Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Joanna Banasiewicz Sędziowie NSA Barbara Adamiak (spr.) del. WSA Ewa Kwiecińska Protokolant specjalista Edyta Pawlak po rozpoznaniu w dniu 31 stycznia 2012 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] Otwartego Funduszu Emerytalnego od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 27 kwietnia 2011 r. sygn. akt II SA/Wa 269/11 w sprawie ze skargi [...] Otwartego Funduszu Emerytalnego na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2010 r. nr [...] w przedmiocie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych oddala skargę kasacyjną

Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] listopada 2010 r. nr [...], wydaną na podstawie art. 138 § 1 pkt 1 Kodeksu postępowania administracyjnego i art. 12 pkt 2, art. 22 w związku z art. 7 pkt 5 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), po rozpoznaniu wniosku [...] Otwartego Funduszu Emerytalnego oraz [...] Usługi Finansowe S.A. o ponowne rozpatrzenie sprawy, utrzymał w mocy swoją decyzję z [...] września 2010 r. [...], mocą której nakazał [...] Otwartemu Funduszowi Emerytalnemu usunięcie uchybień w procesie przetwarzania danych osobowych osób zainteresowanych przystąpieniem do [...] Otwartego Funduszu Emerytalnego, pozyskiwanych za pomocą formularza "Deklaracji przystąpienia do [...] Otwartego Funduszu Emerytalnego" zamieszczonego na stronie internetowej www.[...].pl, poprzez wyodrębnienie klauzuli zgody na przetwarzanie danych osobowych dla celów marketingowych w rozumieniu art. 7 pkt 5 ustawy o ochronie danych osobowych od zgody na przekazywanie informacji handlowych drogą elektroniczną na adres poczty elektronicznej, wymaganej przepisami ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. Nr 144, poz. 1204, ze zm.).

W uzasadnieniu organ wskazał, że wszczął postępowanie z urzędu w sprawie zgodności z przepisami ustawy o ochronie danych osobowych procesu przetwarzania przez [...] Otwarty Fundusz Emerytalny, reprezentowany przez [...] Powszechne Towarzystwo Emerytalne S.A., danych osobowych osób zainteresowanych przystąpieniem do Funduszu pozyskiwanych za pomocą formularza "Deklaracja przystąpienia do [...] Otwartego Funduszu Emerytalnego" zamieszczonego na stronie internetowej www.[...].pl.

W toku postępowania Generalny Inspektor ustalił, że Spółka przewidziała możliwość przystąpienia do Funduszu drogą elektroniczną. W celu tym należało wypełnić deklarację dostępną na stronie internetowej Spółki. W deklaracji tej znajdowały się cztery tzw. "zakładki" o nazwach: "Dane Członka OFE", "Adres, kontakt", "Osoby uposażone" oraz "Dyspozycje, oświadczenia". W zakładkach tych zamieszczone zostały poszczególne fragmenty deklaracji, wypełnianej przez osobę zamierzającą przystąpić do Funduszu. W ostatniej ze wskazanych wyżej zakładek, zamieszczona była klauzula zgody, przy której przewidziana była możliwość wyrażenia zgody poprzez zaznaczenie opcji TAK lub NIE. Jednakże pole wyboru zatytułowane "TAK" było zaznaczone automatycznie. Dla przyjęcia deklaracji przez system informatyczny Spółki nie było wymagane wypełnienie przez osobę zainteresowaną jakiejkolwiek rubryki znajdującej się w zakładce "Dyspozycje, oświadczenia". Procedura wypełniania deklaracji przewidziana była w taki sposób, iż osoba ją wypełniająca nie była obligatoryjnie zapoznawana z treścią informacji zamieszczonych w tej zakładce. Tym samym możliwe było, iż osoba wypełniająca deklarację, nie tylko nie zapoznawała się z treścią klauzuli zgody, ale również nie była świadoma jej istnienia, a system informatyczny przyjmował wypełnioną przez nią deklarację. Po podaniu wymaganych przez system danych osobowych osoba wypełniająca deklarację proszona była o weryfikację poprawności wprowadzonych informacji. Wśród danych, które prezentowano celem weryfikacji, wyraźnie wyodrębnione było "Oświadczenie Członka Funduszu" o treści: "Wyrażam zgodę na przetwarzanie danych osobowych", obok którego widniała opcja TAK lub NIE. W sytuacji, kiedy osoba wypełniająca deklarację nie złożyła żadnego oświadczenia w przedmiocie przetwarzania jej danych osobowych, prezentowana była opcja TAK, co potwierdzało, iż wybór tej opcji dokonywany był automatycznie przez system informatyczny Spółki i mógł mieć miejsce bez zgody i wiedzy osoby zainteresowanej.

Jednocześnie organ ustalił, że Spółka, nie dopełniała obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych wobec osób zainteresowanych przystąpieniem do Funduszu poprzez stronę internetową Spółki w treści samej deklaracji, a w części zatytułowanej "Informacje dla przystępujących do [...] N.-N. Polska Otwartego Funduszu Emerytalnego".

W związku z powyższymi ustaleniami, organ zwrócił się do Spółki o podjęcie działań mających na celu zapewnienie zgodności przetwarzania przez Spółkę danych osobowych osób zainteresowanych przystąpieniem do Funduszu z przepisami ustawy o ochronie danych osobowych.

Pomimo kolejnych wystąpień Generalnego Inspektora Ochrony Danych Osobowych skierowanych do Spółki, nie dostosowała ona w pełni procesu przetwarzania danych osobowych osób zainteresowanych przystąpieniem do Funduszu do sygnalizowanych uwag. Spółka podjęła kroki natury technicznej, w wyniku których wyeliminowano automatyczne odznaczenie opcji "TAK" przy klauzuli zgody zamieszczonej na stronie internetowej w zakładce "Dyspozycje, oświadczenia" oraz zamieściła w tym miejscu klauzulę dotyczącą obowiązku informacyjnego.

Spółka nie podzieliła jednak prezentowanego konsekwentnie przez organ stanowiska w kwestii odrębnego traktowania zgody na przetwarzanie danych osobowych w celach marketingowych od zgody na przesyłanie informacji handlowych na adres poczty elektronicznej. Jednocześnie Spółka wyjaśniła, iż w treści klauzuli, poprzez którą dopełnia obowiązku informacyjnego wobec osób zainteresowanych przystąpieniem do Funduszu drogą elektroniczną, nie wskazała celu przetwarzania danych osobowych bowiem, zdaniem Spółki, osoba przystępująca do Funduszu w powyższy sposób posiada przedmiotową informację.

Ostatecznie na stronie internetowej Spółki oświadczenie woli w zakładce "Oświadczenia" będącej częścią "Deklaracji przystąpienia do [...] N.-N. Polska OFE" w dalszym ciągu zawierało w swej treści zarówno zgodę na przetwarzanie danych osobowych w celach marketingowych wynikającą z przepisów ustawy o ochronie danych osobowych, jak i zgodę na przesyłanie drogą elektroniczną informacji handlowych, o której mowa w przepisach ustawy o świadczeniu usług drogą elektroniczną.

Organ podniósł również, że na przedmiotowej stronie nie uregulowano w sposób zgodny z wymaganiami wynikającymi z ustawy o ochronie danych osobowych kwestii dotyczącej obciążającego administratora danych obowiązku informacyjnego. W treści klauzuli, poprzez którą Spółka dopełnia tego obowiązku, w dalszym ciągu brak było informacji o celu zbierania danych, a w szczególności o znanych jej w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych. Ponadto, z przedmiotowej klauzuli wynikało, iż administratorem danych osobowych przekazywanych przez członka Funduszu, w związku z uczestnictwem w Funduszu, w rozumieniu ustawy o ochronie danych osobowych, jest [...] N.-N. Polska Powszechne Towarzystwo Emerytalne Spółka Akcyjna.

Wobec powyższego w dniu [...] września 2007 r. Generalny Inspektor Ochrony Danych Osobowych wydał decyzję nr [...], mocą której nakazał Spółce usunięcie uchybień w procesie przetwarzania danych osobowych osób zainteresowanych przystąpieniem do Funduszu, poprzez dokonanie modyfikacji zawartej na niej klauzuli tak, aby w jej wyniku powstały dwa odrębne oświadczenia woli obejmujące swym zakresem zgodę na przetwarzanie danych osobowych dla celów marketingowych w rozumieniu art. 7 pkt 5 ustawy o ochronie danych osobowych oraz zgodę na przekazywanie informacji handlowych drogą elektroniczną wymaganą przepisami ustawy o świadczeniu usług drogą elektroniczną; zmianę treści zamieszczonej na ww. stronie internetowej tzw. "klauzuli informacyjnej", za pomocą której Towarzystwo dopełniło wobec osób przystępujących do Funduszu obowiązek informacyjny określony w art. 24 ust. 1 ustawy o ochronie danych osobowych poprzez prawidłowe oznaczenie administratora danych (wskazanie, że jest nim w tym przypadku [...] N.-N. Polska Otwarty Fundusz Emerytalny) oraz uzupełnienie przedmiotowej klauzuli o informację dotyczącą celu zbierania danych, a w szczególności o znanych Towarzystwu – w czasie udzielania osobie, której dane dotyczą, informacji – lub przewidywanych odbiorcach lub kategoriach odbiorców danych.

Po rozpoznaniu wniosku o ponowne rozpatrzenie sprawy organ wydał w dniu [...] grudnia 2007 r. decyzję nr [...], utrzymującą w mocy zaskarżoną decyzję. Decyzja ta została zaskarżona przez Spółkę do Wojewódzkiego Sądu Administracyjnego w Warszawie, jednak Sąd postanowieniem z dnia 4 marca 2008 r. odrzucił skargę Spółki, z uwagi na uchybienie terminu do jej wniesienia.

W dniu 29 maja 2008 r. do Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek Spółki o stwierdzenie nieważności decyzji z dnia [...] września 2007 r. i z dnia [...] grudnia 2007 r. W uzasadnieniu wniosku Spółka podniosła, że wskazane decyzje obarczone są wadą skutkującą ich nieważnością, bowiem wynika z nich, że administratorem danych osobowych członków Funduszu powinien być sam Fundusz, a nie Spółka.

Wobec powyższego organ wydał w dniu [...] września 2008 r. decyzję nr [...], mocą której odmówił uwzględnienia wskazanego wniosku. Po rozpatrzeniu wniosku o ponowne rozpatrzenie sprawy organ wydał w dniu [...] grudnia 2008 r. decyzję nr [...], mocą której utrzymał w mocy zaskarżoną decyzję.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 28 maja 2009 r. sygn. akt II SA/Wa 234/09 uchylił zaskarżoną decyzję i decyzję ją poprzedzającą. W uzasadnieniu ww. wyroku Sąd wskazał, że przedmiotowe decyzje i sformułowany w nich nakaz nie zostały skierowane do strony postępowania – Funduszu, ale do jego organu – Spółki, któremu błędnie przyznano status strony postępowania.

Uwzględniając powyższe rozstrzygnięcie Sądu, organ wydał w dniu [...] października 2009 r. decyzję nr [...], mocą której stwierdził nieważność decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2007 r. oraz z dnia [...] grudnia 2007 r.

W dalszej części uzasadnienia organ wskazał, że w zamieszczonym obecnie na stronie internetowej www.[...].pl oświadczeniu będącym częścią "Deklaracji przystąpienia do [...] Otwartego Funduszu Emerytalnego" Fundusz zawarł klauzulę zgody na przetwarzanie danych osobowych w celach marketingowych przez [...] Usługi Finansowe S.A. Ponadto, w dalszym ciągu oświadczenie to zawiera w swej treści zarówno zgodę członków Funduszu na przetwarzanie danych osobowych w celach marketingowych wynikającą z przepisów ustawy o ochronie danych osobowych, jak i zgodę na przesyłanie drogą elektroniczną informacji handlowych, o której mowa w przepisach ustawy o świadczeniu usług drogą elektroniczną.

Jak wynika z wyjaśnień Funduszu wyraził on zgodę na umieszczenie przez [...] Usługi Finansowe S.A. na formularzu przedmiotowej deklaracji klauzul zgody dotyczących przetwarzania przez ten podmiot danych osobowych członków Funduszu w celach marketingowych, gdyż łączy je z tym podmiotem, zawarta w oparciu o art. 89 ust. 3 ustawy o organizacji i funkcjonowaniu funduszy emerytalnych, umowa o prowadzenie rejestru i obsługę członków Funduszu z dnia 27 września 2002 r. Na podstawie tej umowy Fundusz zlecił [...] Usługi Finansowe S.A., jako agentowi transferowemu, świadczenie usługi związanej z prowadzeniem rejestru członków Funduszu oraz obsługą członków Funduszu.

W zaistniałym stanie faktycznym Generalny Inspektor Ochrony Danych Osobowych wydał decyzję administracyjną z dnia [...] września 2010 r. nr [...], mocą której nakazał [...] Otwartemu Funduszowi Emerytalnemu reprezentowanemu przez [...] Powszechne Towarzystwo Emerytalne S.A. usunięcie uchybień w procesie przetwarzania danych osobowych osób zainteresowanych przystąpieniem do [...] Otwartego Funduszu Emerytalnego, pozyskiwanych za pomocą formularza "Deklaracji przystąpienia do [...] Otwartego Funduszu Emerytalnego", poprzez wyodrębnienie klauzuli zgody na przetwarzanie danych osobowych dla celów marketingowych w rozumieniu art. 7 pkt 5 ustawy o ochronie danych osobowych, od zgody na przekazywanie informacji handlowych drogą elektroniczną na adres poczty elektronicznej, wymaganej przepisami ustawy o świadczeniu usług drogą elektroniczną. Decyzja ta została zaskarżona przez pełnomocnika Funduszu oraz [...] Usługi Finansowe S.A.

W uzasadnieniu decyzji z dnia 29 listopada 2010 r. organ podniósł, że jego wątpliwości budzi ta część "Deklaracji przystąpienia do [...] Otwartego Funduszu Emerytalnego", która dotyczy zgody na przetwarzanie danych osobowych członków Funduszu w celach marketingowych [...] Usługi Finansowe S.A. Oceniając treść tego oświadczenia, łączącego zgodę na przetwarzanie danych osobowych w celach marketingowych ze zgodą na przesyłanie informacji handlowych na adres poczty elektronicznej, o której stanowi art. 4 ust. 1 ustawy o świadczeniu usług drogą elektroniczną, organ stwierdził, iż jest ono niezgodne z art. 7 pkt 5 ustawy o ochronie danych osobowych. Powołany przepis stanowi bowiem, że pod pojęciem zgody osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Istotne jest zatem, by oświadczenie zawierające zgodę na przetwarzanie danych osobowych złożone zostało w taki sposób, aby zgoda ta była wyraźna i dotyczyła przetwarzania danych w konkretnym, wskazanym przez administratora danych celu. Formuła zgody na przetwarzanie danych osobowych powinna stanowić odrębne oświadczenie osoby, której dane dotyczą, zaś z jej treści powinno w sposób niebudzący wątpliwości wynikać w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego na co się godzi.

Organ podkreślił również, że art. 16 ust. 1 ustawy o świadczeniu usług drogą elektroniczną stanowi, iż do przetwarzania danych osobowych w rozumieniu ustawy o ochronie danych osobowych w związku ze świadczeniem usług drogą elektroniczną, stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej. A zatem w sytuacji braku odmiennych uregulowań w przepisach ustawy o świadczeniu usług drogą elektroniczną, do przetwarzania danych w powyższego rodzaju przypadkach, zastosowanie znajdą przepisy ustawy o ochronie danych osobowych, w tym te odnoszące się do wymogów, jakie powinno spełniać oświadczenie woli w przedmiocie zgody na przetwarzanie danych osobowych.

W przypadku sformułowania jednego oświadczenia woli zawierającego w swej treści zgodę, o której mowa w przepisach ustawy o ochronie danych osobowych oraz tą wskazaną w ustawie o świadczeniu usług drogą elektroniczną, trudno mówić o spełnieniu przez administratora danych określonego w ustawie o ochronie danych osobowych wymogu zapewnienia osobie, której dane dotyczą, swobodnego i nieskrępowanego podjęcia decyzji i wyrażenia woli w sprawie zgody na przetwarzanie jej danych osobowych. Podmiot danych wyrażając chęć otrzymywania informacji handlowych na adres poczty elektronicznej musi jednocześnie złożyć oświadczenie woli w przedmiocie zgody na przetwarzanie jego danych osobowych w celach marketingowych wynikającą z przepisów ustawy o ochronie danych osobowych. Osoba, której dane dotyczą, zainteresowana otrzymywaniem materiałów reklamowych dotyczących usług i produktów oferowanych przez inne niż administrator danych podmioty, wyłącznie tzw. "pocztą tradycyjną", zobowiązana jest jednocześnie do wyrażenia woli na przesyłanie na jej adres poczty elektronicznej informacji handlowych. W świetle powyższego organ stwierdził, że Fundusz powinien zapewnić osobie przystępującej do Funduszu możliwość wyrażenia zgody na przetwarzanie jej danych osobowych w celach marketingowych [...] Usługi Finansowe S.A. odrębnej od zgody na przekazywanie na wskazany przez nią adres e-mail materiałów reklamowych.

Za bezzasadną uznano argumentację Skarżących odnoszącą się do braku wpływu połączenia w jednej klauzuli zgody osoby, której dane dotyczą na przesyłanie na podany przez nią adres e-mail informacji handlowych ze zgodą na przetwarzanie jej danych osobowych w celach marketingowych, na ich odwoływanie. Ustawa o świadczeniu usług drogą elektroniczną w swym art. 4 ust. 1 pkt 2 stanowi, iż jeżeli ustawa wymaga uzyskania zgody usługobiorcy, to zgoda ta może być odwołana w każdym czasie. Przepisy ustawy o ochronie danych osobowych nie regulują natomiast kwestii odwołania uprzednio wyrażonej zgody.

W związku z powyższym Fundusz jest zobowiązany do sformułowania klauzuli zgody na przetwarzanie danych w celach marketingowych w sposób oddzielny od klauzuli zgody na otrzymywanie informacji handlowych za pomocą poczty elektronicznej, także po to, aby osoba zainteresowana mogła swobodnie zgodę taką odwołać.

Odnosząc się natomiast do kwestii wskazania administratora danych pozyskiwanych za pomocą "Deklaracji przystąpienia do [...] Otwartego Funduszu Emerytalnego", organ podkreślił, że zgromadzony materiał dowodowy pozwala na stwierdzenie, iż administratorem przedmiotowych danych pozostaje Fundusz, natomiast [...] Usługi Finansowe SA, w oparciu o łączącą oba podmioty umowę o prowadzenie rejestru i obsługę członków Funduszu, występuje jako podmiot, któremu powierzono przetwarzanie danych. Stosownie bowiem do § 1 przedmiotowej umowy Fundusz zlecił [...] Usługi Finansowe S.A. świadczenie usługi związanej z prowadzeniem rejestru członków Funduszu oraz obsługę członków Funduszu (pkt 1) a [...] Usługi Finansowe S.A. zobowiązała się do wykonywania tej usługi zgodnie z obowiązującymi przepisami prawa, procedurami [...] Powszechnego Towarzystwa Emerytalnego S.A. oraz procedurami zaakceptowanymi przez Towarzystwo i instrukcjami Towarzystwa (pkt 2). W świetle przepisów ustawy o ochronie danych osobowych przetwarzanie danych osobowych członków Funduszu przez [...] Usługi Finansowe S.A. znajduje zatem uzasadnienie wyłącznie w treści art. 31 ust. 1 ustawy, zgodnie z którym administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. W sprawie przedmiotowe powierzenie nastąpiło we wskazanej umowie łączącej Fundusz z [...] Usługi Finansowe S.A. Ponadto [...] Usługi Finansowe S.A. stają się administratorem danych członków Funduszu wypełniających przedmiotową deklarację jedynie w przypadku zaznaczenia przez nich opcji TAK przy oświadczeniach zgody na przetwarzanie danych osobowych przez ten podmiot, co wynika z zamieszczonego przez Fundusz pod przedmiotowymi oświadczeniami klauzuli informującej o tym.

Organ uznał za bezzasadne zarzuty Skarżących kwestionujące prawidłowość przeprowadzonego postępowania administracyjnego, poprzez błędne ustalenie stanu faktycznego oraz niewskazanie w wydanym rozstrzygnięciu faktów i dowodów, na których je oparto oraz przyczyn, dla których innym dowodom odmówiono wiarygodności i mocy dowodowej.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 27 kwietnia 2011 r. sygn. akt II SA/Wa 269/11, po rozpoznaniu sprawy ze skargi [...] Otwartego Funduszu Emerytalnego na decyzję Generalnego Inspektora Ochrony Danych Osobowych z [...] listopada 2010 r. nr [...] w przedmiocie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych, oddalił skargę. W uzasadnieniu Sąd wskazał, że definicja administratora danych osobowych jest ujęta w art. 7 ust. 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.). Wedle tego przepisu administratorem danych osobowych jest organ, jednostka organizacyjna, podmiot lub osoba, decydująca o celach i środkach przetwarzania danych osobowych. Administratorem danych jest podmiot, który spełnia dwie przesłanki łącznie: 1) ma status podmiotu ze sfery publicznej lub prywatnej w rozumieniu ustawy o ochronie danych osobowych, 2) sprawuje władztwo w procesie przetwarzania danych osobowych.

Jeśli chodzi o pierwszą przesłankę, dla jej określenia podstawowe znaczenie ma art. 3 ustawy o ochronie danych osobowych. Przepis ten dzieli podmioty przetwarzające dane osobowe na dwie grupy. Do pierwszej zaliczamy podmioty publiczne, a więc organy państwowe, organy samorządu terytorialnego oraz państwowe i komunalne jednostki organizacyjne. W drugiej znajdą się podmioty prywatne, do których zaliczamy: podmioty niepubliczne realizujące zadania publiczne, osoby fizyczne i osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. W grupie tej będą podmioty, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. W sprawie bezsporne jest, że [...] Otwarty Fundusz Emerytalny niewątpliwe spełnia pierwszą przesłankę, gdyż jest podmiotem niepublicznym, który w związku ze swoją działalnością pozyskuje i przetwarza dane osobowe. Potwierdził ten fakt prawomocny wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 28 maja 2009 r. sygn. akt II SA/Wa 234/09. Spornym jest natomiast, czy [...] Otwarty Fundusz Emerytalny sprawuje władztwo w procesie przetwarzania danych osobnych. Skarżący twierdzi, że [...] Otwarty Fundusz Emerytalny nie jest administratorem danych osobowych przetwarzanych w celach marketingowych. Dane te są bowiem zbierane przez [...] Usługi Finansowe SA, bowiem osoby przystępujące do funduszu poprzez zaznaczenie opcji TAK przy klauzuli zgody marketingowej umieszczonej na deklaracji zgody przystąpienia do funduszu wyrażają zgodę na przejęcie ich danych. Sąd podkreślił, że zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W ramach przetwarzania danych osobowych występuje także powierzanie danych do przetwarzania, "co wiąże się z procesami zlecania czynności związanych z przetwarzaniem danych osobowych innym podmiotom" (M. Byczkowski, Zarządzanie procesami przetwarzania danych osobowych tekst zamieszczony w Ochrona danych osobowych. Aktualne problemy i nowe wyzwania, red. G. Sibiga X. Konarski, Warszawa 2007, s. 17). Stanowisko takie ma potwierdzenie w orzecznictwie sądów administracyjnych (por. wyrok NSA z dnia 1 grudnia 2009 r. sygn. akt I OSK 227/09 opublikowany w CBOSA). Tak zatem przekazanie innym podmiotom uprawnień związanych ze zbieraniem i dalszym przetwarzaniem danych osobowych, nie oznacza, że dany podmiot nie jest już administratorem w rozumieniu omawianej regulacji. Administrator bowiem jest podmiotem, na rzecz którego zbierane są dane osobowe i w pełni kontroluje on sposób zbierania danych osobowych.

Na gruncie rozpatrywanej sprawy Sąd wskazał, że pomiędzy [...] OFE, a [...] Usługi Finansowe S.A. w dniu [...] września 2002 r. została zawarta umowa o prowadzenie rejestru i obsługę członków [...] Otwartego Funduszu Emerytalnego (k. 223-220 akt administracyjnych sprawy). Umowa ta zawarta jest w oparciu o art. 89 ust. 3 ustawy o organizacji i funkcjonowaniu funduszy emerytalnych. Z treści preambuły (pkt a) do umowy wynika, iż OFE zleca usługę związaną z prowadzeniem rejestru członków OFE w zakresie zgodnym z przepisami prawa, więc także ustawy o ochronie danych osobowych. Natomiast wedle § 1 ust. 2 umowy [...] Usługi Finansowe SA zobowiązują się do wykonywania usługi zgodnie z procedurami i instrukcjami [...] Otwartego Funduszu Emerytalnego oraz procedurami zaakceptowanymi przez OFE. Oznacza to, że sposób prowadzenia przez [...] Usługi Finansowe SA strony internetowej, poprzez którą osoby zainteresowane składają chęć przystąpienia do [...] Otwartego Funduszu Emerytalnego jest w pełni uzależniony do [...] Otwartego Funduszu Emerytalnego. To na jego rzecz i za jego zgodą są umieszczane i zbierane dane osobowe osób chcących przystąpić do OFE i co więcej treść deklaracji przystąpienia do Funduszu wyraźnie wskazuje na [...] Otwarty Fundusz Emerytalny jako podmiot, któremu osoby chcące przystąpić do OFE udostępniają swoje dane osobowe. Jeśliby zatem przyjąć sposób rozumowania wskazany w skardze oznaczałoby to, że [...] Otwarty Fundusz Emerytalny w ogóle poprzez ww. umowę z dnia 27 września 2002 r. zrzekł się jakiejkolwiek kontroli nad zbieranymi przez [...] Usługi Finansowe SA danymi osobowymi osób, które za pośrednictwem strony internetowej chcą przystąpić do OFE oraz nad tym, jakie dane osobowe i w jakim celu zbiera agent transferowy. Taka sytuacja byłaby sprzeczna zarówno z treścią ww. umowy z dnia 27 września 2002 r., ale także z przepisami dotyczącymi funkcjonowania otwartych funduszy emerytalnych. Tak więc wbrew twierdzeniu skargi [...] Otwarty Fundusz Emerytalny jest administratorem danych osobowych pozyskiwanych poprzez deklarację przystąpienia do [...] OFE i to ten podmiot jest odpowiedzialny za to kto i w jakim celu za pośrednictwem strony internetowej zbiera dla niego dane osobowe.

Skarżący ma rację mówiąc, iż ustawa o ochronie danych osobowych nie zakazuje dopuszczenia w jednym oświadczeniu woli zgody na dwa rodzaje przesyłania danych osobowych. Jednak problemem jest takie sformułowanie tej zgody, że faktycznie, co słusznie podkreślił organ, osobie, która wyraża zgodę nie pozostawia się możliwości wyboru, co do sposobu przesyłania danych marketingowych drogą tradycyjną lub tylko pocztą elektroniczną, ale także sposób sformułowania tej zgody, który w gruncie rzeczy może wprowadzać w błąd osoby chcące przystąpić do OFE, co do tego czy godzą się tylko na przetwarzanie swoich danych osobowych w celach marketingowych i przesyłanie informacji o produktach grupy [...] drogą zwykłą, czy też także drogą elektroniczną. Umieszczenie zgody na dwa w istocie różne sposoby przetwarzania udzielonych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania, czego ta zgoda dotyczy, w niewątpliwy sposób powoduje, iż osoba wyrażająca zgodę nie wie dokładnie, na co wyraża taką zgodę. Sformułowanie oświadczenia może bowiem sugerować:

– że chodzi jedynie o przetwarzanie danych osobowych w celach przesyłania informacji handlowych drogą elektroniczną, albo;

– że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą, albo;

– że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą elektroniczna i przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą.

Taka sytuacja jest sprzeczna z treścią art. 7 ust. 5 ustawy o ochronie danych osobowych, gdyż "zgoda na przetwarzanie danych osobowych musi być wyraźna. Nie spełnia tego wymagania podpisanie oświadczenia o wyrażeniu zgody na przetwarzanie danych, stanowiącego dodatkowy element innego zobowiązania niezawierającego informacji o celach i zakresie przetwarzania tych danych" (wyrok NSA z dnia 4 kwietnia 2003 r. sygn. akt II SA 2135/02 opublikowany w Lex nr 107067). Sposób sformułowania klauzuli o przetwarzaniu danych osobowych w celach marketingowych zawarty w deklaracji przystąpienia do [...] OFE powoduje, iż osoba, która ją składa nie może być do końca pewna na co rzeczywiście się zgadza. Nadto obecny sposób sformułowania tej zgody powoduje, iż osoba zainteresowana, nie może odwołać np. tylko jednej ze zgód np. zgody na przetwarzanie danych osobowych w celach marketingowych, a pozostawić drugą. To rozwiązanie jest również niekorzystne dla osoby, która chce, aby w ograniczonym stopniu były przetwarzane jej dane osobowe, np. chciałaby otrzymywać informacje o produktach grupy [...] pocztą elektroniczną, ale nie jest zainteresowana innymi formami marketingu np. marketingiem telefonicznym.

Tak więc sposób sformułowania w deklaracji przystąpienia do [...] OFE zgody na przetwarzanie danych osobowych w celach marketingowych i w celach związanych z przesyłaniem informacji drogą elektroniczną powinien ulec zmianie tak, aby klauzula zgody na przetwarzanie danych osobowych w celach marketingowych i klauzula przetwarzania danych w celach związanych z otrzymywaniem informacji handlowych były oddzielone.

Jako niezasadne Sąd uznał zarzuty dotyczące naruszenia przepisów prawa procesowego przez Generalnego Inspektora Ochrony Danych Osobowych. Postępowanie dowodowe było prowadzone przez organ w sposób prawidłowy i wnikliwy. Organ zbierał samodzielnie materiał dowodowy oraz dołączył do akt sprawy dowody przedstawione przez stronę i uczestnika postępowania. W obszernym uzasadnieniu obu wydanych w sprawie decyzji dokonano obszernej i głębokiej analizy zarówno zebranych dowodów, jak i argumentów uczestników postępowania. Organ przestawił tym zakresie szerokie uzasadnienie faktyczne, jak i prawne. W uzasadnieniu decyzji wydanej w wyniku złożenia przez stronę jak i uczestnika postępowania wniosku o ponowne rozpatrzenie sprawy, ponownie dokonał całkowitej oceny zarówno ustalonego stanu faktycznego, jak i argumentów wyrażonych we wnioskach o ponowne rozpatrzenie sprawy. Fakt, że te ustalenia nie są zbieżne z wnioskami skarżącego nie oznacza, że zostały naruszone przepisy Kodeksu postępowania administracyjnego.

Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.) oddalił skargę.

[...] Otwarty Fundusz Emerytalny wniósł od wyroku skargę kasacyjną, zaskarżając wyrok w całości. Skargę kasacyjną oparł na zarzutach:

1) naruszenia przepisów prawa procesowego mające istotny wpływ na wynik sprawy, a w szczególności rażącym naruszeniem art. 134 § 1 w związku z art. 141 § 4 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, poprzez niedokonanie przez Sąd wszechstronnej analizy sprawy [...], materiałów zawartych w aktach przedmiotowej sprawy i nie uwzględnienie niezgodności decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2010 r. nr [...] z przepisami prawa wskazanymi przez Spółkę w skardze z dnia 30 grudnia 2010 r. oraz w toku postępowania przed Wojewódzkim Sadem Administracyjnym,

2) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, to jest:

– art. 7 ust. 4 ustawy o ochronie danych osobowych poprzez błędną interpretację pojęcia administratora danych, a w konsekwencji przyjęcie, że skarżący jako podmiot prowadzący stronę internetową, na której umieszczony jest formularz deklaracji przystąpienia do Funduszu jest wyłącznym decydentem w zakresie przetwarzania danych osobowych pozyskanych przez ten formularz;

– art. 7 ust. 5 ustawy o ochronie danych osobowych poprzez błędną interpretację pojęcia zgody osoby, której dane dotyczą, a w konsekwencji przyjęcie, że na podstawie ustawy o ochronie danych osobowych niedopuszczalne jest łączenie w jednym oświadczeniu różnych sposobów przetwarzania danych osobowych.

Na tych podstawach wnosił o:

1) uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania,

2) zasądzenie kosztów postępowania za obie instancje.

Generalny Inspektor Ochrony Danych Osobowych wniósł o oddalenie skargi kasacyjnej jako całkowicie bezzasadnej.

Naczelny Sąd Administracyjny zważył, co następuje:

Zgodnie z art. 183 § 1 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 powołanej ustawy – Prawo o postępowaniu przed sądami administracyjnymi, przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.

Skarga kasacyjna nie została oparta na usprawiedliwionych podstawach. Nie jest zasadny zarzut naruszenia art. 7 pkt 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.). Według art. 7 pkt 4 tej ustawy, przez administratora danych rozumie się organ, jednostkę organizacyjną, podmiot lub osobę, o której mowa w art. 3, decydującą o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych jest więc jedynie taki dysponent danych, który decyduje o celach i środkach ich przetwarzania. Powołany przepis w swej treści posługuje się pojęciem "przetwarzania danych osobowych", a zatem konieczne jest także odwołanie się do ustawowej definicji tego pojęcia, gdyż "cele" i "środki" należy zawsze odnosić do procesu przetwarzania danych osobowych. Stosownie do art. 7 pkt 2 tej ustawy przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Należy podkreślić, że ustawa używa pojęcia "przetwarzanie danych osobowych", a zatem posługuje się określeniem wskazującym na dokonywanie (tu i teraz) czynności czy operacji na danych osobowych. Z samej treści "Deklaracji przystąpienia do [...] Otwartego Funduszu Emerytalnego" wynika wprost, że [...] Otwarty Fundusz Emerytalny jest podmiotem decydującym o celach i środkach ich przetwarzania. Umowa pomiędzy [...] Otwarty Fundusz Emerytalny a [...] Usługi Finansowe S.A. nie może zmienić i wpłynąć na ustalenie administratora danych osobowych.

Zgodnie z treścią art. 31 ust. 1 ustawy o ochronie danych osobowych administrator danych w drodze umowy zawartej na piśmie może powierzyć innemu podmiotowi przetwarzanie danych. Podmiot, o którym mowa w ust. 1 może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2). Podmiot określony w ust. 1 zobowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36–39, oraz spełniać wymagania sprecyzowane w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jako administrator danych (ust. 3). W przypadkach, o których mowa w ust. 1–3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową (ust. 4). Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14–19 (ust. 5).

Z powyższego przepisu jasno wynika, że [...] Otwarty Fundusz Emerytalny jest administratorem danych osobowych, decydując o celach i środkach wszelkich operacji dotyczących danych osobowych, co wyznacza wprost "Deklaracja przystąpienia do [...] Otwarty Fundusz Emerytalny". Celów i środków zbierania danych osobowych przystąpienia do [...] Otwarty Fundusz Emerytalny nie wyznacza [...] Usługi Finansowe S.A. Przewidziana w art. 31 ustawy o ochronie danych osobowych instytucja powierzenia przetwarzania danych osobowych wymaga, by zlecającym był właśnie administrator danych, czyli podmiot aktualnie przetwarzający dane osobowe, a nie podmiot mający przetwarzać dane, gdyż tylko przetwarzający dane osobowe decydujące, jak tego wymaga ustawowa definicja administratora danych, o celach i środkach przetwarzania danych, a więc szeregu składających się na ten proces czynności, które mają miejsce, a nie które zostaną przyjęte. W zakresie rozpoznawanym przez organ co do zgodności z ustawą o ochronie danych osobowych "Deklaracji przystąpienia do [...] Otwarty Fundusz Emerytalny" nie ma podstaw prawnych i faktycznych do zakwestionowania przyznania [...] Otwarty Fundusz Emerytalny statusu administratora. Rozpoznając w tym zakresie sprawę Sąd nie rozważał przyznania statusu administratora również [...] Usługi Finansowe S.A. Nie ma to jednak znaczenia dla zgodności z prawem zaskarżonej decyzji, skoro nie ma podstaw do podważenia, że [...] Otwarty Fundusz Emerytalny jest administratorem danych objętych Deklaracją przystąpienia do [...] Otwarty Fundusz Emerytalny. Fakt, że status administratora danych można przyznać także innemu podmiotowi ) [...] Usługi Finansowe) nie podważa prawidłowości ustaleń adresata decyzji.

Nie jest zasadny zarzut naruszenia art. 7 pkt 5 ustawy o ochronie danych osobowych w zakresie rozbicia klauzuli marketingowej. Przeprowadzona wykładnia znajduje pełne umocowanie w regulacji prawnej Unii Europejskiej. Zgodnie z dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności w sektorze łączności elektronicznej, Dz.Urz. UE L Nr 201, poz. 37 ze zm.), podstawowa wartością jest zapewnienie praw i wolności w zakresie przetwarzania danych osobowych, w szczególności prawa do prywatności, gwarantowaną w Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności oraz w konstytucjach Państw Członkowskich. W dyrektywie przyjmuje się, że zgoda użytkownika lub abonenta, niezależnie od tego, czy abonentem jest osoba fizyczna czy prawna powinna mieć to samo znaczenie co zgoda podmiotu danych opisana i szerzej określona w dyrektywie 94/46/WE. Zgoda może być udzielona w jakikolwiek sposób umożliwiający swobodne i świadome wyrażenie woli użytkownika, włączając zaznaczenie okna wyboru podczas przeglądania witryny internetowej. Dyrektywa nakazuje zapewnić środki zabezpieczenia abonentów przed ingerencją w ich prywatność przez niezamówione komunikaty do celów marketingu bezpośredniego w szczególności przez urządzenia do wywołań automatycznych, telefaksy i wiadomości z poczty elektronicznej (e-maile), w tym wiadomości SMS. W przypadku takich form niezamówionych komunikatów dotyczących marketingu bezpośredniego, uzasadnione staje się wymaganie uprzedniej wyraźnej zgody odbiorcy. W kontekście istniejącej relacji z klientem, uzasadnione staje się wykorzystywanie szczegółowych elektronicznych danych kontaktowych w celu oferowania podobnych produktów lub usług, ale jedynie za pośrednictwem tego samego przedsiębiorcy, który uzyskał elektroniczne dane kontaktowe zgodnie z dyrektywą 95/46/WE. Jeżeli szczegółowe elektroniczne dane kontaktowe zostały uzyskane klient powinien zostać poinformowany o przyszłym ich wykorzystywaniu do celów marketingu bezpośredniego w sposób jasny i wyraźny, oraz powinien mieć możliwość wyrażenia sprzeciwu wobec tego rodzaju wykorzystywania jego danych. Ta szczególna ochrona uzasadniona jest gwarancją ochrony bezpieczeństwa w publicznych sieciach łączności, pewności użytkowników, że ich prywatność nie zostanie zagrożona.

Przyjęta wykładnia art. 7 pkt 5 ustawy o ochronie danych osobowych jest wykładnią w pełni odpowiadającą standardom ochrony przyjętej regulacji prawnej Unii Europejskiej. Wymagania szczególne w zakresie wersji elektronicznej związane są z dostępem do sieci łączności a ochroną danych osobowych.

Prawidłowa wykładnia przepisów art. 7 pkt 4 i pkt 5 ustawy o ochronie danych osobowych powoduje, że nie są zasadne zarzuty naruszenia art. 134 § 1 w związku z art. 141 § 4 ustawy – Prawo o postępowaniu przed sądami administracyjnymi. Mający oparcie w regulacji materialnoprawnej wyprowadzony stan faktyczny sprawy odpowiada jego ocenie wynikającej z akt sprawy. Uzasadnienie zaskarżonego wyroku jest zgodne z art. 141 § 4 ustawy – Prawo o postępowaniu przed sądami administracyjnymi.

W tym stanie rzeczy, skoro skarga kasacyjna nie została oparta na usprawiedliwionych podstawach, na mocy art. 184 powołanej ustawy – Prawo o postępowaniu przed sądami administracyjnymi, Naczelny Sąd Administracyjny orzekł jak w sentencji.