II SA/Wa 828/23

II SA/Wa 828/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-02-05
orzeczenie nieprawomocne
Data wpływu
2023-04-28
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Wieczorek
Ewa Radziszewska-Krupa /przewodniczący/
Izabela Głowacka-Klimas /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2022 poz 1648
art. art. 172 ust. 1, 174
Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. art. 5 ust. 1 lit. a), 6 ust. 1 lit. f)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa, Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Andrzej Wieczorek, , Protokolant referent Beata Kowalska, , po rozpoznaniu na rozprawie w dniu 5 lutego 2024 r. sprawy ze skargi Banku [...] S.A. w [...] z siedzibą w [...] na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO, organ) decyzją z [...] lutego 2023 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U.
z 2022 r. poz. 2000 ze zm.; dalej "Kpa."), w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781; dalej "u.o.d.o."), art. 6 ust. 1 i art. 58 ust. 2 lit. b oraz art. 6 ust. 1 lit. f, 21 ust. 2 i 3, art. 28 ust. 3 oraz art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119 z 4.05.2016, str. 1, Dz.Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz.Urz. UE L 74 z 4.03.2021, str. 35; dalej RODO), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana M.W. (dalej także uczestnik), zam. w K. przy
ul. J., na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank [...] w [...] S.A. z siedzibą w [...] przy
ul. [...] (dalej: Bank, skarżący), polegające na udostępnieniu jego danych osobowych innym podmiotom bez podstawy prawnej, w tym do celów marketingowych, udzielił upomnienia Bankowi za naruszenie art. 6 ust. 1 RODO, polegające na przetwarzaniu w dniu [...] września 2021 r. danych osobowych Pana M.W. na potrzeby marketingu bezpośredniego z wykorzystaniem telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących, bez podstawy prawnej, w pozostałym zakresie odmówił uwzględnienia wniosku.
Wydaniu powyższej decyzji towarzyszył następujący stan sprawy.
Do Prezesa UODO wpłynęła skarga uczestnika na nieprawidłowości
w procesie przetwarzania jego danych osobowych przez Bank, polegające
na udostępnieniu tych danych osobowych innym podmiotom bez podstawy prawnej, w tym do celów marketingowych.
Jak wynika z treści skargi oraz pisma z [...] października 2021 r., uczestnik wielokrotnie otrzymywał telefony od firmy, która twierdziła, że działa w imieniu Banku. Osoby dzwoniące żądały podania daty jego urodzenia w celu zweryfikowania jego osoby. Po zgłoszeniu sprawy do Banku, uczestnik otrzymał informację, że numer telefonu, z którego zostało wykonane połączenie, należy do firmy T. sp. z o.o. s.k.a. (dalej spółka), która świadczy usługi na rzecz Banku, na podstawie zawartej umowy. Wskazał, że nie udzielał zgody na podejmowanie wobec niego działań marketingowych przez Bank oraz przekazywanie jego danych innym podmiotom. Wobec powyższego zwrócił się do Banku ze sprzeciwem wobec otrzymywania ofert marketingowych drogą telefoniczną i zadał pytanie, które z jego danych i na jakiej podstawie zostały przekazane ww. spółce. Zażądał, aby spółka skutecznie usunęła wszelkie jego dane, jednocześnie zwrócił się o wskazanie, czy i którym innym zewnętrznym podmiotom Bank udostępnił jego dane osobowe. Stwierdził, że Bank nie miał podstaw by udostępniać jego dane osobowe innym podmiotom, w zakresie marketingu.
W piśmie z [...] listopada 2021 r. Bank wskazał, że pozyskał dane osobowe uczestnika [...] listopada 2001 r. w związku z zawarciem z nim umowy o produkt bankowy. Wyjaśnił, że uczestnik posiada obecnie w Banku również inne aktywne produkty bankowe. Bank przetwarza dane uczestnika w zakresie: imienia, nazwiska, daty urodzenia, numeru PESEL, adresu zamieszkania, stanu cywilnego, informacji dotyczących zatrudnienia oraz prowadzonej działalności gospodarczej, informacji
o dochodach, numeru telefonu.
Bank wskazał, że udostępnił i powierzył przetwarzanie danych osobowych uczestnika spółce. Wyjaśnił, tu cyt. "(...) powierzył przetwarzanie danych osobowych Skarżącego w zakresie obsługi telefonicznej Klientów Banku do T. Sp. z o.o. S.K.A., która przetwarza dane na zlecenie oraz na podstawie Umowy Ramowej zawartej przez Bank w dniu [...] marca 2013 r. ("Umowa Ramowa") oraz aneksu nr [...]
z dnia [...] kwietnia 2018 r. do Umowy Ramowej, stanowiącego umowę powierzenia przetwarzania danych osobowych, jak również aneksu nr [...] z dnia [...] maja 2020 r. do Umowy Ramowej oraz aneksu nr [...] z dnia [...] maja 2020 r. do Umowy Ramowej, modyfikujące postanowienia w zakresie powierzenia przetwarzania danych osobowych." Bank wyjaśnił również, że przekazał spółce dane osobowe uczestnika
w zakresie: imienia, nazwiska, numeru PESEL, daty urodzenia, numeru i serii dowodu osobistego, numeru telefonu, danych dotyczących produktów bankowych. Uznał, że jego działanie znajduje oparcie w przepisach art. 6a ust. 1 pkt 1, art. 104 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2021 r.
poz. 2439; dalej ustawa - Prawo bankowe), oraz art. 28 w zw. z art. 6 ust. 1 lit. f RODO. Ponadto Bank wskazał, że poza spółką dane uczestnika zostały udostępnione następującym podmiotom w celu realizacji działań marketingowych Banku polegających na pośrednictwie w sprzedaży produktów bankowych,
a mianowicie: O. S.A. (ul. R., [...]) - zakres danych obejmował: imię i nazwisko uczestnika, dane teleadresowe, pesel, nazwisko panieńskie matki/hasło, dane o zatrudnieniu, informacja o posiadanych w Banku produktach, D. Sp. z o.o. (ul. M., [...]) - zakres danych obejmował: imię i nazwisko uczestnika, dane teleadresowe, pesel, nazwisko panieńskie matki/hasło, dane o zatrudnieniu, dane dotyczące dokumentu tożsamości, informację o posiadanych w Banku produktach, dane transakcyjne
i rozliczeniowe.
Jak wynika z wyjaśnień Banku z [...] kwietnia 2022 r., pozyskał on zgodę uczestnika na przetwarzanie jego danych osobowych w celach marketingowych oraz zgodę na otrzymywanie za pośrednictwem środków komunikacji elektronicznej informacji handlowych w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2020 r. poz. 344; dalej ustawa o świadczeniu usług elektronicznych). Zgody te zostały pozyskane [...] kwietnia 2011 r. w związku
z wnioskiem uczestnika o zawarcie umowy rachunków bankowych. Uczestnik zaznaczył wówczas zgodę o treści: "Wyrażam zgodę na otrzymywanie
za pośrednictwem środków komunikacji elektronicznej informacji dotyczących prowadzonych dla mnie przez Bank rachunków oraz informacji handlowych w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2002 r. Nr 144, poz. 1204), dotyczących produktów i usług oferowanych przez Bank oraz przez podmioty współpracujące z Bankiem w trakcie trwania Umowy, w przypadku jej niezawarcia albo po jej rozwiązaniu, wygaśnięciu lub odstąpieniu od niej."
Bank wskazał również, że w dniu [...] września 2021 r. podczas kontaktu telefonicznego z uczestnikiem podjętego na zlecenie Banku przez spółkę, odmówił on prowadzenia rozmowy z przedstawicielem spółki już na jej wstępnym etapie, gdy został poproszony o informacje niezbędne do weryfikacji tożsamości, przez co ww. zgoda nie została pozyskana. Z tego względu nie doszło również podczas tej rozmowy do przekazania uczestnikowi informacji marketingowych o ofercie Banku. Jednocześnie Bank wskazał, że działanie podjęte wobec uczestnika przez spółkę
w imieniu Banku, które stanowi przedmiot skargi (tj. zainicjowanie kontaktu telefonicznego w celu przedstawienia oferty produktów Banku w trakcie trwania umowy), nastąpiło nie na podstawie zgody uczestnika na przetwarzanie danych osobowych w celach marketingowych, a na podstawie art. 6 ust. 1 lit. f RODO,
tj. prawnie uzasadnionego interesu realizowanego przez Bank jako administratora danych. Przetwarzanie danych uczestnika w oparciu o tę przesłankę było realizowane przez Bank do [...] września 2021 r., czyli do dnia, gdy został wniesiony przez niego sprzeciw wobec otrzymywania informacji o ofertach marketingowych drogą telefoniczną.
Bank podał, że [...] września 2021 r. wpłynął sprzeciw uczestnika wobec przetwarzania danych osobowych oraz dostępu do informacji dotyczących danych osobowych. Bank niezwłocznie, tj. tego samego dnia, zastosował się do żądania
w zakresie sprzeciwu wobec otrzymywania ofert marketingowych drogą telefoniczną
i zarejestrował sprzeciw wobec przetwarzania danych osobowych uczestnika w tym zakresie. W dniu [...] października 2021 r. uczestnik otrzymał odpowiedź Banku, informującą o uwzględnieniu jego żądania.
W uzasadnieniu wymienionej na wstępie decyzji Prezes UODO wyjaśnił, że RODO określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek w nim określonych. Przepisem uprawniającym administratorów danych do przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Każda
z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, ponieważ proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa
i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych,
w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).
Ponadto, zgodnie z motywem 47 RODO podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach
z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania. Za działanie wykonywane
w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.
Dalej organ wskazał, że niezależnie od regulacji z zakresu ochrony danych osobowych, kwestię prowadzenia marketingu bezpośredniego przy wykorzystaniu połączeń i wiadomości telefonicznych reguluje także ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2022 r. poz. 1648; dalej "Pt."). Zgodnie z art. 172 ust. 1 Pt. zakazane jest używanie telekomunikacyjnych urządzeń końcowych
i automatycznych systemów wywołujących dla celów marketingu bezpośredniego lub przesyłania niezamówionej informacji handlowej w rozumieniu ustawy o świadczeniu usług elektronicznych, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. W poprzednim brzmieniu, obowiązującym w dniu, w którym doszło
do kontaktu spółki z uczestnikiem, przepis powyższy stanowił, iż zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Stosownie natomiast do art. 174 Pt., do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy
o ochronie danych osobowych, a zatem między innymi art. 4 pkt 11 RODO, zgodnie z którym "zgoda" osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą,
w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Powyższy przepis uzależnia zatem możliwość prowadzenia marketingu bezpośredniego oraz przesyłania informacji handlowej od uzyskania odpowiedniej zgody w tym zakresie.
Jak podał Prezes UODO, z ustalonego w niniejszej sprawie stanu faktycznego wynika, że Bank przetwarza dane osobowe uczestnika na podstawie zawartych umów o produkty bankowe, w związku z wykonywaniem tych umów. Ponadto
z materiału dowodowego zgromadzonego w niniejszej sprawie wynika, że Bank przetwarzał dane osobowe w związku z istnieniem prawnie uzasadnionego interesu Banku, którym było prowadzenie marketingu bezpośredniego wobec uczestnika,
co znajduje, co do zasady, uzasadnienie w przesłance z art. 6 ust. 1 lit. f RODO. Jednakże przy wykorzystaniu połączeń i wiadomości telefonicznych do prowadzenia marketingu bezpośredniego Bank miał dodatkowo obowiązek uzyskania
od uczestnika uprzedniej zgody, o której mowa w art. 172 ust. 1 Pt. Przy czym nie była to zgoda, o której mowa w art. 6 ust. 1 lit. a RODO, tylko zgoda, o której mowa
w powołanym wyżej przepisie Pt., której pozyskanie było niezbędne do legalnego używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, a zatem do legalnego prowadzenia wobec uczestnika marketingu bezpośredniego poprzez kanał komunikacji, jakim jest kontakt telefoniczny. Materiał dowodowy zebrany w sprawie wskazuje, że uczestnik [...] kwietnia 2011 r. wyraził zgodę na prowadzenie wobec niego marketingu bezpośredniego oraz na otrzymywanie za pośrednictwem środków komunikacji elektronicznej informacji handlowych w rozumieniu ustawy
o świadczeniu usług elektronicznych, natomiast nie wyraził zgody na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, o której mowa w ww. przepisach Pt..
Organ stwierdził, że [...] września 2021 r. spółka działająca w imieniu Banku, wykonała połączenie telefoniczne do uczestnika w celu przedstawienia mu oferty marketingowej, pomimo, że nie wyraził on zgody na takie działanie w rozumieniu
art. 172 ust. 1 Pt. Na dzień realizacji kampanii marketingowej przez spółkę w imieniu Banku, tj. [...] września 2021 r., Bank nie dysponował zgodą uczestnika na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego. Tym samym, w ocenie organu, nie można uznać, że istniał uzasadniony prawnie interes Banku, o którym mowa
w art. 6 ust. 1 lit. f RODO, który byłby nadrzędny nad interesem uczestnika, celem realizacji którego niezbędne było przetwarzanie jego danych osobowych na potrzeby marketingu bezpośredniego telefonicznym kanałem kontaktu. Uczestnik nie wyraził zgody na takie działanie, czemu dał wyraz w skardze inicjującej postępowanie przed Prezesem UODO. Wobec powyższego po jego stronie nie zachodziły rozsądne przesłanki, by spodziewać się, że jego dane osobowe mogą być przetwarzane przez Bank w celu marketingu bezpośredniego prowadzonego drogą telefoniczną. Bank nie mógł zatem przetwarzać danych osobowych uczestnika w celach marketingowych
z wykorzystaniem telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących w oparciu o art. 6 ust. 1 lit. f RODO. Odnośnie do tego procesu nie zachodziła także żadna inna przesłanka legalizująca spośród wskazanych w art. 6 ust. 1 RODO.
Odnosząc się do zarzutu dotyczącego udostępnienia przez Bank danych osobowych uczestnika innym podmiotom, Prezes UODO wskazał, że Bank powierzył przetwarzanie tych danych na rzecz spółki oraz O. S.A. i D. Sp. z o.o. Wyjaśnił, że stosownie do art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało przewidziane prawem wymogi i chroniło prawa osób, których dane dotyczą. Zgodnie zaś z art. 28 ust. 3 RODO przetwarzanie danych osobowych przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Zgromadzony materiał dowodowy wykazał zatem, zdaniem organu, że przekazanie danych osobowych uczestnika
ww. podmiotom przez Bank nastąpiło zgodnie z przepisami prawa, gdyż podmioty
te przetwarzały dane uczestnika w imieniu administratora, tj. Banku, co nie wymagało uzyskania uprzedniej zgody uczestnika. Ponadto zgodnie z art. 6a ust. 1 pkt 1 ustawy - Prawo bankowe, Bank może, w drodze umowy zawartej na piśmie, powierzyć przedsiębiorcy lub przedsiębiorcy zagranicznemu, z zastrzeżeniem art. 6d, wykonywanie w imieniu i na rzecz banku pośrednictwa w zakresie czynności wymienionych w art. 5 i 6, polegającego na wykonywaniu czynności opisanych w tym przepisie. Natomiast na podstawie art. 104 ust. 2 pkt 2 ustawy - Prawo bankowe, zgodnie z którym obowiązek zachowania tajemnicy bankowej nie dotyczy przypadków, w których: następuje ujawnienie informacji objętych tajemnicą bankową przedsiębiorcom lub przedsiębiorcom zagranicznym, a) którym bank, zgodnie z art. 6a ust. 1 i art. 6b-6d, powierzył wykonywanie, stale lub okresowo, czynności związanych z działalnością bankową, b) którym powierzono wykonywanie czynności zgodnie z art. 6a ust. 7, c) którym powierzono wykonywanie czynności zgodnie z art. 149 ustawy z dnia 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji - w zakresie niezbędnym do należytego wykonywania tych czynności.
Zdaniem Prezesa UODO w ustalonym stanie sprawy, udostępnienie danych osobowych uczestnika ww. spółkom, działającym w imieniu Banku, dokonane zostało na podstawie w art. 6 ust. 1 lit. f RODO, bowiem podmioty te współpracowały
z Bankiem w celu realizacji działań marketingowych Banku polegających
na pośrednictwie w sprzedaży produktów bankowych. Powyższe odbyło się
na podstawie zawartych umów powierzenia przetwarzania danych osobowych,
co znajduje prawne uzasadnienie w art. 28 ust. 3 RODO. Powierzenie to znajdowało podstawy prawne również w art. 6a ust. 1 pkt 1 oraz 104 ust. 2 pkt 2 ustawy - Prawo bankowe. Wspomniane podmioty mogły realizować prawnie uzasadniony interes Banku jakim jest marketing jego produktów wobec uczestnika, jednakże
z pominięciem telefonicznego kanału kontaktu, na który uczestnik nie wyraził zgody.
Prezes UODO wskazał, że zgodnie z art. 21 ust. 2 i 3 RODO, jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu,
w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów. Uczestnik [...] września 2021 r. złożył sprzeciw wobec przetwarzania jego danych osobowych w celach marketingowych przez Bank, zaś Bank zaprzestał przetwarzania jego danych dla celów marketingu bezpośredniego jeszcze tego samego dnia, o czym poinformował uczestnika.
Organ podniósł, że decyzje Prezesa UODO służą przywróceniu stanu zgodnego z prawem na podstawie art. 58 ust. 2 lit. b RODO między innymi poprzez udzielenie upomnienia administratorowi lub podmiotowi przetwarzającemu
w przypadku naruszenia przepisów RODO przez operację przetwarzania. Prezes UODO uznał, że w niniejszej sprawie właściwe jest zastosowanie wobec Banku upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych,
tj. art. 6 ust. 1 RODO, wobec braku podstaw Banku do przetwarzania danych osobowych uczestnika dla celów marketingu bezpośredniego z wykorzystaniem telefonicznego kanału kontaktu w dniu [...] września 2021 r. W pozostałym zakresie stwierdził brak podstaw do uwzględnienia żądania, ponieważ Bank zastosował się
do złożonego przez uczestnika sprzeciwu i obecnie nie przetwarza jego danych osobowych w tym celu, a tym samym kwestionowany proces przetwarzania danych osobowych nie jest obecnie kontynuowany.
W ocenie organu nie ma podstaw do stwierdzenia, że dane osobowe uczestnika zostały udostępniane spółce i pozostałym podmiotom w sposób niezgodny z RODO. Do [...] września 2021 r. Bank mógł podejmować wobec uczestnika działania marketingowe, z wyłączeniem wykorzystywania w tym celu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących. Zatem udostępnienie przez Bank danych osobowych uczestnika
w celu prowadzenia działań marketingowych - z wyłączeniem stosowania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących - było procesem legalnym w oparciu o przesłankę z art. 6 ust. 1 lit. f RODO oraz spełnienie warunków z art. 28 ust. 3 RODO. Wobec powyższego odmówiono uwzględnienia skargi w tym zakresie.
Bank, reprezentowany przez radcę prawnego, wywiódł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na wskazaną na wstępie decyzję Prezesa UODO z [...] lutego 2023 r., zaskarżając ją w zakresie punktu pierwszego,
tj. udzielenia Bankowi upomnienia za naruszenie art. 6 ust. 1 RODO, polegające
na przetwarzaniu w dniu [...] września 2021 r. danych osobowych uczestnika
na potrzeby marketingu bezpośredniego z wykorzystywaniem telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących, bez podstawy prawnej.
Zaskarżonej decyzji zarzucił naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. f RODO w związku z motywem 47 preambuły do RODO, poprzez ich niewłaściwe zastosowanie, polegające na uznaniu, że Bank nie legitymuje się przesłanką (podstawą prawną) przetwarzania danych osobowych do celów marketingu bezpośredniego, wynikającą z tego przepisu
(w związku ze wskazanym motywem), podczas gdy pomiędzy Bankiem
a uczestnikiem (jako klientem Banku) istnieje istotny i odpowiedni rodzaj powiązania, a co więcej, powyższy przepis w związku z uzupełniającym go motywem wprost dopuszcza możliwość przetwarzania danych osobowych przez administratora (Bank) na podstawie prawnie uzasadnionego interesu w celu realizacji marketingu bezpośredniego, bez względu na wykorzystywany kanał (środek) komunikacji.
Zdaniem skarżącego powyższe naruszenie wpłynęło na rozstrzygnięcie organu i doprowadziło do błędnego przyjęcia, że Bank nie legitymował się podstawą prawną (przesłanką) przetwarzania danych osobowych uczestnika w celu realizacji
w dniu [...] września 2021 r. wobec uczestnika, jako swego klienta, działań stanowiących marketing bezpośredni z wykorzystywaniem telekomunikacyjnych urządzeń końcowych.
Ponadto skarżący zarzucił naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.:
a) art. 34 ust. 2 i art. 60 u.o.d.o. w związku z art. 51 ust. 1 RODO oraz art. 55
ust. 1 RODO w związku z art. 172 ust. 1 Pt. w związku z art. 192 Pt. w związku
z art. 209 ust. 1 pkt 25 Pt., poprzez ich błędną wykładnię i niewłaściwe zastosowanie, a w rezultacie przyjęcie, że Prezes UODO jest organem właściwym w zakresie oceny zgodności działania skarżącego z wymogami wynikającymi z przepisów Pt., stanowiących implementację do krajowego porządku prawnego przepisów dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dalej jako "Dyrektywa o prywatności i łączności elektronicznej"),
w szczególności oceny zgodności z art. 172 ust. 1 Pt., pomimo że przepisy te pozostają poza właściwością (kompetencją) działania Prezesa UODO,
b) art. 7b Kpa. w związku z art. 7 Kpa., poprzez zaniechanie przez Prezesa UODO współdziałania z Prezesem Urzędu Komunikacji Elektronicznej (dalej jako "Prezes UKE"), który to Prezes UKE jest organem właściwym do interpretacji, stosowania oraz egzekwowania przepisów Pt. stanowiących implementację do krajowego porządku prawnego przepisów Dyrektywy o prywatności i łączności elektronicznej (w tym art. 172 ust. 1 Pt.); pomimo że dla dokładnego wyjaśnienia stanu faktycznego i prawnego istotnego dla rozstrzygnięcia sprawy konieczne było współdziałanie Prezesa UODO z Prezesem UKE, czego Prezes UODO nie uczynił,
a co doprowadziło w szczególności do uznania, że Bank zastosował wobec uczestnika automatyczne systemy wywołujące/automatyczny system wywołujący (wbrew stanowi faktycznemu) oraz nie legitymował się podstawą prawną
do prowadzenia tego rodzaju bezpośredniej komunikacji marketingowej,
c) art. 7, art. 77 § 1 oraz art. 80 Kpa., poprzez brak wnikliwego
i wszechstronnego wyjaśnienia stanu faktycznego sprawy i rozważenia całokształtu zebranego materiału oraz zbadania wszystkich okoliczności istotnych dla prawidłowego rozstrzygnięcia sprawy, wbrew zasadzie prowadzenia postępowania
w sposób budzący zaufanie strony do organów władzy publicznej, a to poprzez błędne przyjęcie w sposób sprzeczny z materiałem dowodowym zgromadzonym
w sprawie, że Bank zastosował wobec uczestnika automatyczne systemy wywołujące (automatyczny system wywołujący), pomimo że organ nie zbadał czy takie systemy (system) były stosowane (był stosowany) przez Bank w celu realizacji marketingu bezpośredniego, a ani uczestnik ani Bank w żadnym z pism skierowanych do organu nie wskazywali, że Bank takie systemy (system) stosuje,
a w szczególności nie wskazywali, że Bank zastosował automatyczny system wywołujący wobec uczestnika w dniu [...] września 2021 r.
- w konsekwencji powyższych uchybień, doszło do wydania skarżonej decyzji
w oparciu o błędne założenia natury faktycznej i prawnej oraz dokonanie niepełnych
i nieprecyzyjnych zarazem ustaleń w zakresie korzystania przez skarżącego
z określonych systemów umożliwiających realizację komunikacji określonym kanałem komunikacji oraz braku legitymowania się przez skarżącego niezbędną podstawą prawną (przesłanką) do prowadzenia tego rodzaju komunikacji, podczas gdy prawidłowa ocena zebranego w sprawie materiału dowodowego powinna doprowadzić organ do wniosku, że Bank nie korzystał z automatycznych systemów wywołujących oraz nie dopuścił się naruszenia przepisów prawa,
d) art. 107 § 1 pkt 4 oraz pkt 5 Kpa. w związku z art. 107 § 3 Kpa. w związku
z art. 8, art. 11 oraz art. 80 Kpa. poprzez:
(i) brak wyjaśnienia, dlaczego Prezes UODO uznał za istotny dla rozstrzygnięcia sprawy art. 172 ust. 1 Pt. (i dlaczego zawarł w swym rozstrzygnięciu elementy tej normy prawnej oraz powołał się na ten przepis w uzasadnieniu decyzji), skoro zakres kompetencji Prezesa UODO uniemożliwia dokonywanie oceny zgodności zachowania skarżącego z przepisem art. 172 ust. 1 Pt.,
(ii) nieprawidłowe sformułowanie rozstrzygnięcia decyzji wskazujące jedynie
w sposób generalny, że doszło do naruszenia art. 6 ust. 1 RODO, nie wskazując, jednakże konkretnej jednostki redakcyjnej (litery tego ustępu), tj. konkretnej podstawy prawnej (przesłanki) przetwarzania danych osobowych, uniemożliwiając tym samym jednoznaczne wskazanie i stwierdzenie, który konkretnie przepis (wymóg prawny) został zdaniem organu naruszony przez Bank,
(iii) sformułowanie uzasadnienia zaskarżanej decyzji, z którego nie wynika, jakie dokładnie fakty zostały przez organ uznane za udowodnione, na jakich dowodach oparł się organ, a także jakie podstawy prawne organ zastosował w skarżonej decyzji,
(iv) dokonanie nieuprawnionego "skrótu myślowego", łączącego brak wyrażenia zgody (wymaganej przez przepis art. 172 ust. 1 Pt.) z brakiem legitymowania się podstawą przetwarzania danych osobowych w postaci prawnie uzasadnionego interesu administratora (Banku), o której mowa w art. 6 ust. 1 lit. f RODO,
(v) brak uzasadnienia przez organ wyboru upomnienia jako zastosowanego
w sprawie środka naprawczego, z pominięciem kryteriów ujętych w motywie 148 preambuły do RODO,
co miało istotny wpływ na wynik sprawy wobec w szczególności ograniczenia się przez organ do arbitralnego stwierdzenia, że Bank przetwarzał dane osobowe uczestnika na potrzeby marketingu bezpośredniego z wykorzystywaniem telekomunikacyjnych urządzeń końcowych oraz automatycznych systemów wywołujących, bez podstawy prawnej
- a w konsekwencji uniemożliwienie jednoznacznej oceny motywów, jakimi kierował się organ przy wydaniu decyzji oraz przeprowadzenia kontroli poprawności
i spójności wywodu i rozumowania organu oraz rzetelnego zaskarżenia decyzji.
W oparciu o powyższe zarzuty skarżący wniósł o uchylenie decyzji
w zaskarżonej części, tj. w zakresie punktu pierwszego decyzji.
W obszernym uzasadnieniu skargi skarżący rozwinął argumentację sformułowaną na rzecz postawionych w niej zarzutów.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.
W piśmie procesowym z [...] czerwca 2023 r. skarżący podtrzymał w całości wszystkie twierdzenia, zarzuty i wnioski zawarte w skardze oraz przedstawił dodatkową argumentację, odnosząc się do stanowiska organu przedstawionego
w odpowiedzi na skargę.
Zdaniem skarżącego podniesione w odpowiedzi na skargę twierdzenia ukazują brak zrozumienia przez organ zagadnienia telemarketingu, nieprawidłowe łączenie dwóch odrębnych regulacji prawnych (oraz wynikających z nich przesłanek), nieprawidłowe zastosowanie przesłanki prawnie uzasadnionego interesu i w dużej mierze stanowią one powtórzenie wyjaśnień zawartych w uzasadnieniu zaskarżonej decyzji. Ponadto, argumentacja przedstawiona przez organ w odpowiedzi na skargę odnosi się jedynie do wybranych kwestii spornych, bez dokładnego wyjaśnienia
w szczególności zagadnienia telemarketingu (z uwzględnieniem różnych jego etapów), kwestii właściwości organu do oceny zagadnienia regulowanego przepisami ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, jak również wyboru upomnienia jako zastosowanego w sprawie środka naprawczego. Co istotne,
w ocenie skarżącego, organ nie odwołuje się do Opinii 5/2019 wydanej przez EROD, pomimo jej niezwykle ważnego znaczenia dla zrozumienia kluczowych dla sprawy zagadnień (m.in. w kontekście wkroczenia przez Prezesa UODO w kompetencje innego organu administracji publicznej, tj. Prezesa UKE).
Skarżący zwrócił uwagę między innymi na nieuprawniony "zabieg" organu polegający na utożsamianiu braku wyrażenia przez uczestnika zgody
na prowadzenie marketingu bezpośredniego przy użyciu telekomunikacyjnych urządzeń końcowych (a więc zgody wymaganej przepisami Pt.) z brakiem występowania po stronie Banku prawnie uzasadnionego interesu, jako podstawy przetwarzania danych osobowych (wymaganej przepisami RODO). Jest to założenie nie mające żadnego uzasadnienia w przepisach prawa, w szczególności
w przepisach RODO. Jak stwierdził skarżący, idąc tokiem rozumowania organu należałoby uznać, że wyłącznie fakt wyrażenia zgody (wymaganej w dodatku
na podstawie odrębnej regulacji) oznacza występowanie prawnie uzasadnionego interesu, natomiast w odmiennym scenariuszu (tj. przy braku takiej zgody) interes taki po stronie administratora danych nie występuje. To w efekcie prowadziłoby do osłabienia znaczenia przesłanki prawnie uzasadnionego interesu, którego podstawowym (i w zasadzie jedynym, według rozumowania prezentowanego przez organ) warunkiem jest dysponowanie stosowną zgodą. Taka zależność nie jest jednak w żaden sposób uprawniona, tak jak nie zasługuje na akceptację rozumowanie organu prowadzące do wykazanego tu automatyzmu, deprecjonujące znaczenie przesłanki prawnie uzasadnionego interesu.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 ustawy z 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz.U. z 2022 r. poz. 2492 ze zm.), Sąd sprawuje wymiar sprawiedliwości poprzez kontrolę działalności administracji publicznej pod względem zgodności z prawem (legalności). Kontrola sądów administracyjnych ogranicza się zatem do zbadania, czy organy administracji w toku rozpoznawanej sprawy nie naruszyły prawa w sposób przewidziany w przepisach art. 145 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2023 r. poz. 1634 ze zm.; dalej p.p.s.a.).
Badając sprawę według powyższych kryteriów uznać należy, że skarga nie zasługuje na uwzględnienie.
Przedmiotem zaskarżenia objęty jest pkt 1 decyzji dotyczący udzielenia Bankowi upomnienia za naruszenie art. 6 ust. 1 RODO, polegające na przetwarzaniu danych osobowych uczestnika na potrzeby marketingu bezpośredniego
z wykorzystaniem telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących, bez podstawy prawnej. Zarzuty skargi koncentrują się
w głównej mierze na błędnym uznaniu jakoby po stronie Banku brak było podstawy przetwarzania danych osobowych uczestnika w celu realizacji wobec niego działań stanowiących marketing bezpośredni z wykorzystaniem telekomunikacyjnych urządzeń końcowych. Zmierzają do wykazania błędnie ustalonego stanu faktycznego, gdy prawidłowa ocena zebranego w niniejszej sprawie materiału dowodowego winna, w ocenie skarżącego, prowadzić do wniosku, że Bank nie korzystał z automatycznych systemów wywołujących. Przedmiotem zainteresowania Sądu pozostaje zatem, czy w badanej sprawie doszło do naruszenia zasad zgodnego z prawem przetwarzania danych osobowych, skutkującego zastosowaniem wobec Banku sankcji w postaci upomnienia.
Stwierdzenie, że przetwarzanie danych osobowych uczestnika odbywało się dla celów marketingu bezpośredniego ma o tyle istotne znaczenie, że zgodnie
z art. 6 ust. 1 lit. f RODO, przetwarzanie jest zgodne z prawem, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych,
w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. W świetle natomiast motywu 47 zd. 6 RODO, za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.
Jak dostrzegła Europejska Rada Ochrony Danych Osobowych w Opinii Rady do Spraw Ochrony Danych Osobowych z 12 marca 2019 r. nr 5/2019 w sprawie wzajemnej zależności między dyrektywą Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. nr 2002/58/WE dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dz. U. UE. L. z 2002 r. Nr 201,
str. 37 ze zm.; "dyrektywa 2002/58") a RODO, organy ochrony danych posiadają właściwość do przeprowadzenia kontroli podzbiorów przetwarzania podlegających przepisom krajowym transponującym dyrektywę o prywatności i łączności elektronicznej tylko wtedy, gdy prawo krajowe stanowi, że należy to do ich właściwości. Niemniej jednak, sam fakt, że podzbiór przetwarzania wchodzi w zakres dyrektywy o prywatności i łączności elektronicznej nie ogranicza właściwości organów ochrony danych na podstawie RODO (str. 22 i str. 26 powołanej Opinii). Naruszenie przepisów RODO może również stanowić naruszenie krajowych przepisów dotyczących prywatności i łączności elektronicznej. Organ ochrony danych może uwzględnić to faktyczne stwierdzenie naruszenia przepisów dotyczących prywatności i łączności elektronicznej przy stosowaniu RODO (np. oceniając, czy przestrzegano zasady zgodności z prawem lub zasady rzetelności na podstawie art. 5 ust. 1 lit. a) RODO). Wszelkie decyzje w zakresie egzekwowania prawa muszą być jednak uzasadnione na podstawie RODO, chyba że w prawie państwa członkowskiego rozszerzono właściwość organu ochrony danych (str. 24 i str. 26 powołanej Opinii).
Podzielając powyższe stanowisko, należy zaznaczyć, że w świetle dookreślającego i precyzującego przepisy RODO art. 172 ust. 1 Pt., zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Zgodnie z art. 174 Pt.,
do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy
o ochronie danych osobowych.
Skoro zatem używanie telekomunikacyjnych urządzeń końcowych
i automatycznych systemów wywołujących dla celów marketingu bezpośredniego dopuszczalne jest pod warunkiem uprzedniego wyrażenia zgody przez abonenta lub użytkownika końcowego, to brak takiej zgody ze strony uczestnika, powoduje, że nie mógł on mieć rozsądnych przesłanek, by spodziewać się, że może nastąpić przetwarzanie jego danej osobowej w postaci numeru telefonu do tych celów. Co
za tym idzie, skarżący nie był uprawniony do przetwarzania danych osobowych uczestnika w zakresie numeru telefonu w oparciu o art. 6 ust. 1 lit. f RODO. W tym bowiem przypadku nadrzędny charakter nad prawnie uzasadnionym interesem Banku ma prawo uczestnika do ochrony podstawowego prawa – prawa
do prywatności, chronionego przepisem Prawa telekomunikacyjnego implementującym przepisy dyrektywy nr 2002/58.
Jak już wskazano powyżej, zgodnie z art. 172 ust. 1 Pt. zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego lub przesyłania niezamówionej informacji handlowej w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Przy czym, w poprzednim brzmieniu tego przepisu, obowiązującym w dniu, w którym doszło do kontaktu telefonicznego z uczestnikiem, reguła w nim wskazana głosiła, że zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Stosownie natomiast do art. 174 Pt. do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych, a zatem między innymi art. 4 pkt 11 RODO, zgodnie z którym "zgoda" osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome
i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Powyższy przepis uzależnia zatem możliwość prowadzenia marketingu bezpośredniego oraz przesyłania informacji handlowej od uzyskania odpowiedniej zgody w tym zakresie
(por. prawomocny wyrok z dnia 23 marca 2023 r. sygn. akt II SA/Wa 2219/22, dostępne na stronie internetowej orzeczenia.nsa.gov.pl/cbo/query - w Centralnej Bazie Orzeczeń Sądów Administracyjnych).
Tymczasem, jak wynika z zebranego materiału dowodowego, uczestnik
[...] kwietnia 2011 r. wyraził zgodę na prowadzenie wobec niego marketingu bezpośredniego oraz na otrzymywanie za pośrednictwem środków komunikacji elektronicznej informacji handlowych w rozumieniu ustawy o świadczeniu usług elektronicznych. Nie wyraził natomiast zgody na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, o której mowa w ww. przepisach Pt. Odróżnić bowiem należy zgodę przewidzianą w RODO od zgody, o której mowa w powołanym wyżej przepisie Pt..
Nie sposób zatem podzielić poglądu skarżącego, że do wydania zaskarżonej decyzji doszło w oparciu o błędne założenia natury faktycznej i prawnej oraz dokonanie niepełnych i nieprecyzyjnych zarazem ustaleń w zakresie korzystania przez skarżącego z systemów umożliwiających realizację komunikacji określonym kanałem komunikacji, skoro udzielona przez uczestnika zgoda obejmowała ściśle określony przez niego zakres przetwarzania danych osobowych w celach marketingowych, w tym na otrzymywanie za pośrednictwem środków komunikacji elektronicznej informacji handlowych w rozumieniu ustawy o świadczeniu usług elektronicznych, nie zaś drogą kontaktu telefonicznego wykonanego przez spółkę
na zlecenie skarżącego. Organ nie mógł w tym stanie sprawy postąpić inaczej, niż dokonać analizy a następnie oceny zdarzenia z [...] września 2021 r. polegającego
na przetwarzaniu danych osobowych uczestnika, wobec braku wyrażenia przez niego zgody, o której mowa w art. 172 ust. 1 Pt., odwołując się do treści tego przepisu, czemu dał wyraz w uzasadnieniu zaskarżonej decyzji.
Wobec braku wspomnianej zgody, po stronie uczestnika nie zachodziły rozsądne przesłanki, dające podstawę do przetwarzania jego danych osobowych przez Bank w celu marketingu bezpośredniego. W tym miejscu podzielić należy pogląd, dotyczący możliwości oparcia się przy przetwarzaniu danych osobowych
o przesłankę z art. 6 ust. 1 lit. f RODO, zgodnie z którym cyt.: "Stosowanie komentowanego przepisu następuje dwuetapowo. (...) oparcie przetwarzania danych osobowych na przepisie art. 6 ust. 1 lit. f wymaga kumulatywnego spełnienia dwóch przesłanek. Po pierwsze, musi występować prawnie uzasadniony interes, który jest realizowany przez administratora lub przez stronę trzecią. Po drugie, niezbędna jest weryfikacja, czy przetwarzanie danych osobowych jest niezbędne dla realizacji celu wynikającego z powyższego interesu. W drugim etapie trzeba natomiast ocenić, czy nie jest spełniona przesłanka o charakterze negatywnym w postaci występowania
w danym stanie faktycznym interesów lub podstawowych praw i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej. W przypadku spełnienia tego warunku nie będzie można powołać się na przepis art. 6 ust. 1 lit. f jako uzasadnienie dla przetwarzania danych osobowych. (...) Analizując natomiast, jakie operacje na danych będą dopuszczalne przy marketingu bezpośrednim, należy pamiętać o przepisach szczególnych, które zawierają bardziej rygorystyczne warunki dopuszczalności jego niektórych form. W aktualnym stanie prawnym są to przykładowo: art. 10 u.ś.u.d.e., który uzależnia możliwość wysyłania informacji handlowych za pomocą środków komunikacji elektronicznej od zgody adresata informacji, oraz art. 172 pr. tek, który zakazuje używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, dopuszczając ich zastosowanie jedynie na podstawie zgody abonenta lub użytkownika końcowego. (...)" (D. Lubasz, W. Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 6.).
Podobnie jak pozostałe przesłanki wymienione w art. 6 ust. 1 RODO,
art. 6 ust. 1 lit. f stanowi przesłankę zgodności z prawem procesu przetwarzania. Tym samym chroni przede wszystkim osobę, której proces ten dotyczy przed nieuprawnionym przetwarzaniem jej danych osobowych. Dane osobowe mogą być zatem wprawdzie przetwarzane do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią i za taki prawnie uzasadniony interes można uznać marketing bezpośredni, ale wyłącznie wówczas, gdy interesy te są nadrzędne nad interesami i prawami osoby, której dane dotyczą. Tymczasem sytuacja taka w niniejszej sprawie nie zachodziła, ponieważ ważąc interesy i podstawowe prawa i wolności osoby, której dane dotyczyły, takie jak chociażby gwarantowane (tak na gruncie prawa europejskiego, Konstytucji RP czy prawa cywilnego) prawo do prywatności, z interesem administratora, który dotyczy
w tym wypadku prowadzenia telefonicznego marketingu bezpośredniego, Prezes UODO zasadnie stwierdził, że to interesy i podstawowe prawa i wolności uczestnika, którego dane dotyczą, są nadrzędne.
Tym samym skarżący przetwarzając dane osobowe uczestnika w celach marketingu bezpośredniego, prowadzonego telefonicznie, nie mógł powoływać się
na przepis art. 6 ust. 1 lit. f RODO. Dane osobowe uczestnika przetwarzane były bowiem w sytuacji, w której nie miał on rozsądnych przesłanek, by spodziewać się takiego ich przetwarzania, zwłaszcza w kontekście braku wyrażenia zgody obejmującej taki charakter marketingu – wykonywanego przez spółkę na zlecenie skarżącego Banku.
Zdaniem Sądu skarżący przetwarzając dane osobowe uczestnika, pozostając w przekonaniu, że miał prawnie uzasadniony interes do przetwarzania tych danych
w celu marketingu bezpośredniego, bez względu na kanał (środek) komunikacji oraz bez zgody udzielonej na podstawie art. 172 ust. 1 Pt., całkowicie pominął kwestię ważenia interesów, której dokonanie z uwagi na brzmienie przepisu art. 6 ust. 1 lit. f RODO jest konieczne. Uwzględniając ważenie interesów skarżący winien dojść
do wniosku, że nie jest prawnie usprawiedliwionym interesem Banku nadrzędnym nad interesami, prawami i wolnościami uczestnika, podejmowanie działań
o charakterze marketingu bezpośredniego przy wykorzystaniu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących w sytuacji, gdy ten nie wyraził na to zgody, wymaganej dla prowadzenia tego rodzaju działań marketingowych przepisami Pt. Skoro uczestnik takiej zgody nie wyraził, to nie spodziewał się (i nie zachodziły ku temu rozsądne przesłanki), że taki marketing wbrew jego woli będzie prowadzony i że będą do tego celu przetwarzane jego dane osobowe.
Powyższą kwestię organ wyłożył wyczerpująco w uzasadnieniu swojej decyzji. Tymczasem skarżący usiłuje udowodnić legalność swych działań, prowadzonych
na danych osobowych uczestnika w całkowitym oderwaniu nie tylko od przepisów Pt., ale przede wszystkim od przepisu art. 6 ust. 1 lit. f RODO, stanowiącego
o konieczności dokonania ważenia interesów, formułując w tym względzie wobec organu zarzut, zgodnie z którym zakres kompetencji organu uniemożliwia dokonywanie oceny zgodności zachowania skarżącego z przepisem art. 172 ust. 1 Pt. Takie stanowisko przeczy wyłożonemu przez Sąd obowiązkowi posiadania przez administratora danych (skarżącego) zgody uczestnika (klienta Banku)
na przetwarzanie jego danych osobowych w ramach marketingu bezpośredniego
przy użyciu kontaktu telefonicznego. Nie ma jednocześnie wpływu na treść rozstrzygnięcia organu zarzut skarżącego, zgodnie z którym wbrew ustalonemu stanowi faktycznemu, Prezes UODO uznał, że Bank zastosował wobec uczestnika automatyczny system wywołujący, bowiem organ jedynie w nawiązaniu do zgody przewidzianej w art. 172 ust. 1 Pt. odniósł się do pełnej treści wspomnianego przepisu, obowiązującej w dniu zdarzenia z [...] września 2021 r., przewidującej sytuacje wymagające rzeczonej zgody.
Jednocześnie zauważyć należy, że w Polsce jedynym właściwym
i wyspecjalizowanym w sprawach dotyczących ochrony danych osobowych organem jest Prezes UODO, który ma status i kompetencje organu nadzorczego określone
w RODO. Z tego względu, Prezes UODO był uprawniony do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych. Co za tym idzie – wbrew twierdzeniom skarżącego – w niniejszym postępowaniu nie doszło do naruszenia art. 7b Kpa., albowiem zgodnie z tym przepisem współdziałanie organów administracji publicznej w toku postępowania następuje w zakresie, w jakim jest to niezbędne do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy. Tymczasem, w niniejszym postępowaniu stan faktyczny, jak i prawny został ustalony i wyczerpująco wyjaśniony w oparciu
o zgromadzony materiał dowodowy, w tym w oparciu o wyjaśnienia uczestnika
i nie powinny zachodzić co do niego wątpliwości, które mogłyby przesądzić
o konieczności podjęcia współdziałania z innymi organami administracji publicznej – w niniejszej sprawie – Prezesem Urzędu Komunikacji Elektronicznej, zwłaszcza
z uwagi na klarowne regulacje prawne obejmujące wyrażenie zgody w procesie przetwarzania danych osobowych uczestnika do celów marketingu bezpośredniego, którego przejawy wykroczyły poza udzieloną przez niego zgodę i stały się podstawą wniesionej do Prezesa UODO skargi.
W świetle powyższego, Prezes UODO trafnie uznał, że skarżący przetwarzał dane osobowe uczestnika bez podstawy prawnej, czym naruszył art. 6 ust. 1 RODO.
Reasumując, kontrola zaskarżonej decyzji w granicach sprawy nie dała podstaw do stwierdzenia, że została ona wydana z naruszeniem przepisów postępowania lub naruszeniem prawa materialnego. Brak jest podstaw do uznania, że w postępowaniu zakończonym wydaniem zaskarżonej decyzji nie wyjaśniono wszystkich kwestii mających wpływ na rozstrzygnięcie sprawy. Materiał dowodowy zgromadzony w toku postępowania zakończonego zaskarżoną decyzją stanowił wystarczającą podstawę do skorzystania przez Prezesa UODO z uprawnień naprawczych przewidzianych w art. 58 ust. 2 lit. b RODO, które przysługują organowi nadzorczemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania. Uzasadnienie zaskarżonej decyzji odpowiada prawu. Zawiera wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, a także wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa. Prezes UODO prawidłowo ustalił, że skarżący przetwarzał dane osobowe uczestnika w ramach marketingu bezpośredniego oraz że przetwarzanie to odbywało się bez podstawy prawnej.
W tym stanie rzeczy Sąd, na podstawie art. 151 p.p.s.a., oddalił skargę.
-----------------------
4