Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Dąbrowska, Sędziowie WSA Danuta Kania, Andrzej Góraj (spr.), Protokolant specjalista Elwira Sipak, po rozpoznaniu na rozprawie w dniu 9 października 2015 r. sprawy ze skargi R. S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2014 r. nr [...] w przedmiocie przetwarzania danych osobowych – oddala skargę –

Decyzją z [...] listopada 2014 r. Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy własną decyzję z [...] września 2014 r. nakazującą [...] S.A. zaprzestania przetwarzania danych osobowych M.P. w celach marketingowych, poprzez kierowanie do niego informacji handlowych w internetowym serwisie transakcyjnym.

W uzasadnieniu decyzji wskazał, że postępowanie w sprawie zostało zainicjowane wnioskiem strony z dnia [...] czerwca 2014 r. Rozpoznając sprawę organ ustalił, że 12 kwietnia 2013 r. skarżący złożył w Banku reklamację dotyczącą przetwarzania jego danych osobowych w celach marketingowych, która została potraktowana przez Bank jako sprzeciw wobec przetwarzania tych danych.

Ustalił też, iż po dacie złożenia powyższej reklamacji, strona za pośrednictwem internetowego serwisu transakcyjnego otrzymała skierowane na jego imię i nazwisko wiadomości zatytułowane "zamów kartę kredytową "[...]" oraz "[...]".

Organ wyjaśnił dodatkowo, jakie zachowanie należy traktować jako reklamę i uznał, że ww. wiadomości przesyłane do strony miały charakter reklam.

Od powyższej decyzji Bank wywiódł skargę do tutejszego Sądu, wnosząc o uchylenie skarżonego rozstrzygnięcia. Kwestionowanej decyzji zarzucił naruszenie art. 7 pkt 2 ustawy o ochronie danych osobowych, przez błędne odkodowanie pojęcia "przetwarzania danych" oraz naruszenie art. 7, art. 77 § 1 i art. 107 § 3 K.p.a. przez niepoprawne ustalenie stanu faktycznego.

W uzasadnieniu skargi Bank zanegował fakt przesyłania do strony informacji reklamowych. Podał, że użytkownik, po zalogowaniu się do systemu, samodzielnie otwiera poszczególne zakładki, nawet dotyczące produktów, których nie posiada. Skarżący nie inicjuje jednak żadnych akcji wobec strony po jej zalogowaniu się do systemu.

Bank wyjaśnił dodatkowo, iż występuje w sprawie jedynie pozorne powiązanie na ekranie strony, jej danych personalnych, z wyświetlanym komunikatem. Otwierając bowiem zakładki z produktami, z których nie korzysta, strona otrzymuje wiadomości takie same, jak każdy inny użytkownik.

W odpowiedzi na skargę organ oraz uczestnik wnieśli o jej oddalenie, podnosząc, że ustalenia przedstawione w skarżonej decyzji odpowiadają stanowi faktycznemu.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z treścią przepisu art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 z późn. zm.) sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym, z punktu widzenia jego zgodności z prawem materialnym i procesowym.

Oceniając przedmiotową decyzję według powyższych kryteriów, uznać należy, iż nie narusza ona prawa.

Istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy prawidłowe są ustalenia organu o przetwarzaniu przez Bank danych osobowych klienta, w celach marketingowych.

W pierwszej kolejności należało więc skupić się na wyjaśnieniu pojęcia "przetwarzanie danych osobowych".

Zgodnie z art. 7 pkt 2 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926), przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W wyżej powołanej normie prawnej ustawodawca posłużył się bardzo szeroką definicją sformułowania "przetwarzanie danych". Nie określił w sposób szczegółowy zamkniętego katalogu czynności podejmowanych w odniesieniu do danych osobowych. Uznał, że każda operacja na danych osobowych, będzie stanowiła ich przetwarzanie.

Sformułowanie omawianego przepisu wskazuje więc, że każde połączenie skonkretyzowanych danych osobowych z jakimkolwiek działaniem administratora danych, skierowanym do tych danych, będzie stanowiło ich przetwarzanie.

W świetle wyżej powołanej ustawy istotne znaczenie ma też fakt, iż przetwarzanie danych może mieć charakter uprawniony, lub też nieuprawniony. Należy bowiem pamiętać o instytucji sprzeciwu obywatela w sprawie przetwarzania jego danych osobowych przez określony podmiot. W sytuacji więc, gdy do wiadomości administratora danych osobowych dojdzie stanowcze stanowisko danej osoby, cofające zgodę na wykonywanie określonych operacji na jej danych osobowych, winien on takich operacji zaprzestać. Osoba składająca powyższe oświadczenie ma bowiem prawo oczekiwać, że w związku ze złożonym zastrzeżeniem, nie będzie już adresatem określonych działań administratora jej danych osobowych.

Brak reakcji administratora danych osobowych na cofnięcie zgody na przetwarzanie danych osobowych, uzasadni zaś skierowanie stosownej skargi do Generalnego Inspektora Ochrony Danych Osobowych, oraz sprawi, iż koniecznym stanie się wydanie decyzji administracyjnej przez ww. organ, w celu zapewnienia respektowania uprawnień obywatela do ochrony jego danych osobowych.

Zestawiając powyższe wywody, ze stanem faktycznym niniejszej sprawy jako zasadna jawiła się konkluzja organu, iż Bank nie respektował sprzeciwu klienta, wobec przetwarzania jego danych osobowych w celach marketingowych.

Okolicznością niesporną w sprawie było bowiem to, że do wiadomości Banku doszło oświadczenie woli jej klienta o nie wyrażaniu zgodny na kierowanie do niego ofert reklamowych. Sam Bank przyznał, że tak zakwalifikował "reklamację" klienta złożoną w dniu 12 kwietnia 2013 r.

Poza sporem pozostawało również to, iż strona po zalogowaniu się do internetowego serwisu Banku, miała możliwość odbioru reklam emitowanych przez Bank m.in. dotyczących oferty związanej z kartami kredytowymi. Bank nie kwestionował bowiem prawdziwości dowodu załączonego przez uczestnika postępowania w postaci wydruku ze strony informacyjnej serwisu internetowego Banku.

W ocenie tutejszego Sądu, okolicznością pozostającą bez wpływu na wynik niniejszej sprawy pozostawały podnoszone przez Bank okoliczności, że klient Banku, po zalogowaniu się do serwisu internetowego, korzystał z zakładek dotyczących produktów, których nie posiadał. Klient Banku, logując się do serwisu informacyjnego przy użyciu unikalnego loginu i tylko jemu znanego hasła, ma bowiem prawo oczekiwać, iż wszystkie informacje, do których otrzyma dostęp, będą spersonalizowane. Klient może więc zakładać, że informacje z jakimi się zapozna po zalogowaniu, będą kierowane tylko i wyłącznie do niego i, że będą uwzględniały jego osobiste preferencje w tym m.in. dotyczące braku zgody na kierowanie do niego reklam. Należy bowiem odróżnić sytuację, gdy klient odwiedza ogólnodostępną stronę internetową danego Banku, na której może znaleźć informacje dotyczące wszystkich ofert Banku i na której może spotkać się z "zachętami" ze strony Banku do skorzystania z określonych produktów od sytuacji, gdy klient Banku, po użyciu swojego indywidualnego loginu i hasła, loguje się do internetowego serwisu Banku. Po takim zalogowaniu winien mieć bowiem dostęp do spersonalizowanych informacji, tj. takich, które m.in. będą uwzględniały jego sprzeciw wobec emisji do niego reklam.

Jeśli bowiem po zalogowaniu do serwisu, klient ma możliwość zapoznania się z reklamą Banku, to świadczy to o tym, że Bank dokonuje operacji na jego danych osobowych w celach marketingowych. Dochodzi więc w takiej sytuacji do bezprawnego (wobec złożonego sprzeciwu klienta) przetwarzania jego danych osobowych.

W tym stanie sprawy, nie podzielając argumentów zawartych w złożonej skardze oraz uznając, iż organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, jak również, że przy wykonywaniu tych czynności nie naruszył przepisów prawa, Wojewódzki Sąd Administracyjny w Warszawie orzekł, jak w sentencji wyroku, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t. j. Dz. U. z 2012 r., poz. 270 ze zm.).