Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Łukasz Krzycki (spr.), Sędzia WSA Danuta Kania, Asesor WSA Anna Pośpiech-Kłak, Protokolant specjalista Monika Gieroń po rozpoznaniu na rozprawie w dniu 17 lipca 2024 r. sprawy ze skargi Banku [..] S. A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Zaskarżoną decyzją – przywołując art. 104 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775), zwanej dalej "K.p.a.", oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L. nr 119. str. 1, ze zm.), zwanego dalej "RODO", wobec skargi p. K. B., zwanego dalej "Wnioskodawcą", na nieprawidłowości w procesie przetwarzania danych osobowych przez Bank [...], zwany dalej "Bankiem", polegające na przetwarzaniu danych osobowych Wnioskodawcy na potrzeby marketingu bezpośredniego (w tym profilowania w zakresie związanym z marketingiem bezpośrednim) bez podstawy prawnej - udzielono Bankowi upomnienia za naruszenie art. 6 ust. 1 RODO, polegające na przetwarzaniu danych osobowych Wnioskodawcy w celach marketingu bezpośredniego bez podstawy prawnej - w dniu [...] listopada 2019 r., a następnie w okresie od [...] lutego 2022 r. do [...] marca 2022 r. oraz [...] lipca 2022 r. (w pkt 1). W pozostałym zakresie odmówiono uwzględnienia wniosku (pkt 2).

W uzasadnieniu decyzji przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy:

- wobec skargi Wnioskodawcy ustalono następujący stan faktyczny:

- [...] listopada 2019 r. - na skutek skontaktowania się Banku z Wnioskodawcą, w celu przeprowadzenia badania satysfakcji klienta - tenże skierował drogą mailową sprzeciw wobec przetwarzania jego danych osobowych w celach marketingowych; wskazał, że nie wyraża zgody na żaden kontakt marketingowy; [...] grudnia 2019 r. - w odpowiedzi na to zgłoszenie - Bank potwierdził wycofanie zgód marketingowych; poinformował Wnioskodawcę, że nie będzie się z nim kontaktował w innych celach niż związane z obsługą umowy rachunku bankowego; mimo wniesionego sprzeciwu, Wnioskodawca otrzymał - za pośrednictwem aplikacji mobilnej Banku – komunikat, dotyczący oferty w zakresie tzw. "[...]" - oferty lokaty skierowanej do Wnioskodawcy - w związku ze zbliżającą się [...]; wobec tego Wnioskodawca zwrócił do organu o nakazanie Bankowi zaprzestania przetwarzania jego danych osobowych do celów marketingowych oraz zaprzestania profilowania Wnioskodawcy (tak: skarga z [...] marca 2022 r.; wyjaśnienia Banku z [...] kwietnia 2022 r.),

- po wszczęciu postępowania wyjaśniającego w sprawie, Bank przesłał Wnioskodawcy - [...] lipca 2022 r. - wiadomość w formie sms o treści: "Chcesz jeszcze lepiej kontrolować finanse? Włącz powiadomienia w aplikacji. Dowiesz się od razu, że na konto wpłynęła pensja czy przelew od znajomego. Przejdź do Ustawień>Ustawienia aplikacji > Powiadomienia i włącz powiadomienia. Szczegóły na naszej stronie www. Pozdrawiamy. Zespół Banku [...]."; wobec tego Wnioskodawca zwrócił się ponownie o nakazanie Bankowi całkowitego zaprzestania przetwarzania jego danych osobowych w celach marketingowych oraz profilowania (tak: pismo Wnioskodawcy z [...] lipca 2022 r.).

- Bank wyjaśnił (tak: pismo Banku z [...] kwietnia 2022 r.):

pozyskał dane osobowe Wnioskodawcy, w związku z zawarciem i realizacją umowy rachunków bankowych, karty debetowej oraz dostępu do usług przez kanały bankowości elektronicznej (z [...] listopada 2019 r.), zwanej dalej także "Umową’ - na podstawie art. 6 ust. 1 lit. b RODO - w zakresie: danych identyfikacyjnych (imię, nazwisko, nr PESEL, data i miejsce urodzenia; seria i numer dokumentu tożsamości, obywatelstwo), kontaktowych (nr telefonu, adres zamieszkania, adres korespondencyjny), socjo-demograficznych (stan cywilny, imię ojca, imię matki, nazwisko panieńskie matki) oraz dotyczących formy zatrudnienia,

Wnioskodawca jest nadal klientem Banku i ma tam aktywne produkty - uruchomione na podstawie Umowy, jak również na podstawie umów, dotyczących lokat bankowych; Bank przetwarza obecnie jego dane osobowe we wskazanym wcześniej zakresie oraz dane transakcyjne - szczegóły realizowanych transakcji; dane komunikacyjne - pozyskane w zw. ze złożonymi reklamacjami - oraz szczegóły zawartych umów z Bankiem; dane osobowe Bank przetwarza w celach:

a) realizacji czynności, niezbędnych do obsługi Umów - na podstawie art. 6 ust. 1 lit. b RODO,

b) realizacji usług płatniczych - na podstawie art. 6 ust. 1 lit. b i c RODO - zgodnie z art. 40 i 43 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz.U. z 2020 poz. 794),

c) statystycznych (w związku z zamkniętymi produktami) - na podstawie art. 6 ust. 1 lit. c RODO zgodnie z art. 105a ust. 4 i ust. 5 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (obecnie opubl. Dz.U. z 2023 r. poz. 2488 ze zm.),

d) realizacji obowiązków Banku, związanych z identyfikacją i weryfikacją tożsamości klientów - dla przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobieganiu przestępstwom - na podstawie art. 6 ust. 1 lit. c RODO,

e) realizacji obowiązków, wynikających z przepisów księgowych i podatkowych - na podstawie art. 6 ust. 1 lit. c RODO,

f) archiwalnych i dowodowych - w szczególności w celu ustalenia, dochodzenia i obrony roszczeń - zgodnie z terminami przedawnienia roszczeń określonymi w art. 118 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (obecnie opubl. w Dz.U. z 2024 r., poz. 1061) - oraz w związku z realizacją reklamacji - na podstawie art. 6 ust. 1 lit. f RODO;

Bank nie ma zgody Wnioskodawcy na kontakt marketingowy przy użyciu telekomunikacyjnych urządzeń końcowych – w celu marketingu bezpośredniego lub zgody na otrzymywanie informacji handlowej za pomocą środków komunikacji elektronicznej; Bank wskazał: "przy nawiązywaniu relacji ze Skarżącym w systemie Banku został oznaczony najniższy poziom zgód marketingowych, z których wynika brak możliwości przetwarzania danych osobowych Skarżącego do celów marketingowych oraz brak możliwości kontaktu ze Skarżącym w ww. celu za pomocą telekomunikacyjnych urządzeń końcowych lub środków komunikacji elektronicznej.";

- wedle wyjaśnień Banku (z [...] kwietnia, [...] listopada 2022 r. oraz [...] kwietnia 2023 r.):

[...] listopada 2019 r. - na skutek kontaktu Banku z Wnioskodawcą w celu przeprowadzenia badania satysfakcji klienta - tenże wniósł reklamację; wyraził w niej dodatkowo sprzeciw wobec przetwarzania jego danych osobowych do celów marketingowych; w ocenie Banku, kontakt z Wnioskodawcą - w celu zbadania satysfakcji - nie stanowił przetwarzania danych osobowych klienta do celów marketingowych lecz element wykonania umowy; Bank wyjaśnił: "telefon do Skarżącego wykonano o godzinie 2019-11-[...] 15:10:56 i rozmowa trwała 8s. Nie ma żadnej odpowiedzi zarejestrowanej dla tego cif - a., zatem Skarżący musiał się rozłączyć po komunikacie: "Dziękujemy za rozmowę. Prosimy oceń naszą obsługę i odpowiedz na trzy krótkie pytania. Jeśli nie chcesz wziąć udziału w ankiecie, prosimy o rozłączenie się." Pytania jakie byłyby zadane są następujące: 1. Czy sprawa, z którą się kontaktowałeś została załatwiona podczas rozmowy? Jeśli tak, wybierz 5 , jeśli nie, wybierz 1. 2. Proszę ocenić poziom obsługi przez Konsultanta w skali od 1 do 5, gdzie 1 oznacza ocenę bardzo negatywną, a 5 bardzo pozytywną. 3. Czy byłbyś skłonny polecić kontakt telefoniczny z Bankiem znajomym i rodzinie ? Proszę ocenić w skali od 1 do 5, gdzie 1 oznacza "zdecydowanie nie polecę", a 5 "polecę z pewnością""; Bank wskazał, że badanie satysfakcji klienta odbywa się na dwóch podstawach prawnych - w zależności czego konkretnie dane badanie dotyczy; badanie poziomu wykonania umowy jest wykonywane na podstawie art. 6 ust. 1 lit. b RODO; jeśli natomiast badanie nastawione jest na przygotowanie nowej oferty, wówczas może się odbywać na podstawie art. 6 ust. 1 lit. f RODO; Wnioskodawcy nie zaproponowano, zareklamowano, zasugerowano żadnej usługi; w związku z badaniem satysfakcji klienta nie doszło też do badania zainteresowania innymi usługami Banku;

w wyniku błędu Bank przetworzył dane w oparciu o informacje, dotyczące Wnioskodawcy - imię, nazwisko, data urodzenia, informacja o pełnej zdolności do czynności prawnych, informacja o korzystaniu z bankowości elektronicznej - bez podstawy prawnej, w celu przedstawienia oferty [...]- proponowanej klientom w powiązaniu z [...] - co do zasady przez 30 dni; dotycząca tej lokaty oferta była dostępna dla Wnioskodawcy od [...] lutego do [...] marca 2022 r.; oferta [...] jest kierowana do każdego klienta - w okresie 30 dni od daty [...] - spełniającego - z góry określone - następujące warunki:

status 1 (czyli po przejściu procedury KYC, kartoteka bez ograniczenia, wynikającego z braku weryfikacji aml-owej),

liniowa biznesowa - klient indywidualny,

zgody marketingowe na poziomie 6 lub 7,

powyżej 18 lat, czyli pełna zdolność do czynności prawnych,

klient posiada [...],

klient nie ubezwłasnowolniony;

oferta [...] brzmi jednakowo dla każdego klienta; przed wysłaniem informacji Bank sprawdza, czy klient spełnia wskazane kryteria; treść oferty [...] nie jest dostosowana na podstawie oceny konkretnego klienta; nieskorzystanie z niej nie wywołuje żadnych skutków prawnych;

- w odpowiedzi na wezwanie do wskazania, na jakiej podstawie prawnej Bank skierował [...] lipca 2022 r. do Wnioskodawcy wiadomość o możliwości włączenia powiadomień w aplikacji, Bank wyjaśnił: wiadomości serwisowe, dotyczące sposobu korzystania z aplikacji, będącej przedmiotem umowy o korzystanie z kanałów bankowości elektronicznej, odbywa się także na podstawie art. 6 ust. 1 lit. b RODO; mowa bowiem jedynie o komunikacji, dotyczącej sposobu korzystania z usługi, z której klient już w danym momencie korzysta (tak: wyjaśnienia Banku z [...] kwietnia 2023 r.),

- przetwarzanie danych osobowych jest dopuszczalne, gdy administrator danych osobowych legitymuje się którąkolwiek z przesłanek, o których mowa w art. 6 ust. 1 RODO; każda z nich ma charakter autonomiczny i niezależny; spełnienie co najmniej jednej z nich stanowi więc o zgodnym z prawem przetwarzaniu danych osobowych; niezależnie od zgody osoby, której dane osobowe dotyczą (art. 6 ust. 1 lit. a RODO), ich przetwarzanie dopuszczono m.in, gdy jest to niezbędne do wypełnienia ciążącego na administratorze obowiązku prawnego (art. 6 ust. 1 lit. c RODO) a także do celów, wynikających z prawnie uzasadnionych interesów, realizowanych przez administratora lub przez stronę trzecią - z wyjątkiem sytuacji, gdy nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych - w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO),

- zgodnie z motywem 47 RODO, podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora - w tym administratora, któremu można ujawnić dane osobowe, lub strony trzeciej - jeżeli - w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem - nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą; taki prawnie uzasadniony interes może istnieć np., gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem – np. gdy osoba, której dane dotyczą jest klientem administratora lub działa na jego rzecz; za działanie, wykonywane w prawnie uzasadnionym interesie, można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego,

- kwestię prowadzenia marketingu bezpośredniego przy wykorzystaniu połączeń i wiadomości telefonicznych szczegółowo uregulowano w ustawie z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz.U. z 2022 r. poz. 1648); zgodnie z jej art. 172 ust. 1, zakazano używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego lub przesyłania niezamówionej informacji handlowej w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2020 r. poz. 344 ze zm.), zwanej "ustawą o usługach elektronicznych", chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę; w brzmieniu sprzed 1 stycznia 2023 r. art. 172 ust. 1 ustawy - Prawo telekomunikacyjne stanowił natomiast, że zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę; z kolei kwestię przesyłania informacji handlowych za pośrednictwem środków komunikacji elektronicznej reguluje art. 10 ustawy o usługach elektronicznych; zgodnie z nim zakazano przesyłania niezamówionej informacji handlowej, skierowanej do oznaczonego - będącego osobą fizyczną - odbiorcy za pomocą środków komunikacji elektronicznej - w szczególności poczty elektronicznej (ust. 1); informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji - w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny (ust. 2); w ustawie o usługach elektronicznych zdefiniowano pojęcie informacji handlowej jako "każdą [..] przeznaczoną bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagań określonych w odrębnych ustawach, z wyłączeniem informacji umożliwiającej porozumiewanie się za pomocą środków komunikacji elektronicznej z określoną osobą oraz informacji o towarach i usługach niesłużącej osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie, w szczególności bez wynagrodzenia lub innych korzyści od producentów, sprzedawców i świadczących usługi" (art. 2 pkt 2),

- reasumując, we wskazanych wyżej przepisach - ustawy - Prawo telekomunikacyjne i ustawie o usługach elektronicznych - uzależniono dopuszczalność prowadzenia marketingu bezpośredniego oraz przesyłania informacji handlowej z wykorzystaniem wskazanych dróg kontaktu od uzyskania odpowiedniej zgody w tym zakresie,

- w niniejszej sprawie - z ustalonego wyczerpująco stanu faktycznego - wynika, że Bank nie miał ani nie posiada zgody Wnioskodawcy na kontakt marketingowy przy użyciu telekomunikacyjnych urządzeń końcowych do celów marketingu bezpośredniego oraz zgody na otrzymywanie informacji handlowej za pomocą środków komunikacji elektronicznej; Bank wskazał przy tym, że określony w systemie poziom zgód marketingowych oznacza brak możliwości przetwarzania danych osobowych Wnioskodawcy do celów marketingowych oraz kontaktu z nim w tym celu za pomocą telekomunikacyjnych urządzeń końcowych lub środków komunikacji elektronicznej,

- analizując wskazane przez Wnioskodawcę kwestie, dotyczące przetwarzania jego danych osobowych w celu przeprowadzenia przez Bank badania satysfakcji klienta po zakończonej rozmowie telefonicznej, należy ocenić, czy takie badanie nosi znamiona działania o charakterze marketingowym; w ocenie Banku, kontakt z Wnioskodawcą - w celu zbadania satysfakcji klienta - nie stanowił przetwarzania jego danych osobowych do celów marketingowych; nastąpił zaś w celu związanym z wykonywaniem umowy; Bank wyjaśniał, że badanie satysfakcji klienta prowadzi na dwóch podstawach prawnych – w zależności, czego konkretnie badanie dotyczy; badanie poziomu wykonania umowy wykonuje na podstawie art. 6 ust. 1 lit. b RODO; jeśli natomiast badanie nastawione jest na przygotowanie nowej oferty, wówczas odbywa się na podstawie art. 6 ust. 1 lit. f RODO; podkreślił, że Wnioskodawcy nie zaproponowano, zareklamowano ani zasugerowano żadnej usługi oraz nie doszło do badania zainteresowania innymi usługami Banku; w związku z tym, badanie satysfakcji klienta w dniu [...] listopada 2019 r. znajduje podstawę w art. 6 ust. 1 lit. b RODO,

- organ nie zgadza się z tym stanowiskiem Banku; podziela zaś prezentowane w piśmiennictwie stanowisko; zgodnie z nim - w ramach marketingu - można wyróżnić zagadnienia takie jak odnajdywanie i ocenianie możliwości rynkowych, prowadzących do zaspokojenia potrzeb określonych odbiorców (nabywców) oraz dokładne ustalenie tych potrzeb, opracowywanie w oparciu o tę wiedzę produktu (usługi) oraz strategii jego dystrybucji, czy przygotowanie odpowiedniej strategii ceny i promocji; marketing usług jest systemem zintegrowanych działań firmy usługowej na rynku; obejmuje identyfikację, kształtowanie, a następnie zaspakajanie potrzeb w sposób zapewniający satysfakcję klientom i realizację ich własnych celów ekonomicznych; kształtowanie wyższego poziomu usługi, która powinna spełniać więcej potrzeb i dostarczać więcej wartości klientowi, wpływa na budowanie przewagi konkurencyjnej firmy i jest formą marketingu; poznanie postaw klientów (w tej sprawie - Wnioskodawcy) wobec oferty lub obsługi ułatwia pracę personelu działu obsługi klienta i umożliwia dostosowanie działań do wymagań nabywców; pomiar satysfakcji klienta jest oceną obsługi, jaką firma zapewnia swoim klientom i jednocześnie jest miarą sukcesu działań personelu; badanie satysfakcji jest zatem pomocne w ustalaniu strategii przedsiębiorstwa oraz zwiększaniu wpływów i udziału w rynku; dla wielu przedsiębiorstw kontrola satysfakcji konsumentów stała się stałym elementem badań marketingowych (tak: Badanie postaw i satysfakcji klientów instytucjonalnych z oferowanego poziomu obsługi, Mariola Wisz Cieszyńska, Międzywydziałowe Studium Doktoranckie, AE Kraków, Listopad 2002),

- mając to na uwadze, badanie satysfakcji klienta stanowi działania, mające charakter marketingowy; błędne jest zatem stanowisko Banku, zgodnie z którym podstawą przetwarzania danych osobowych Wnioskodawcy na potrzeby badania poziomu satysfakcji klienta był art. 6 ust. 1 lit. b RODO,

- nie zachodziła ponadto jakakolwiek inna przesłanka - spośród wymienionych w art. 6 ust. 1 RODO - stanowiąca o legalności danego procesu; Wnioskodawca nie wyraził zgody, o której mowa we wskazanym art. 172 ust. 1 ustawy - Prawo telekomunikacyjne, na kontakt telefoniczny w celach marketingowych; tym samym nie mógł spodziewać się, że jego dane osobowe będą przetwarzane w tym celu we wskazany sposób,

- nie można uznać, aby podstawą prawną działania Banku w tym zakresie był art. 6 ust. 1 lit. f RODO; w świetle powyższych okoliczności brak jest bowiem podstaw by stwierdzić, że interes Banku był nadrzędny nad prawami i interesami Wnioskodawcy; odnośnie tego procesu nie zaistniała żadna z przesłanek legalizujących - wskazanych w art. 6 ust. 1 RODO; w związku z tym doszło do naruszenia przez Bank art. 6 ust. 1 RODO; tym samym [...] listopada 2019 r. bez podstawy prawnej przetworzono dane osobowe Wnioskodawcy w celu marketingu bezpośredniego,

- wobec zarzutu Wnioskodawcy, dotyczącego przesłania mu przez Bank – za pośrednictwem aplikacji mobilnej - komunikatu w zakresie tzw. [...] (czyli oferty lokaty skierowanej do Wnioskodawcy w związku ze zbliżającą się datą [...]). Bank - odnosząc się do tego - potwierdził, że w tym przypadku doszło - w wyniku błędu - do przetwarzania danych Wnioskodawcy w celach marketingowych bez podstawy prawnej; oferta ta była dostępna i widoczna dla Wnioskodawcy przez okres [...] lutego r. do [...] marca 2022 r.; to działanie Banku także nie znajdowało oparcia w żadnej z przesłanek legalizujących przetwarzanie danych osobowych - wyrażonych w art. 6 ust. 1 RODO; w szczególności bowiem - na dzień realizacji przez Bank kampanii marketingowej, dotyczącej oferty [...] - tenże nie dysponował zgodą Wnioskodawcy na kierowanie doń ofert marketingowych - za pomocą telekomunikacyjnych urządzeń końcowych lub środków komunikacji elektronicznej; pozwalałaby ona na uznanie, że Wnioskodawca mógł spodziewać się przetwarzania jego danych osobowych w celach marketingowych,

- wobec działania Banku - polegającego na przesłaniu do Wnioskodawcy wiadomości sms, dotyczącej aplikacji mobilnej i możliwości włączenia w niej funkcji powiadomień o zdarzeniach na koncie klienta - przywołano stanowisko Naczelnego Sądu Administracyjnego, wyrażone w wyroku z 5 grudnia 2018 r. (o sygn. akt I OSK 53/17, dostępny na stronie internetowej orzeczenia.nsa.gov.pl/cbo/query - w Centralnej Bazie Orzeczeń Sądów Administracyjnych); w jego uzasadnieniu stwierdzono, że za marketing należy uznać takie informacje o produktach, które stanowią podkreślenie ich atrakcyjności i nakłonienie do działania, polegającego na skorzystaniu z prezentowanej oferty; ponadto – wedle tego orzeczenia - działania marketingowe mają nie tyle informować, co przekonywać do podjęcia określonych działań - poprzez oddziaływanie na emocje odbiorcy; Bank wskazał wprawdzie w swoich wyjaśnieniach, że wiadomość sms do Wnioskodawcy dotyczyła komunikacji w zakresie sposobu korzystania z usługi już aktywowanej - aplikacji mobilnej; w związku z tym - w ocenie Banku - przetwarzanie danych odbywało się na podstawie art. 6 ust. 1 lit. b RODO; w okolicznościach niniejszej sprawy organ nie może jednak podzielić tego stanowiska; istotne znaczenie ma treść i cel przesłanej przez Bank do Wnioskodawcy wiadomości sms; zawiera ona w sobie elementy marketingu - ma na celu zachęcenie go do skorzystania z dodatkowych funkcjonalności aplikacji mobilnej; nie jest ona konieczna i niezbędna do prawidłowego jej użytkowania; treść wiadomości sms z [...] lipca 2022 r. nie miała wyłącznie charakteru informacyjnego; zawierała bowiem przekaz, mający przekonać do włączenia dodatkowej funkcji w aplikacji mobilnej; w związku z tym doszło do naruszenia przez Bank art. 6 ust. 1 RODO również i w tym przypadku; nie legitymował się on bowiem żadną ze wskazanych w tym przepisie przesłanek, legalizujących proces przetwarzania danych osobowych Wnioskodawcy w celach marketingowych,

- w toku postępowania Wnioskodawca podniósł także zarzut profilowania przez Bank w celu dopasowania swoich usług do oczekiwań klienta oraz przesyłania ofert handlowych w oparciu o profilowanie; w wyjaśnieniach zaś Bank zaprzeczył, aby dochodziło do profilowania oraz podejmowania jakichkolwiek zautomatyzowanych decyzji w przypadku Wnioskodawcy; dalej sformułowano szerszą argumentację, przemawiającą zdaniem organu za konstatacją, że - w przypadku Wnioskodawcy - nie doszło do naruszenia zasad profilowania danych,

- prowadzone postępowanie administracyjne służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych; jest ukierunkowane na wydanie decyzji administracyjnej; służą ona przywróceniu stanu zgodnego z prawem - na podstawie art. 58 ust. 2 lit. b RODO – m.in., poprzez udzielenie upomnienia administratorowi w przypadku naruszenia przepisów przez operację przetwarzania; w niniejszej sprawie – z uwagi na charakter kwestionowanych w skardze zdarzeń oraz okoliczność, że miały one charakter zakończonych - właściwe jest zastosowanie wobec Banku upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych; nie było ponadto podstaw do uznania, że Bank profilował dane osobowe Wnioskodawcy w celach marketingowych; wobec tego należało odmówić uwzględnienia wniosku w tym zakresie.

Decyzję zaskarżono w pkt 1, zarzucając jej wydanie z naruszeniem przepisów:

- prawa materialnego:

- art. 6 ust. 1 lit. f RODO w zw. z art. 172 ust. 1 ustawy - Prawo telekomunikacyjne oraz art. 10 ustawy o usługach elektronicznych, przez niewłaściwe zastosowanie; upatrywano tego w:

uznaniu, że wykonanie [...] listopada 2019 r. połączenia do Wnioskodawcy – w celu pozyskania opinii - oraz przesłanie informacji serwisowej z [...] lipca 2022 r. w formie wiadomości sms stanowiło działania z zakresu marketingu bezpośredniego, dokonane na podstawie art. 6 ust. 1 lit. f RODO, oraz

błędnym uznaniu, że powyższe działania wymagały uzyskania zgody klienta na podstawie art. 172 ust. 1 ustawy - Prawo telekomunikacyjne oraz art. 10 ustawy o usługach elektronicznych;

działania te były tymczasem związane z realizowaną Umową; podstawę przetwarzania danych osobowych w tym zakresie stanowił art. 6 ust. 1 lit. b RODO; dodatkowe zgody nie były zaś wymagane;

- art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych ( Dz.U. z 2019 r. poz. 1781), zwanej dalej: "ustawa o danych" w zw. z art. 55 ust. 1 RODO w zw. z art. 172 ust. 1 ustawy - Prawo telekomunikacyjne oraz art. 10 ustawy o usługach elektronicznych - poprzez jego błędną wykładnie i niewłaściwe zastosowanie; organ uznał się za właściwy w sprawach z zakresu oceny zgodności działania Banku z wymogami ustawy - Prawo telekomunikacyjne i ustawy o usługach elektronicznych; materia ta nie należy tymczasem do kompetencji danego organu,

- art. 58 ust. 2 lit. b RODO, poprzez niewłaściwe zastosowanie i udzielenie Bankowi upomnienia; w świetle stanu faktycznego sprawy stanowi to środek nadmierny (nieadekwatny), nieproporcjonalny oraz zbędny,

powyższe naruszenia wpłynęły na treść decyzji; doprowadziły do błędnego przyjęcia, że działania Banku miały charakter marketingowy - wykonywany bez podstawy prawnej; w rezultacie nałożono środek naprawczy w postaci upomnienia,

- postępowania - art. 7 w zw. z art. 77 i 80 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz.U. z 2023 r. poz. 775), zwanej dalej "K.p.a.", polegające na niewyczerpującym zebraniu oraz rozpatrzeniu materiału dowodowego, dowolnej jego ocenie, braku wszechstronnej oceny i rozważenia całokształtu materiału dowodowego oraz niezbadaniu wszelkich okoliczności istotnych dla prawidłowego rozstrzygnięcia, poprzez:

- brak wszechstronnej i wyczerpującej oceny dowodów, związanych z rozmową z Wnioskodawcą w dniu [...] listopada 2019 r.; była ona konsekwencją przeprowadzonej wcześniej z nim rozmowy; finalnie do uzyskania odpowiedzi na pytania nie doszło - z powodu rozłączenia się Wnioskodawcy; dowolnie - bez uzasadnienia - oceniono, że przeprowadzone badanie satysfakcji klienta było działaniem marketingowym - skierowanym m.in. w celu budowania przewagi marketingowej Banku, ustalania strategii przedsiębiorstwa oraz zwiększania wpływów i udziału w rynku; nie uwzględniono ponadto dowodu w postaci zasad przeprowadzania badania satysfakcji klienta przez Bank; nie przeanalizowano pytań, które składały się na badanie satysfakcji klienta; pominięto, że Wnioskodawcy nie zaproponowano, zareklamowano ani zasugerowano żadnej usługi oraz nie doszło do badania zainteresowania innymi usługami Banku; sprzecznie z okolicznościami sprawy przyjeto, że nie zaistniała żadna z przesłanek legalizujących - wskazanych w art. 6 ust. 1 RODO; przeprowadzona rozmowa była tymczasem związana z realizacją umowy z klientem Banku;

- dowolne ustalenia oraz brak wszechstronnej i wyczerpującej oceny dowodów, związanych z przekazaną klientowi ofertą [...]; przyjęto, że była ona widoczna i "dostępna" dla Klienta w aplikacji mobilnej przez okres [...] lutego do [...] marca 2022 r.; nie znajduje to odzwierciedlenia w zebranym przez organ materiale dowodowym;

- dowolną ocenę celu i treści wiadomości sms wysłanej [...] lipca 2022 r. do Wnioskodawcy; wskazano tam możliwość włączenia powiadomienia w aplikacji celem kontrolowania finansów; przyjęto, że stanowiła ona ofertę marketingową; nie uwzględniono roli Banku, jako instytucji finansowej, w uświadamianiu klientów w zakresie ich bezpieczeństwa finansowego; wiadomość ta stanowiła tymczasem informacje serwisową - zmierzającą do umożliwienia klientom zwiększenia kontroli swoich finansów; stanowi przejaw wzmacniania bezpieczeństwa finansowego klientów Banku, który - będąc instytucją finansową - jest zobowiązany do ciągłego podnoszenia świadomości klientów, w tym w zakresie zagrożeń ze świata przestępczego.

W szerokim uzasadnieniu skargi rozwinięto powyższe zarzuty.

W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.

W trakcie rozprawy (k. 174) pełnomocnik Banku wyjaśnił, że automatyczne pytanie o poziom zadowolenia z usługi telefonicznej jest kierowane standardowo do każdej osoby załatwiającej sprawę w Banku. Bank chciał jedynie zbadać, czy wykonano umowę. Na dzień oddzwaniania przez sztuczną sekretarkę, Wnioskodawca nie miał złożonego zastrzeżenia, dotyczącego zgód marketingowych.

Sąd zważył, co następuje.

Skarga nie zasługuje na uwzględnienie, gdyż zaskarżona decyzja nie narusza prawa, w zakresie gdzie skutecznie ją zaskarżono (w pkt. 1).

Trafnie organ ustalił istotne uwarunkowania faktyczne sprawy a także przywołał jej ramy prawne w kwestii istnienia podstaw prawnych dla wydania decyzji, którą udzielono Bankowi w stosownym zakresie upomnienia. Wobec szczegółowego zreferowanie argumentacji organu jej powtarzanie byłoby bezzasadne. Sąd przyjmuje ją za własną, z zastrzeżeniem uwagi, dotyczącej określenia czasu prezentacji informacji o ofercie [...], o czym w dalszej części uzasadnienia.

Wobec zarzutów skargi należy dodać jedynie, co następuje.

W kwestii wykonania połączenia, dotyczącego poziomu zadowolenia z wykonanej usługi w dniu [...] listopada 2019 r., określanego dalej także mianem "incydentu I", organ trafnie skonstruował, że działanie takie stanowi jedną z form marketingu. Ocenę taką poparto stosownym stanowiskiem naukowym, wyrażanym przez osobę dysponującą stosowną wiedzą w danej dziedzinie (okoliczności tej nie kwestionowano). Sąd nie ma więc podstaw, aby ustalenie te podważyć przy uwzględnieniu zasad ogólnych K.p.a. – w szczególności wobec treści art. 80 tego aktu.

Nie może mieć w tym kontekście znaczenia, czy - wedle intencji Banku - działania te nie były traktowane, jako służące promocji czy rozwojowi własnych usług - w myśl klasyfikacji przyjętej w danym podmiocie. Skoro działania w celu podnoszeniu poziomu oferowanych usług traktuje się jako element marketingu, zaś temu niewątpliwie służyło przeprowadzenie ankiety z klientem Banku, działalność tą trafnie sklasyfikowano jako marketing bezpośredni - formę komunikatu, skierowanego do konkretnego klienta. Ponieważ prowadzenie tego rodzaju działań wymaga jednocześnie w świetle regulacji odrębnych - art. 172 ust. 1 ustawy - Prawo telekomunikacyjne - bezpośredniej zgody zainteresowanej osoby, nie sposób uznać aby przetwarzanie danych osobowych Wnioskodawcy - służące realizacji danego celu (teleankiety) – znajdowało stosowną podstawę w celach, przewidzianych w art. 6 ust. 1 lit. f RODO. Zwłaszcza w kontekście użytego tam określenia "prawnie uzasadnione".

Nie może mieć też istotnego znaczenia podkreślana przez Bank okoliczność, że - w rozpatrywanym przypadku - Wnioskodawca nie udzielił żadnych informacji - rozłączył się po próbie nawiązania rozmowy przez automatyczną sekretarkę. Na co wskazuje treść uzasadnienia, cechę bezprawności przypisano bowiem samemu wykorzystaniu danych Wnioskodawcy dla celów zlecenia i zainicjowania rozmowy, nie zaś gromadzenie informacji o nim - w wyniku jej przeprowadzenia.

Chybione są też wywody, jakoby wyspecjalizowany w sprawach ochrony danych osobowych organ, nie mógł oceniać, czy określone działanie podmiotu nie wykracza poza reguły, wynikające z regulacji szczególnych - np. zawartych w ustawie - Prawo telekomunikacyjne. Nie może mieć też kluczowego znaczenia istnienie innego organu regulacyjnego (tu Prezes Urzędu Komunikacji Elektronicznej), któremu przypisano stosowne kompetencje w danym zakresie - w tym możliwość zastosowania sankcji finansowych za naruszenie wymagań, związanych z naruszeniem zakazu w zakresie używania telekomunikacyjnych urządzeń końcowych (tak art. 209 ust. 1 pkt 25 w zw. u z art. 172 ust. 1 ustawy - Prawo telekomunikacyjne). Przedmiotem oceny organu, wyspecjalizowanego w sprawach ochrony danych osobowych, była wyłącznie kwestia przetwarzania tychże w celu podjęcia konkretnych działań, nie zaś samo wykorzystywanie urządzeń telekomunikacyjnych. W sprawie nie podnoszono także, aby – w rozpatrywanym przypadku - wobec Banku doszło do kumulacji odpowiedzialności administracyjnej na podstawie poszczególnych regulacji - RODO i ustawy - Prawo telekomunikacyjne - z tytułu tego samego zdarzenia.

Bezzasadne są też zarzuty w kwestii zastosowania sankcji upomnienia wobec przedstawienia Wnioskodawcy oferty [...] - zdarzenie to będzie opisywane dalej także jako "incydent II". Bezspornie, zapewnienie jej dostępności i informacji o tym w konkretnym okresie (miesiąc od dnia [...]) wymagało przetwarzania danych Wnioskodawcy, w tym daty urodzenia (dzień i miesiąc). Trafnie odnotowuje strona skarżąca, że - wedle twierdzeń samego Banku – dana oferta była dostępna dla Wnioskodawcy w konkretnym okresie. Bank nie potwierdził zaś wprost, aby przez cały ten czas informacja o niej była widoczna dla Wnioskodawcy w aplikacji mobilnej - co było przesłanką zainicjowania skargi w danym zakresie. Wnioskodawca wykazał zaś zamieszczenie informacji tylko w jednym z dni trwania promocji. Uzasadnione jest jednak założenie, że Bank - we własnym interesie - popularyzował informacje o własnej ofercie w kanale dostępnym właśnie dla Wnioskodawcy, zaś Bank w toku postępowania temu nie przeczył. W tym kontekście ewentualny brak precyzji, co do wskazania okresu przetwarzania danych, za co wymierzono sankcje w postaci upomnienia, przywołując to jako jeden z trzech incydentów, nie może mieć istotnego znaczenia dla wyniku sprawy.

Trafnie w końcu skonstatował organ, że przesłana za pośrednictwem sms informacja o dodatkowej funkcjonalności używanej przez Wnioskodawca aplikacji mobilnej - możliwość śledzenia operacji, co będzie określane dalej także jako "incydent III" - stanowiło działanie o charakterze typowo promocyjnym. Wskazywano bowiem na dodatkową funkcjonalność oferowanej usługi - dostępnej generalnie w związku z realizacją aktualnej umowy z Bankiem. Nie może mieć w tym kontekście znaczenia, że działanie informacyjne Banku służyć mogło równocześnie interesom jego klienta (lepsze bezpieczeństwo środków), czy powinność Banku popularyzacji rozwiązań, podnoszących bezpieczeństwo obrotu bankowego. W świetle obowiązujących regulacji - powołanych trafnie przez organ - klient ma możliwość rezygnacji z określonych korzyści, jakie wynikają dlań z dostarczenia mu informacji handlowych - stanowiących równocześnie promocję dostarczanych mu usług. Może on przedkładać wyżej własne, odmienne preferencje, co do zakresu wykorzystywania środków komunikacji, jakimi dysponuje.

Chybione są także inne wywody skargi z następujących przyczyn:

- nie ma znaczenia w sprawie, że Wnioskodawca ograniczył zgody marketingowe dopiero w następstwie incydentu I; jak trafnie wskazał organ - wobec zastosowania przez Bank jednej z form marketingu bezpośredniego przy pomocy telekomunikacyjnych urządzeń końcowych - konieczne było wyrażenie przez Wnioskodawcę zgody na danego rodzaju formy kontaktu wprost; co bezsporne, Bank nią nie dysponował; nie można uznać za takową samego podania numeru telefonu - dla celu komunikacji z Bankiem,

- zastosowanego środka dyscyplinującego – upomnienia, w myśl art. 58 ust. 2 pkt b RODO - nie można uznać za sankcje nazbyt dolegliwą w danym przypadku; skorzystano z niego bowiem wobec trzech, ujawnionych incydentów, gdzie Bank przetwarzał - z naruszeniem reguł określonych w RODO - dane osobowe tego samego Wnioskodawcy; nie może być przeszkodą dla zastosowania danej sankcji, że stosowne uchybienia nie wynikały z poważnych zaniedbań, zaś podmiotowi - wedle oceny zachowań w toku postępowania - nie sposób przypisać woli kontynuowania określonych, nagannych praktyk (tak: incydent I i III), zaś jedno ze zdarzeń było następstwem oczywistego błędu, co Bank sam przyznał (tak: incydent II).

Nie naruszono więc wymienionych w skardze przepisów prawa materialnego, determinujących dopuszczalność przetwarzania danych osobowych - zawartych w samym RODO, jak i wynikających z przepisów szczególnych, w tym z ustawy - Prawo telekomunikacyjne oraz ustawy o usługach elektronicznych - ani też regulacji, zakreślającej kompetencje organu wyspecjalizowanego w kwestii ochrony danych osobowych, co do możliwości zastosowania przypisanych mu środków sankcyjnych (tu – upomnienie) - w kontekście ewentualnego wykroczenia poza granice uznania administracyjnego.

Nie uchybiono też wymienionym w skardze przepisom postępowania, co do powinności właściwego wyjaśnienia sprawy czy uzasadnienia decyzji. Żadne jej istotne okoliczności faktyczne nie budzą wątpliwości.

Sąd nie dopatrzył się więc w zaskarżonym akcie - w świetle zarzutów skargi ani z urzędu - wad, które uzasadniałyby jego wyeliminowanie z obrotu prawnego.

Wobec zakresu skutecznego zaskarżenia decyzji - jedynie w pkt 1 – poza przedmiotem rozważań Sądu pozostała kwestia zasadności ocen organu, co do innych zarzutów, skierowanej doń skargi Wnioskodawcy.

Z przytoczonych wyżej przyczyn - na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2024 r., poz. 935) - orzeczono jak w sentencji.

-----------------------

19