III OSK 1018/21

III OSK 1018/21 - Wyrok NSA
Data orzeczenia
2022-03-31
orzeczenie prawomocne
Data wpływu
2021-01-04
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Dariusz Chaciński /sprawozdawca/
Małgorzata Masternak - Kubiak
Przemysław Szustakiewicz /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
I OSK 596/19 - Postanowienie NSA z 2019-04-12
II SA/Wa 511/18 - Wyrok WSA w Warszawie z 2018-11-23
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych~Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok i przekazano sprawę do ponownego rozpoznania przez Wojewódzki Sąd Administracyjny
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Przemysław Szustakiewicz Sędziowie Sędzia NSA Małgorzata Masternak - Kubiak Sędzia del. WSA Dariusz Chaciński (spr.) po rozpoznaniu w dniu 31 marca 2022 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] Sp. z o.o. z siedzibą w [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 23 listopada 2018 r. sygn. akt II SA/Wa 511/18 w sprawie ze skargi [...] Sp. z o.o. z siedzibą w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2018 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok i przekazuje sprawę Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] Sp. z o.o. w [...] kwotę 440 (czterysta czterdzieści) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 23 listopada 2018 r. II SA/Wa 511/18, oddalił skargę [...] Sp. z o.o. w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z [...] stycznia 2018 r. nr [...],[...] w przedmiocie przetwarzania danych osobowych.
W uzasadnieniu wyroku Sąd I instancji wskazał na następujące okoliczności sprawy.
Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] listopada 2014 r. nr [...],[...], na podstawie art. 12 pkt 2, art. 22 oraz art. 23 ust. 1 pkt 5 i art. 23 ust. 4 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182; dalej: u.o.d.o.), nakazał [...] sp. z o.o. z siedzibą w [...] (zwanej dalej także [...]) przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych P. M. poprzez zaprzestanie przetwarzania jego danych osobowych w celu marketingu produktów i usług [...] S.A. z siedzibą w [...] (zwanego dalej także [...]).
GIODO stwierdził, że przetwarzanie danych osobowych P. M. odbyło się z naruszeniem przepisów ustawy o ochronie danych osobowych. Skarżący nie wyraził bowiem zgody na przetwarzanie jego danych osobowych (art. 23 ust. 1 pkt 1 u.o.d.o.), nie było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 u.o.d.o.), nie było to konieczne do realizacji umowy, której P. M. był stroną, ani niezbędne do podjęcia działań przed zawarciem umowy na żądanie P. M. (art. 23 ust. 1 pkt 3 u.o.d.o.), nie było to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (art. 23 ust. 1 pkt 4 u.o.d.o.), ani nie było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych albo odbiorców danych (art. 23 ust. 1 pkt 5 u.o.d.o.).
Organ stwierdził, że stan faktyczny jednoznacznie wskazuje na prowadzenie przez [...] marketingu produktów i usług podmiotu trzeciego, świadczącego usługi ubezpieczeniowe, tj. [...]. Wskazywany przez [...] argument, że celem takiej oferty jest jedynie promocja własnych produktów i usług nie jest zasadny. Przedmiotowe działania marketingowe prowadzone są w jego interesie jedynie z racji potencjalnych korzyści finansowych [...] wynikających z zawartej [...] marca 2014 r. Umowy Grupowego Ubezpieczenia na Życie oraz Ubezpieczenia od Następstw Nieszczęśliwego Wypadku dla Klientów [...] Sp. z o.o. "[...]". Korzyści z takich działań odnosi także Ubezpieczyciel (tj. [...]), który pozyskując abonentów [...], obejmuje ich ochroną ubezpieczeniową. Bez znaczenia pozostaje fakt, że podmiotem, który prowadzi działania marketingowe wobec P. M. pozostaje operator telekomunikacyjny (także w kwestii promowania usług Ubezpieczyciela), działający przy pomocy Spółki [...], z którą ma podpisaną umowę powierzenia przetwarzania danych osobowych.
GIODO wskazał także, że przesłanka zawarta w art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 1 u.o.d.o. ma zastosowanie wyłącznie do marketingu własnych produktów lub usług. W ocenie GIODO działania podejmowane przez [...] w celu przedstawienia oferty produktowej były przetwarzaniem danych osobowych P. M. w celu marketingu bezpośredniego produktu podmiotu trzeciego ([...]). Przepisy ustawy o ochronie danych osobowych dopuszczają przetwarzanie danych osobowych w takim celu jedynie po uzyskaniu zgody osoby, której dane dotyczą, a postępowanie nie wykazało, aby [...] taką zgodą dysponowała.
[...] sp. z o.o. wniosła o ponowne rozpatrzenie sprawy.
Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] stycznia 2018 r. nr [...],[...], utrzymał w mocy własną decyzję z [...] listopada 2014 r.
[...] Sp. z o.o. z siedzibą w [...] wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Generalnego Inspektora Ochrony Danych Osobowych, zarzucając jej naruszenie:
1. prawa materialnego, a mianowicie:
- art. 23 ust 1 pkt 5 w zw. art. 23 ust. 4 pkt 1 u.o.d.o., poprzez błędne przyjęcie, że przetwarzanie danych P. M. przez Spółkę w zakresie objętym postępowaniem, nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych;
- art. 23 ust. 4 pkt 1 u.o.d.o., poprzez błędne przyjęcie, że przesłanka zawarta w tym przepisie ma zastosowanie wyłącznie do marketingu własnych produktów lub usług, podczas gdy określony w tym przepisie katalog prawnie usprawiedliwionych celów przetwarzania danych osobowych jest otwarty;
- art. 23 ust. 4 pkt 1 u.o.d.o. w zw. z art. 808 k.c., poprzez błędne przyjęcie, że oferowanie przystąpienia do umowy grupowego ubezpieczenia, której stroną jest Spółka [...] nie stanowi marketingu własnych produktów i usług tylko marketing produktów i usług podmiotu trzeciego - ubezpieczyciela ([...]);
- art. 23 ust. 1 pkt 5 u.o.d.o. poprzez przyjęcie, że jedyną przesłanką dopuszczającą przetwarzanie danych osobowych w przedmiotowy sposób może być przesłanka wskazana w art. 23 ust. 1 pkt 1 u.o.d.o., tj. zgoda osoby, której dane dotyczą;
2. przepisów postępowania, które miało istotny wpływ na wynik sprawy, a mianowicie:
- art. 107 § 1 pkt. 2 k.p.a., poprzez brak oznaczenia daty wydania zaskarżonej decyzji;
- art. 138 § 1 k.p.a., poprzez utrzymanie w mocy decyzji z [...] listopada 2014 r., podczas gdy należało ww. decyzję dotkniętą wskazanymi we wniosku o ponowne rozpatrzenie sprawy wadami uchylić i orzec odmiennie co do istoty sprawy, bądź uchylić ww. decyzję i umorzyć postępowanie;
- art. 80 w zw. z art. 77 § 1 k.p.a., poprzez brak rozpatrzenia całości materiału dowodowego i dowolne, a nie swobodne dokonanie oceny materiału dowodowego, co doprowadziło do błędnych wniosków i w konsekwencji wydania nieprawidłowych decyzji administracyjnych;
- art. 107 § 3 k.p.a., poprzez brak wskazania w uzasadnieniu zaskarżonej decyzji przyczyn, dla których organ nie ustosunkował się do części dowodów, a w konsekwencji powodów dla których dowodom odmówił wiarygodności i mocy dowodowej.
Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie.
Ponadto Sąd I instancji zauważył, że z akt sprawy wynika, że GIODO postanowieniem z [...] marca 2018 r. sprostował omyłkę pisarską zaistniałą w decyzji GIODO z [...] stycznia 2018 r. w ten sposób, że zastąpił datę wydania decyzji "dnia ... stycznia 2018 r.", datą "dnia [...] stycznia 2018 r." Postanowieniem z [...] lipca 2018 r. Prezes Urzędu Ochrony Danych Osobowych utrzymał w mocy postanowienie z [...] marca 2018 r. Postanowienie to było przedmiotem odrębnej skargi [...] Sp. z o.o. Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 23 listopada 2018 r. II SA/Wa 1590/18 oddalił skargę [...] Sp. z o.o. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z [...] lipca 2018 r. w przedmiocie sprostowania.
Oddalając skargę wskazanym na wstępie wyrokiem z 23 listopada 2018 r. II SA/Wa 511/18, Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że zarzut rażącego naruszenia art. 107 § 1 pkt 2 k.p.a. nie jest trafny. Nadto, powyższe uchybienie nie ma wpływu na wynik sprawy. Za nietrafne Sąd I instancji uznał pozostałe zarzuty naruszenia prawa procesowego, tj. art. 77 § 1 k.p.a., art. 80 k.p.a. i art. 107 § 3 k.p.a. W ocenie Sądu Wojewódzkiego organ ochrony danych osobowych zebrał pełny materiał dowodowy niezbędny do rozpatrzenia i rozstrzygnięcia tej sprawy, dokonał pełnych ustaleń stanu faktycznego i wszechstronnie rozważył materiał dowodowy dokonując prawidłowej jego oceny.
Prawidłowe są w tej sprawie ustalenia organu ochrony danych osobowych, że przedstawienie przez [...] Sp. z o.o. swojemu abonentowi (P. M.) oferty produktu ubezpieczeniowego "[...]" (propozycja przystąpienia do umowy ubezpieczenia grupowego) stanowi marketing produktu innego podmiotu, tj. [...]. Trafnie GIODO stwierdził, że przetwarzanie przez [...] Sp. z o.o. danych osobowych P. M., którego dane zgromadzono w celu świadczenia usług telekomunikacyjnych, w celu marketingu przystąpienia do ubezpieczenia "[...]", aby mogło być uznane za legalne, winno odbywać się na podstawie zgody abonenta, tj. na podstawie przesłanki określonej w art. 23 ust. 1 pkt 1 u.o.d.o. Zgodnie z tym przepisem, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Organ ustalił, że [...] Sp. z o.o. wykonując (za pośrednictwem pracownika [...] Sp. z o.o. - będącego jednocześnie agentem ubezpieczeniowym [...]) połączenie telefoniczne w celu przedstawienia propozycji przystąpienia do ubezpieczenia grupowego, nie posiadała zgody abonenta. Zaznaczył to zresztą sam abonent P. M. we wniosku inicjującym postępowanie przed GIODO.
Podstawą tego ustalenia GIODO było trafne stwierdzenie, na podstawie całości materiału dowodowego sprawy, że proponowany abonentowi telekomunikacyjnemu produkt nie jest produktem własnym administratora danych, tj. [...] Sp. z o.o., z którą to Spółką P. M. ma zawartą umowę o świadczenie usług telekomunikacyjnych, ale jest produktem innego podmiotu, tj. Spółki [...].
Podnoszona przez [...] okoliczność, że zawarła z [...] Spółka Akcyjna umowę z [...] marca 2014 r. grupowego ubezpieczenia na życie oraz ubezpieczenia od następstw nieszczęśliwego wypadku dla klientów [...] Sp. z o.o. "[...]" nr [...] oraz współpracy w zakresie obsługi ubezpieczenia, potwierdza tylko, że w tym przypadku mamy do czynienia z produktem (usługą) [...]. Nie można mówić o produkcie własnym, czy usłudze własnej [...] w sytuacji, gdy ochrony ubezpieczeniowej udziela [...]. Także okoliczność, że [...] będzie ubezpieczającym i uprawnionym w pierwszej kolejności do otrzymania świadczenia ubezpieczeniowego, co wynika wprost ze wskazanej umowy, potwierdza, że oferowany produkt, usługa nie jest produktem (usługą) własną [...]. Podniesiona w skardze kwestia obowiązków [...], w sytuacji, gdy abonent przystąpi już do umowy grupowego ubezpieczenia, nie zmienia stanowiska Sądu I instancji, albowiem kwestie te pozostają bez wpływu na ustalenia dokonywane w stanie faktycznym niniejszej sprawy, tj. gdy abonent nie jest "ubezpieczonym" w rozumieniu art. 808 k.c. Nadto, sam art. 808 k.c., na który [...] powołała się w skardze i na który powoływała się w toku postępowania administracyjnego, także potwierdza ustalenia GIODO. Przepis ten stanowi, że ubezpieczający może zawrzeć umowę ubezpieczenia na cudzy rachunek. Ubezpieczony może nie być imiennie wskazany w umowie, chyba że jest to konieczne do określenia przedmiotu ubezpieczenia (§ 1 art. 808 k.c.). Ubezpieczony jest uprawniony do żądania należnego świadczenia bezpośrednio od ubezpieczyciela, chyba że strony uzgodniły inaczej; jednakże uzgodnienie takie nie może zostać dokonane, jeżeli wypadek już zaszedł (art. 808 § 3 k.c.). Z przepisów tych nie wynika w żaden sposób, że w sprawie tej mamy do czynienia z produktem (usługą) własną [...], albowiem sam ten podmiot zawarł umowę ubezpieczenia z ubezpieczycielem. Nadto, w umowie, na którą powołuje się skarżąca Spółka zawarty jest § zatytułowany "Wynagrodzenie Ubezpieczającego", stąd też trafne są twierdzenia GIODO, że działania marketingowe, o których mowa w sprawie prowadzone są wobec abonenta telekomunikacyjnego w interesie [...] "z racji potencjalnych korzyści finansowych [...] wynikających z zawartej w dniu [...] marca 2014 r. umowy.
W sprawie niniejszej GIODO nie stwierdził, że operator telekomunikacyjny [...] nie może zawrzeć umowy ubezpieczenia na cudzy rachunek na podstawie art. 808 k.c. Organ ochrony danych osobowych stwierdził jedynie – i w ocenie Sądu I instancji zasadnie – że przedstawianie P. M. propozycji przystąpienia do umowy grupowego ubezpieczenia powinno było odbyć się na podstawie zgody abonenta (art. 23 ust. 1 pkt 1 u.o.d.o.). W sprawie tej nie znajduje zastosowania art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 u.o.d.o. W sprawie tej nie zachodzą przy tym przesłanki określone w art. 23 ust. 1 pkt 2, 3 i 4 u.o.d.o., co nie było kwestionowane i w ocenie Sądu I instancji to ustalenie GIODO nie budzi żadnych wątpliwości.
Odnosząc się do art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 u.o.d.o., który w ocenie skarżącej [...] miałby stanowić podstawę prawną marketingu produktu [...], tj. produktu innego podmiotu niż administrator danych ([...]), co wskazano już wyżej, Sąd I instancji stwierdził, że stanowisko [...] nie jest trafne. Zgodnie z art. 23 ust. 1 pkt 5 u.o.d.o. przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Stosownie zaś do art. 23 ust. 4 u.o.d.o., za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5 uważa się w szczególności: 1) marketing bezpośredni własnych produktów i usług administratora danych; 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Biorąc pod uwagę, że w tym przypadku, w odniesieniu do działania marketingowego [...] wystosowanego wobec abonenta P. M., nie mieliśmy do czynienia z marketingiem własnych produktów i usług administratora danych, rozważyć należało, czy pomimo tego nie znajdował w tym przypadku zastosowania art. 23 ust. 1 pkt 5 u.o.d.o., albowiem katalog usprawiedliwionego celu ujęty w ust. 4 art. 23 u.o.d.o. nie ma charakteru zamkniętego. Dokonując ustaleń w tym zakresie Sąd I instancji stwierdził, że w sprawie tej nie można mówić o prawnie usprawiedliwionym celu (innym niż wymieniony w ust. 4 art. 23), który mógłby stanowić podstawę legalności działania wymienionej Spółki zakwestionowanego przez P. M. przed GIODO i będącego przedmiotem tej konkretnej sprawy. Ustawodawca stanowi w tym przepisie o niezbędności przetwarzania danych dla wypełnienia celu "prawnie usprawiedliwionego" realizowanego przez administratora danych. Spółka [...] w skardze do Sądu podnosi w tym aspekcie, że działania były dokonywane "w ramach prowadzonej działalności", dodaje przy tym, że "przy poszanowaniu praw i wolności osoby, której dane dotyczą". Brak działań [...] (marketingowych, o których mowa w sprawie) wobec swojego abonenta P. M. nie stanowiłby i nie stanowił żadnej przeszkody w prowadzeniu przez [...] działalności gospodarczej, co potwierdza na gruncie tej sprawy fakt zawarcia przez [...] ze Spółką [...] umowy z [...] marca 2014 r. a także sama treść art. 808 § 1 k.c. Przetwarzanie zatem przez [...] danych osobowych P. M. w celu marketingowym, o którym mowa w decyzji GIODO nie było niezbędne dla administratora danych ([...]) w prowadzonej działalności gospodarczej w rozumieniu art. 23 ust. 1 pkt 4 u.o.d.o. Nadto, ustawodawca wymaga jednocześnie, aby to przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczą (P. M.). Administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2. (art. 26 ust. 1 pkt 2 u.o.d.o.). Stosownie do art. 26 ust. 2 u.o.d.o., przetwarzanie danych w innym celu niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: 1) w celu badań naukowych, dydaktycznych, historycznych lub statystycznych; 2) z zachowaniem przepisów art. 23 i 25. Wykładni art. 23 ust. 1 pkt 4 u.o.d.o. nie można dokonywać w oderwaniu m.in. od art. 26 u.o.d.o. Tym bardziej nie sposób wyprowadzić wniosku, że działanie marketingowe [...] wobec własnego abonenta, czyli przetwarzanie ich w celu innym niż ten, dla którego dane zgromadzono, albowiem w związku z promocją produktu (usługi) innego podmiotu, było niezbędne [...] w ramach prowadzonej działalności i nie naruszało praw i wolności abonenta P. M., który zwrócił się do GIODO w tej sprawie. Zgodnie z art. 1 ust. 2 u.o.d.o. przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. Dobro administratora danych – Spółki [...] ze względu na możliwą do osiągnięcia korzyść finansową – poprzez przetwarzanie danych osobowych abonenta w innym celu niż ten, dla którego dane zgromadzono, na skutek marketingu produktu (usługi) innego podmiotu – nie przeważa w tej sprawie (nie jest nadrzędne) nad dobrem abonenta (P. M.), który kwestionuje wykorzystanie swoich danych w ten sposób przez Spółkę [...] bez jego uprzedniej zgody. Pamiętać należy, że prawo do prywatności statuowane w art. 47 Konstytucji RP zagwarantowane jest m.in. w aspekcie właśnie ochrony danych osobowych przewidzianej w art. 51 Konstytucji RP.
Nie jest też trafna argumentacja odwołująca się do art. 32 ust. 1 pkt 8 u.o.d.o. Przepis ten stanowi jednoznacznie, że każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi. Nie może budzić wątpliwości, że w przepisie tym jest mowa o prawie wniesienia sprzeciwu w tych przypadkach, gdy dane osobowe przetwarzane są przez administratora legalnie na wskazanej podstawie prawnej, czyli na podstawie art. 23 ust. 1 pkt 4 i 5 u.o.d.o. Z sytuacją taką nie mamy do czynienia w niniejszej sprawie, albowiem art. 23 ust. 1 pkt 4 nie stanowił podstawy prawnej przetwarzania przez [...] danych osobowych P. M. w celu marketingu produktów i usług [...]. Dane wymienionego abonenta mogły być zatem przetwarzane w ten sposób wyłącznie na podstawie jego zgody.
Z tych wszystkich względów Sąd I instancji stwierdził, że zaskarżona i poprzedzająca ją decyzja Generalnego Inspektora Ochrony Danych Osobowych odpowiadają prawu.
Skargę kasacyjną od powyższego wyroku wniosła [...] Sp. z o.o. w [...]. Zaskarżając wyrok w całości zarzuciła mu naruszenie:
I. prawa materialnego:
1. art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. prawo o ustroju sądów administracyjnych (dalej: "p.u.s.a.") w zw. z art. 151 p.p.s.a. poprzez pominięcie przez Wojewódzki Sąd Administracyjny w procesie kontroli legalności zaskarżonej decyzji i powielenie w procesie orzekania, błędnej wykładni dokonanej przez Generalnego Inspektora Ochrony Danych Osobowych art. 23 ust. 4 pkt 1) u.o.d.o. polegającej na niewłaściwej interpretacji pojęcia "marketingu własnych produktów/usług administratora danych" poprzez objęciem tym pojęciem wyłącznie marketingu takich produktów czy usług, które zostały samodzielnie stworzone przez administratora danych i są przez niego samodzielnie świadczone i oferowane, podczas gdy prawidłowa wykładnia pojęcia "marketing własnych produktów/usług" obejmuje również marketing produktów/usług, które zostały stworzone lub są świadczone również przy współpracy z innym podmiotem, o ile są one oferowane (sprzedawane) przez administratora danych, a zatem pojęcie "własny" odnosi się do produktów i usług oferowanych przez administratora danych, a niekoniecznie do produktów i usług wyłącznie przez niego stworzonych i świadczonych, co skutkowało niezasadnym oddaleniem skargi;
2. art. 1 § 1 i 2 p.u.s.a w zw. z art. 151 p.p.s.a. poprzez pominięcie przez Wojewódzki Sąd Administracyjny w procesie kontroli legalności zaskarżonej decyzji i powielenie w procesie orzekania, błędnej wykładni dokonanej przez Generalnego Inspektora Ochrony Danych Osobowych art. 23 ust. 1 pkt 5) u.o.d.o. polegającej na błędnym przyjęciu, że przetwarzanie danych jest dopuszczalne wyłącznie, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych, w sytuacji gdy art. 23 ust. 1 pkt 5) u.o.d.o. wyraźnie wskazuje na dopuszczalność przetwarzania danych również z uwagi na prawnie usprawiedliwione cele realizowane przez odbiorców danych, a w konsekwencji braku rozważenia przez Wojewódzki Sąd Administracyjny, czy w ustalonym stanie faktycznym istniał usprawiedliwiony cel po stronie potencjalnego odbiorcy danych – [...] S.A. (Ubezpieczyciela), co skutkowało niezasadnym oddaleniem skargi;
II. przepisów postępowania mające istotny wpływ na wynik sprawy, tj.: art. 3 § 1 p.p.s.a. w zw. z art. 151 p.p.s.a. w zw. z art. 141 § 4 p.p.s.a. polegające na tym, że Wojewódzki Sąd Administracyjny w sposób lakoniczny odniósł się do kwestii przeprowadzenia "testu równowagi" polegającego na wyważeniu tego co jest konieczne dla potrzeb wynikających z prawnie uzasadnionych interesów [...] (lub Ubezpieczyciela) z interesami lub prawami podstawowymi i wolnościami abonenta P. M. (w szczególności poprzez całkowite pominięcie uzasadnionych interesów Ubezpieczyciela), w sytuacji gdy kwestia ta ma istotne znaczenia dla rozstrzygnięcia niniejszej sprawy, co skutkowało niezasadnym oddaleniem skargi, a także uniemożliwia w tym zakresie pełną rekonstrukcję procesu myślowego Wojewódzkiego Sądu Administracyjnego pozwalającą na kontrolę instancyjną.
Wobec powyższego strona skarżąca kasacyjnie wniosła o uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi kasacyjnej poprzez uchylenie w całości zaskarżonej decyzji Generalnego Inspektora Ochrony Danych Osobowych oraz decyzji ją poprzedzającej, ewentualnie o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu. Ponadto wniosła o zwrot kosztów postępowania kasacyjnego, w tym kosztów zastępstwa procesowego według norm przepisanych oraz o przeprowadzenie rozprawy.
W odpowiedzi na skargę kasacyjną Prezes Urzędu Ochrony Danych Osobowych wniósł o jej oddalenie.
Naczelny Sąd Administracyjny zważył, co następuje.
Zgodnie z art. 174 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329) – p.p.s.a. – skargę kasacyjną można oprzeć na następujących podstawach: 1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie; 2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy. Naczelny Sąd Administracyjny jest związany podstawami skargi kasacyjnej, albowiem zgodnie z art. 183 § 1 p.p.s.a. rozpoznając sprawę w granicach skargi kasacyjnej, bierze z urzędu pod rozwagę jedynie nieważność postępowania. Przesłanki nieważności określone w art. 183 § 2 p.p.s.a. w tej sprawie nie wystąpiły.
Kontrolując zatem zgodność z prawem zaskarżonego wyroku w granicach skargi kasacyjnej, Naczelny Sąd Administracyjny ograniczył tę kontrolę do wskazanych w niej zarzutów. Rozpatrywana pod tym kątem skarga kasacyjna ma usprawiedliwione podstawy.
Za usprawiedliwiony należało uznać zarzut naruszenia art. 141 § 4 p.p.s.a. w zw. z art. 23 ust. 1 pkt 5 u.o.d.o. Ten ostatni przepis stanowi, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Wykładnia tego przepisu zaprezentowana przez Sąd I instancji nie oddaje jego pełnego zakresu znaczeniowego na tle okoliczności tej sprawy, w konsekwencji czego podjęte na jego podstawie rozstrzygnięcie nie w pełni poddaje się kontroli kasacyjnej. To zaś powoduje, że zarzut naruszenia art. 141 § 4 p.p.s.a. w zakresie wyjaśnienia podstawy prawnej rozstrzygnięcia jest usprawiedliwiony i mogło to mieć istotny wpływ na wynik sprawy.
Sąd I instancji przyjął bowiem, że w odniesieniu do działania marketingowego [...] wobec P. M. nie mieliśmy do czynienia z marketingiem własnych produktów i usług administratora danych. Rozważenia wymagało więc – uznał Sąd I instancji – czy pomimo tego nie znajdował zastosowania art. 23 ust. 1 pkt 5 u.o.d.o., albowiem katalog usprawiedliwionego celu ujęty w art. 23 ust. 4 u.o.d.o. nie ma charakteru zamkniętego. Wynik rozważań na tle art. 23 ust. 1 pkt 5 u.o.d.o. doprowadził Sąd I instancji do wniosku, że brak działań marketingowych [...] wobec P. M. nie stanowił żadnej przeszkody w prowadzeniu przez [...] działalności gospodarczej, co potwierdza fakt zawarcia przez [...] ze Spółką [...] umowy z [...] marca 2014 r. a także sama treść art. 808 § 1 k.c. Przetwarzanie zatem przez [...] danych osobowych P. M. w celu marketingowym, nie było niezbędne dla administratora danych. Ponadto, skutek marketingu produktu (usługi) innego podmiotu – nie przeważa w tej sprawie (nie jest nadrzędne) nad dobrem abonenta (P. M.), który kwestionuje wykorzystanie swoich danych przez Spółkę [...] bez jego zgody, a prawo do prywatności statuowane w art. 47 Konstytucji RP zagwarantowane jest m.in. w aspekcie ochrony danych osobowych, przewidzianej w art. 51 Konstytucji RP.
Rację należy przyznać skarżącej kasacyjnie Spółce, że rozważania Sądu I instancji, w aspekcie niezbędności prowadzonych przez nią działań dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych albo odbiorcy danych, a także naruszenia praw i wolności osoby, której dane dotyczą – są lakoniczne i niepełne, gdyż nie odnoszą się do wszystkich okoliczności faktycznych zaistniałych w sprawie.
Po pierwsze zauważyć należy, że dokonując oceny, czy działania marketingowe podjęte przez [...] były marketingiem własnych produktów i usług administratora danych, Sąd I instancji w ogóle nie odniósł się do przedmiotu działania Spółki, wynikającego z umowy spółki. Czy w jej przedmiocie działania mieści się w ogóle działalność ubezpieczeniowa, w jakimkolwiek zakresie, w tym na rzecz osoby trzeciej. Po wtóre, analiza pojęcia marketingu własnych produktów i usług wymagała odniesienia się do wszystkich istotnych okoliczności tej konkretnej sprawy, czego w uzasadnieniu zaskarżonego wyroku zabrakło. W skardze (a następnie w skardze kasacyjnej) podniesione zostały argumenty, które wskazują na to, że podjęta przez [...] akcja marketingowa dotyczyła produktu bądź usługi, które można określić co najmniej mianem przedsięwzięcia wspólnego ([...] i [...]). [...] w uzasadnieniu skargi kasacyjnej podnosi bowiem, że ubezpieczenie [...] zostało stworzone wyłącznie na potrzeby abonentów [...] i korzystanie z tego ubezpieczenia było ściśle zintegrowane z korzystaniem z usług telekomunikacyjnych (składka mogła być opłacana wyłącznie jako pozycja na rachunku telekomunikacyjnym, a ubezpieczenie działało tak długo, jak dana osoba była abonentem [...]); podmiotem oferującym ubezpieczenie [...] była wyłącznie [...], a abonent nie miał możliwości zakupu ubezpieczenia [...] od Ubezpieczyciela. Wyłącznym podmiotem oferującym to ubezpieczenie była [...], a jedynym sposobem jego zakupu była deklaracja, którą abonent musiał złożyć [...]. Do tych argumentów Sąd I instancji w ogóle się nie odniósł, a konstruując stworzoną na użytek tej sprawy definicję "produktu lub usługi własnej" poprzestał w zasadzie na tym, że "ochrony ubezpieczeniowej udziela [...]" (str. 11 uzasadnienia zaskarżonego wyroku). W okolicznościach tej sprawy, definiując, co jest usługą lub produktem własnym, należy odpowiedzieć na pytanie, czy w tym wypadku mamy do czynienia, czy też nie, z produktem lub usługą wspólną [...] i [...] i przy założeniu, że jest to produkt lub usługa wspólna, czy jej marketing może być uznany za własny. Także w kontekście tego, że w art. 23 ust. 1 pkt 5 u.o.d.o. mowa jest o prawnie usprawiedliwionych celach realizowanych przez administratorów danych albo odbiorców danych.
Dalej zauważyć należy, że u.o.d.o. nie zawiera definicji "prawnie usprawiedliwionych celów". W art. 23 ust. 4 wskazuje jedynie na przykłady, wymieniając m.in. marketing bezpośredni "własnych produktów lub usług administratora danych", jako jeden z możliwych prawnie uzasadnionych celów. Trafnie zauważa skarżąca kasacyjnie, że dokonując wykładni art. 23 ust. 1 pkt 5 u.o.d.o. należy wziąć pod uwagę cele i podstawowe założenia dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, której przepisy zostały implementowane przez u.o.d.o. oraz dorobek orzecznictwa Trybunału Sprawiedliwości na tle tej dyrektywy. Przepis art. 23 ust. 1 pkt 5 u.o.d.o. oraz art. 7 lit f) dyrektywy (te bowiem przepisy miały jeszcze zastosowanie w tej sprawie) nakłada obowiązek przeprowadzenia tzw. testu równowagi, polegającego na wyważeniu tego co jest konieczne dla potrzeb wynikających z prawnie uzasadnionych interesów administratora danych (lub osoby trzeciej), z interesami lub prawami podstawowymi i wolnościami osoby, której dane dotyczą. Z orzecznictwa Trybunału Sprawiedliwości wynika, że "Artykuł 7 lit. f) wspomnianej dyrektywy stoi bowiem na przeszkodzie temu, by państwo członkowskie wykluczyło w sposób kategoryczny i ogólny w odniesieniu do określonych kategorii danych osobowych możliwość ich przetwarzania, nie dopuszczając do ważenia przeciwstawnych praw i interesów występujących w indywidualnym przypadku. Państwo członkowskie nie może zatem określić w stosunku do tych kategorii w sposób ostateczny rezultatu ważenia przeciwstawnych praw i interesów, nie dopuszczając do innego rezultatu będącego wynikiem szczególnych okoliczności konkretnego przypadku" (zob. wyrok TS z 19.10.2016 r., C-582/14, Patrick Breyer v. Bundesrepublik Deutschland).
Nie jest więc wystarczające, tak jak uczynił to Sąd I instancji, odwołanie się wyłącznie na poziomie ogólnym do zasad konstytucyjnych odnoszących się do ochrony prywatności i danych osobowych (art. 47 i art. 51 Konstytucji), którym – w tym wypadku – można na tak ogólnym poziomie przeciwstawić zasadę wolności działalności gospodarczej (art. 20 Konstytucji), aby przesądzić o prymacie ochrony danych osobowych nad prawnie usprawiedliwionym celem realizowanym przez administratora danych. Konieczne jest ważenie przeciwstawnych praw i interesów, w świetle szczególnych okoliczności konkretnego przypadku (to w nawiązaniu do tezy cytowanego wyżej wyroku TS z 19.10.2016 r., C-582/14), o czym szerzej i w odniesieniu do okoliczności tej sprawy będzie jeszcze mowa. Słusznie podnosi natomiast skarżąca kasacyjnie, że prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony własnej prywatności ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie. Zasadą wypracowaną przy stosowaniu ustawy o ochronie danych osobowych stało się przetwarzanie danych osobowych za zgodą osoby zainteresowanej, której dane te dotyczą (art 23 ust. 1 pkt 1 u.o.d.o.). Nie oznacza to jednak, że przesłanka uzyskania zgody na przetwarzanie danych osobowych ma pierwszeństwo stosowania przed innymi przesłankami dopuszczającymi przetwarzanie danych osobowych, wg określonych ustawowo zawężonych kryteriów, bez zgody osoby zainteresowanej. Przesłanki zawarte w art. 23 ust. 1 pkt 1-5 u.o.d.o. są równorzędne, niezależne od siebie i dla przesądzenia o tym, że przetwarzanie danych jest dopuszczalne wystarczy wykazanie zaistnienia jednej z nich. Przy czym przetwarzanie danych musi być konieczne oraz proporcjonalne do realizacji określonego prawa podstawowego, jakim w tym wypadku jest wolność prowadzenia działalności gospodarczej.
W skardze kasacyjnej powołano się dodatkowo na opinię nr 6/2014 grupy roboczej (powołanej na podstawie art. 29 dyrektywy 95/46/WE), z której wynika, że wspomniany wyżej test równowagi powinien uwzględniać między innymi:
- charakter i źródło prawnie uzasadnionego interesu oraz fakt, czy przetwarzanie danych jest konieczne do realizacji prawa podstawowego;
- wpływ na osobę, której dane dotyczą, oraz jej racjonalne oczekiwania na temat tego, co się stanie z jej danymi, jak również charakter danych i sposób ich przetwarzania;
- dodatkowe zabezpieczenia, które mogłyby ograniczyć nienależyty wpływ na osobę, której dane dotyczą, takie jak minimalizacja danych, technologie służące zwiększeniu ochrony prywatności; zwiększona przejrzystość, ogólne i bezwarunkowe prawo do wycofania zgody (tzw. opt-out) oraz możliwość przenoszenia danych (str. 3 opinii).
Pamiętać również należy, że ocena, czy w procesie przetwarzania danych osobowych na podstawie art. 23 ust. 1 pkt 5 u.o.d.o. doszło do naruszenia praw i wolności osoby, której dane są przetwarzane, musi być obiektywna. Nie można stwierdzić, że doszło do naruszenia praw i wolności na podstawie subiektywnych odczuć osoby, której dane dotyczą. Sam fakt zwrócenia się przez P. M. do GIODO nie przesądza jeszcze o tym, że rzeczywiście doszło do naruszenia jego praw i wolności. Przy przeprowadzaniu testu równowagi w niniejszej sprawie należy uwzględnić, że [...] nie zadzwoniła do abonenta i nie przedstawiła mu oferty ubezpieczenia, tylko zadzwoniła do abonenta i poprosiła go o wyrażenia zgody na przedstawienie oferty – w przypadku wyrażenia zgody oferta zostaje przestawiona, a w przypadku niewyrażenia zgody – oferta nie jest przedstawiana, a dane abonenta są usuwane z bazy danych podmiotu, któremu zostały powierzone. Ponadto należy wziąć pod uwagę, jakiego rodzaju dane podlegały przetwarzaniu i czy miały one charakter danych wrażliwych, czy dane nie były przetwarzane w celu profilowania oraz czy przetwarzanie danych mogło zaszkodzić abonentowi, w szczególności czy mogło doprowadzić do zniesławienia lub dyskryminacji, albo w inny sposób naruszać jej prawa i wolności.
W niniejszej sprawie zabrakło zatem – w odniesieniu do konkretnych okoliczności sprawy – zarówno poprawnego testu równowagi (na tle art. 23 ust. 1 pkt 5 u.o.d.o. i art. 7 lit. f dyrektywy 95/46/WE), jak i pełnej oceny (z odniesieniem do wszystkich powoływanych w skardze okoliczności), czy mieliśmy do czynienia z marketingiem bezpośrednim własnych produktów lub usług administratora danych (art. 23 ust. 4 w zw. z art. 23 ust. 1 pkt 5 u.o.d.o.). To przesądza o konieczności ponownego rozpoznania sprawy przez Sąd I instancji i rozstrzygnięcia o przedmiocie skargi, z uwzględnieniem oceny prawnej i wskazań, co do dalszego postępowania, zawartych w powyższych rozważaniach.
Mając to na uwadze, na podstawie art. 185 § 1 p.p.s.a., Naczelny Sąd Administracyjny orzekł jak w pkt 1 wyroku. O kosztach postępowania orzeczono na podstawie art. 203 pkt 1 p.p.s.a. Sprawę rozpoznano na posiedzeniu niejawnym, w trybie określonym w art. 15zzs4 ust. 3 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID - 19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2021 r., poz. 2095), wobec braku możliwości przeprowadzenia rozprawy na odległość z jednoczesnym bezpośrednim przekazem obrazu i dźwięku.