejszej sprawie korespondencja między nią a T. U. dotyczyła wyłącznie wykonywania umowy. Tymczasem organ całkowicie pominął w treści decyzji analizę przetwarzania przez spółkę danych osoby, której dane dotyczą w oparciu o art. 6 ust. 1 lit. b) rozporządzenia nr 2016/679. Skarżąca podkreśliła, że dochodzenie przez nią wynagrodzenia od podmiotu danych pozostawało w bezpośrednim związku z realizacją przez spółkę jej świadczenia wobec osoby, której dane dotyczą.
W ocenie skarżącej, wyrażone w uzasadnieniu zaskarżonej decyzji stanowisko może prowadzić do sytuacji, w której przedsiębiorca za każde naruszenie umowy czy niewłaściwą obsługę klienta zostanie ukarany przez Prezesa UODO. Tymczasem sprawy związane z nienależytym wykonaniem zobowiązania czy naruszeniem dóbr osobistych, tj. prawa do prywatności, należą do właściwości sądów cywilnych.
Spółka podniosła, że należy oddzielić kwestię przetwarzania danych osobowych regulowaną przepisami rozporządzenia nr 2016/679 od postępowań reklamacyjnych podlegających wewnętrznym regulacjom administratora, przepisom prawa cywilnego, w tym, w niektórych przypadkach prawa ochrony konsumentów. Nawet jeśli każde postępowanie reklamacyjne pośrednio dotyczy przetwarzania danych osobowych - gdyż z wykonywaniem umowy czy obsługą zgłoszenia reklamacyjnego wiąże się przetwarzanie danych osobowych - nie oznacza to automatycznie, że doszło do naruszenia przepisów rozporządzenia nr 2016/679.
Skarżąca zwróciła również uwagę, że fakt, iż ewentualne roszczenie było niezasadne, ponieważ środki płatnicze znajdowały się na rachunku klienta i zostały pobrane przez spółkę stanowi kwestię cywilnoprawną, która nie jest objęta właściwością organu.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
W piśmie procesowym z dnia 16 stycznia 2024 r. skarżąca podtrzymała swoją dotychczasową argumentację przedstawioną w sprawie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga zasługuje na uwzględnienie, choć nie wszystkie podniesione w niej zarzuty są trafne.
Należy podkreślić, że stan faktyczny tej sprawy nie jest w istocie przedmiotem sporu. Nie budzi bowiem wątpliwości i nie jest kwestionowane przez żadną ze stron postępowania, że w czasie, kiedy doszło do zdarzenia będącego przedmiotem skargi T. U. z dnia 20 marca 2019 r., tj. wysyłania mu za pomocą poczty elektronicznej informacji o zaległościach w płatnościach, T. U. był stroną umowy zawartej ze skarżącą w dniu [...] kwietnia 2015 r. o wydanie i używanie kart [...] (k. 32 akt administracyjnych).
Nie jest również sporne, że T. U. otrzymywał od skarżącej spółki informacje dotyczące niezaksięgowania przez skarżącą płatności pomimo regulowania tychże płatności za pomocą złożonego w banku polecenia zapłaty.
Istota sprawy sprowadza się natomiast do ustalenia, czy skarżąca przetwarzała dane strony w sposób zgodny z prawem, tj. innymi słowy, czy istniała określona w art. 6 ust. 1 rozporządzenia nr 2016/679 podstawa prawna do przetwarzania tych danych przez spółkę.
Sąd rozpoznający niniejszą sprawę podziela w tym zakresie stanowisko strony skarżącej, że taką podstawę prawną stanowił w tej sprawie art. 6 ust. 1 lit. b) rozporządzenia nr 2016/679. W stanie faktycznym tej sprawy przetwarzanie danych osobowych T. U. przez spółkę [...] służyło bowiem wykonaniu łączącej strony umowy o wydanie i użytkowanie kart [...]. Zgodnie zaś z art. 6 ust. 1 lit. b) rozporządzenia nr 2016/679, przetwarzanie jest zgodne z prawem, gdy - i w takim zakresie, w jakim - przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Jednym z elementów łączącej strony w tej sprawie umowy było niewątpliwie zobowiązanie do terminowego regulowania należności. Natomiast działania podejmowane przez strony umowy w celu wyegzekwowania zobowiązań umownych. niezależnie od ich racjonalności, mieszczą się z całą pewnością w zakresie pojęcia wykonania umowy, o którym mowa w art. 6 ust. 1 lit. b) rozporządzenia nr 2016/679.
Tymczasem organ w uzasadnieniu zaskarżonej decyzji – na co zasadnie zwróciła uwagę strona skarżąca – w ogóle nie odniósł się do wystąpienia w tej sprawie omawianej przesłanki uprawniającej skarżącą do przetwarzania danych T. U. tj. wykonania umowy w rozumieniu art. 6 ust. 1 lit. b) rozporządzenia nr 2016/679. Zdaniem Sądu, taka przesłanka w niniejszej sprawie wystąpiła, bowiem przesyłanie wnioskodawcy korespondencji dotyczącej ewentualnie nieuregulowanych płatności miało bezpośredni związek z wykonywaniem łączącej strony umowy z dnia [...] kwietnia 2015 r. Nie należy natomiast do kompetencji organu, a także sądu administracyjnego, dokonywanie oceny racjonalności i prawidłowości działań gospodarczych podejmowanych przez kontrahentów umów cywilnoprawnych, o ile działania takie mieszczą się w ramach wykonywania umowy (tak jak miało to miejsce w niniejszej sprawie). W szczególności zaś organ ochrony danych osobowych nie ma kompetencji do wypowiadania się w kwestii istnienia bądź nieistnienia należności wynikających z umowy cywilnoprawnej. Tymczasem w uzasadnieniu zaskarżonej decyzji organ zdaje się przesądzać, że T. U. "nie zalegał ani nie zalega z opłatami za korzystanie z usług Spółki". Tego rodzaju ocena znacznie wykracza poza uprawnienia przyznane organowi na mocy art. 58 rozporządzenia nr 2016/679.
Należy ponadto zwrócić uwagę, że w istocie będąca przedmiotem sporu korespondencja nie była, jak określił to organ w sentencji zaskarżonej decyzji "informacją o nieistniejących zaległościach w płatnościach". Jak wynika z wydruku wiadomości przesłanej pocztą elektroniczną (k. 36 akt administracyjnych), skarżąca informowała jedynie swojego klienta, że do dnia wysłania wiadomości nie odnotowano wpłaty należności i wskazywała na konsekwencje nieuregulowania należności w terminie. Tego rodzaju informacja nie jest natomiast tożsama z informacją o istniejącej zaległości. W ocenie Sądu, cel przesyłania stronie umowy takiej informacji jest bezpośrednio związany z wykonywaniem umowy, służąc zapewnieniu opłacaniu należności przez klientów bez zaległości, co w konsekwencji oznacza, że skarżąca miała podstawę do przetwarzania danych osobowych uczestnika postępowania w omawianym zakresie, a podstawy tej zasadnie upatruje przede wszystkim w treści art. 6 ust. 1 lit. b) rozporządzenia nr 2016/679. W konsekwencji Sąd uznał za zasadny zarzut postawiony w pkt II ppkt 1 petitum skargi, co skutkowało jej uwzględnieniem.
Odnosząc się natomiast do twierdzenia skarżącej, że przetwarzanie danych osobowych T. U. było także uzasadnione możliwością powstania w przyszłości roszczeń z umowy, Sąd w składzie rozpoznającym niniejszą sprawę, tego stanowiska nie podziela. Jak podkreśla się w orzecznictwie sądów administracyjnych, przesłanka z art. 6 ust 1 lit. f) rozporządzenia nr 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych, przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych (por. wyroki: Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 12 lipca 2017 r. sygn. akt II SA/Wa 2221/16, Naczelnego Sądu Administracyjnego z dnia 27 sierpnia 2019 r. sygn. akt I OSK 2567/17, Naczelnego Sądu Administracyjnego z dnia 6 marca 2019 r. sygn. akt I OSK 994/17, publ.: orzeczenia.nsa.gov.pl). W niniejszej sprawie skarżąca nie powołała się na żadne istniejące w chwili zdarzenia lub w chwili wydawania decyzji roszczenia wynikające z łączącej strony umowy. Z tej przyczyny Sąd stwierdził, że sama możliwość powstania roszczenia w związku z umową nie powoduje, że skarżąca posiada prawnie uzasadniony interes w przetwarzaniu danych osobowych uczestnika postępowania na podstawie art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679. Zarzut postawiony w pkt II ppkt 2 petitum skargi okazał się więc niezasadny.
Konkludując, należy stwierdzić, że w związku tym, iż skarżąca przetwarzała dane osobowe T. U. w sposób zgodny z prawem, a także rzetelnie i przejrzyście dla osoby, której dane dotyczą; zaś zbieranie tych danych nastąpiło w konkretnych, wyraźnych i prawnie uzasadnionych celach, a dane nie były przetwarzane dalej w sposób niezgodny z tymi celami, Sąd stwierdził, że w niniejszej sprawie organ niezasadnie stwierdził naruszenie art. 5 ust. 1 lit. a) i b) rozporządzenia nr 2016/679, a udzielając w związku z tym skarżącej upomnienia naruszył powołane przepisy prawa materialnego.
Biorąc wszystkie powyższe okoliczności pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a) ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z
2023 r., poz. 1634 ze zm.), orzekł jak w pkt 1 sentencji.
W zakresie kosztów postępowania Sąd w pkt 2 sentencji orzekł na podstawie art. 200 i art. 205 § 2 tej ustawy w zw. z § 14 ust. 1 pkt 1 lit. c) rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz. U. z 2023 r., poz. 1935), zasądzając od organu na rzecz strony skarżącej kwotę 697 zł, na którą składa się wynagrodzenie pełnomocnika skarżącej w kwocie 480 zł, wpis sądowy od wniesionej skargi w wysokości 200 zł oraz 17 zł uiszczonej opłaty skarbowej od pełnomocnictwa.