Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk, Sędzia WSA Joanna Kube (spr.), Sędzia WSA Ewa Radziszewska-Krupa, Protokolant starszy specjalista Ewa Kielak-Niedźwiedzka po rozpoznaniu na rozprawie w dniu 10 kwietnia 2024 r. sprawy ze skargi M. sp. z o.o. sp.k. z siedzibą w O. na decyzję Prezesa Urzędu Ochrony Urzędu Danych Osobowych z dnia [...] maja 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz strony skarżącej M. sp. z o.o. sp.k. z siedzibą w O. kwotę 680 (słownie: sześćset osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania.

Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") decyzją z dnia [...] maja 2023 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14.06.1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U.

z 2023 r., poz. 775), dalej: "k.p.a." w zw. z art. 7 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (t.j. Dz. U. z 2019 r. poz. 1781), art. 6 ust. 1, art. 17 ust. 1, art. 21 ust. 2 i 3 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 (ogólne rozporządzenie

o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127

z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str.35), dalej: "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi T.C. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez M. sp. z o.o. sp.k. z siedzibą w O., polegające na przetwarzaniu danych osobowych skarżącego w celach marketingowych bez podstawy prawnej oraz nieuwzględnieniu żądania skarżącego zakresie usunięcia jego danych osobowych. Prezes UODO udzielił M. sp. z o.o. sp.k.

z siedzibą w O. (dalej: "Spółka"), upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 21 ust. 2 i 3 oraz art. 17 ust. 1 lit. c RODO, polegające na przetwarzaniu danych osobowych T.C. (dalej: "skarżący") w celach marketingowych bez podstawy prawnej.

Skarżący pismem z dnia [...] października 2019 r. skierował do Prezesa UODO skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Spółkę. Podał, że w dniu [...] sierpnia 2019 r. drogą mailową wyraził wolę usunięcia jego numeru telefonu z systemów Spółki. W dniu [...] października 2019 r. o godzinie 10:58 nawiązano ze Spółki połączenie telefoniczne na jego numer [...]

z ofertą handlową, numer dzwoniący to [...]. Oznacza to zdaniem skarżącego, że Spółka nie zrealizowała jego żądania, co stanowi naruszenie art. 17 RODO.

Prezes UODO w przedmiotowej sprawie ustalił, że Spółka pozyskała dane osobowe skarżącego na podstawie umowy o korzystanie z serwisu internetowego ze swoim klientem, tj. P. sp. z o.o. Ww. klient był reprezentowany przez skarżącego, jako prezesa zarządu, a ponadto jego dane zostały podane jako dane do wysyłki paczek (imię i nazwisko) oraz numer telefonu.

W ocenie Prezesa UODO Spółka była uprawniona do przetwarzania danych skarżącego, na podstawie art. 6 ust. 1 lit. b RODO, zgodnie z którym przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Skarżący bowiem dobrowolnie wskazał swoje imię i nazwisko oraz numer telefonu przy zawieraniu umowy, działając jako prezes zarządu P. sp.

z o.o. (klienta Spółki).

Skarżący w dniu [....] sierpnia 2019 r. skierował do Spółki drogą elektroniczną korespondencję zawierającą żądanie usunięcia wszystkich jego danych osobowych.

W odpowiedzi na ww. wiadomość Spółka wskazała, że posiada on aktywne konto, wobec czego poprosiła o przesłanie skanem bądź pocztą podpisanego wniosku o zamknięcie konta oraz usunięcie danych. Skarżący w dniu [...] października 2019 r. otrzymał ponowne połączenie telefoniczne z ofertą handlową od Spółki.

Spółka usunęła dane osobowe skarżącego w zakresie imienia, nazwiska oraz numeru telefonu po odebraniu pisma od Prezesa UODO.

Zdaniem Prezesa UODO, Spółka nie była uprawniona do przetwarzania danych osobowych skarżącego w celach marketingowych i mimo wniesienia żądania przez skarżącego w zakresie usunięcia jego danych, nadal je przetwarzała, kontaktując się ze skarżącym w dniu [...] października 2019 r.

W związku z powyższym, na podstawie art. 58 ust. 2 lit. b RODO, zgodnie

z którym każdemu organowi nadzorczemu przysługuje uprawnienie do udzielenia upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO poprzez operacje przetwarzania, Prezes UODO udzielił Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 6 ust. 1

w zw. z art. 21 ust. 2 i 3 oraz art. 17 ust. 1 lit. c RODO.

Spółka pismem z dnia skierowała do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzją Prezesa UODO z dnia [...] maja 2023 r. nr [...], wnosząc o jej uchylenie i zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego wg norm przepisanych.

Spółka zaskarżonej decyzji zarzuciła naruszenie:

• przepisów postępowania mających znaczenie dla rozstrzygnięcia sprawy,

w szczególności art. 7 k.p.a. i 7b k.p.a. oraz 8 k.p.a., które skutkowały błędnym ustaleniem stanu faktycznego, a następnie błędnym zastosowaniem przepisów prawa materialnego;

• naruszenie przepisów prawa materialnego, to jest art. 6 ust. 1, art. 17 ust. 1, art. 21 ust. 2 i 3 RODO poprzez ich błędną wykładnię i niewłaściwe zastosowanie.

Spółka wskazała, że w przedmiotowej sprawie Prezes UODO przyjął, że numer telefonu [...] należy do skarżącego, jako osoby prywatnej, a nie do P. sp. z o.o. mimo, że stan faktyczny stanowi co innego. Skarżący na żadnym etapie sprawy nie wykazał, aby ww. numer telefonu był jego numerem osobistym, a nie numerem P. sp. z o.o., w której pełnił rolę prezesa zarządu.

Numer ten Spółka uzyskała nie jako numer prywatny skarżącego, a jako numer do swojego klienta - spółki P. sp. z o.o., który został podany przy rejestracji konta w portalu Spółki.

Spółka nie zgodziła się z ustaleniem organu, że w dniu [...] października

2019 r. miała się kontaktować ze skarżącym, celem przedstawienia mu oferty handlowej. Spółka w swoim piśmie z dnia [...] lipca 2020 r. wskazała wyraźnie, że zaprzecza jakoby kontaktowała się w celach marketingowych - rozmowa dotyczyła aktualizacji stawek na przesyłki przypisanych do konta P. sp. z o.o.

w serwisie Spółki (a nie skarżącego, który przecież nie był jej klientem), tak aby moc otrzymać korzystniejsze niż dotychczas warunki.

Spółka podkreśliła, że w dniu [...] października 2019 r. kontakt nie był skierowany do skarżącego jako osoby prywatnej, lecz na numer kontaktowy P. sp. z o.o. podany przez nią w portalu Spółki w związku z realizacją umowy między Spółką, a P. sp. z o.o. Rolą spedytora jest bowiem zapewnienie dla zleceniodawcy jak najlepszych warunków usług przewozowych, stąd kontakt ten mieści się w ramach należytej realizacji umowy, to jest w ramach 6 ust. 1 lit. b RODO.

Spółka dzwoniąc na ten numer nie posiadała wiedzy kto konkretnie będzie jej rozmówcą, ponieważ kontakt był nawiązywany z P. sp. z o.o. Podkreśliła, że P. sp. z o.o. miała w tym czasie cały czas aktywne konto w serwisie Spółki, a skarżący będąc jej prezesem zarządu nie zmienił numeru kontaktowego, mimo że posiadał wiedzę, że ten numer jest przypisany do konta jego spółki.

Spółka stwierdziła, że Prezes UODO oparł swoje ustalenia stanu faktycznego wyłącznie na twierdzeniu skarżącego, bez rozpatrzenia całego materiału dowodowego, a przede wszystkim bez uwzględnienia roli skarżącego jako prezesa zarządu P. sp. z o.o.

Z najdalej posuniętej ostrożności Spółka wskazała, że podstawą prawną kontaktu mógł być w tym wypadku także uzasadniony interes prawny administratora.

Prezes UODO w uzasadnieniu zaskarżonej decyzji wskazał, że taki uzasadniony interes nie mógł mieć miejsca, ponieważ skarżący nie był klientem Spółki. Natomiast Prezes UODO pomija fakt, że Spółka nie kontaktowała się w tym wypadku ze skarżącym, a ze spółką P. sp. z o.o. zgodnie z posiadanymi do niej danymi kontaktowymi, które zresztą zostały podane przez samą spółkę.

W tym wypadku - zdaniem Spółki - są podstawy, aby ustalić istnienie takiego uzasadnionego interesu prawnego, który umożliwiał Spółce kontakt telefoniczny ze swoim klientem.

Nadto w ocenie Spółki, nie można zastosować art. 21 ust. 2 i 3 RODO,

z uwagi na fakt, że przetwarzanie z punktu widzenia Spółki dotyczyło jej klienta P. sp. z o.o., a nie konkretnej osoby.

Spółka nie zgadza się także ze stanowiskiem Prezesa UODO, że żądanie usunięcia numeru telefonu, zgłoszone przez skarżącego, stanowiło sprzeciw,

o którym mowa w art. 21 ust. 2 RODO, ponieważ korespondencja mailowa znajdująca się w aktach sprawy jasno wskazuje, że Spółka traktuje numer telefonu jako numer jej klienta, a nie skarżącego, a co więcej Spółka wskazała, że usunięcia tego numeru można dokonać poprzez złożenie wniosku o zamknięcie konta

w serwisie Spółki.

W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie.

W piśmie procesowym z dnia [...] listopada 2023 r. Spółka, w związku

z otrzymaniem odpowiedzi na skargę, podtrzymała argumentację skargi.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Sąd administracyjny sprawuje w zakresie swej właściwości kontrolę działalności administracji publicznej pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej, co wynika z art. 1 ustawy z 25 lipca 2002 r. – Prawo

o ustroju sądów administracyjnych (t.j. Dz. U. z 2022 r., poz. 2492 z późn. zm.).

Zakres tej kontroli wyznacza art. 134 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2023 r., poz. 1634 z późn. zm.), dalej: "p.p.s.a." Stosownie do tego przepisu, Sąd rozstrzyga

w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.

W ocenie Sądu, analizowana pod tym kątem skarga zasługuje na uwzględnienie, albowiem wydając zaskarżoną decyzję, Prezes UODO naruszył przepisy prawa procesowego, tj. art. 7, art. 77 § 1, art. 80 i art. 107 § 1 k.p.a.

w stopniu, który mógł mieć istotny wpływ na wynik sprawy.

RODO ustanawia przepisy o ochronie osób fizycznych w związku

z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. Rozporządzenie to chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych (art. 1 ust. 1

i 2).

Motyw 14 RODO wyjaśnia, że ochrona zapewniana przez RODO dotyczy "osób fizycznych, niezależnie od ich obywatelstwa lub miejsca zamieszkania,

w związku z przetwarzaniem ich danych osobowych".

Zgodnie z definicją zawartą w art. 4 pkt 1 RODO, "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane

o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

W zdaniu drugim motywu 14 RODO wyjaśniono, że RODO nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. W związku z powyższym RODO chroni dane osobowe możliwych do zidentyfikowania osób fizycznych i wyklucza spod tej ochrony dane dotyczące osób prawnych. Wynika to z faktu, że podmiotom innym niż osoby fizyczne nie przysługuje prawo do prywatności.

Prezes UODO, rozstrzygając w przedmiocie złożonej skargi przyjął, że Spółka nie była uprawniona do przetwarzania danych osobowych skarżącego w celach marketingowych i pomimo wniesienia żądania przez skarżącego w zakresie usunięcia jego danych, nadal je przetwarzała, kontaktując się ze skarżącym w dniu [...] października 2019 r. W związku z powyższym, na podstawie art. 58 ust. 2 lit. b RODO, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do udzielenia upomnienia administratorowi lub podmiotowi przetwarzającemu

w przypadku naruszenia RODO poprzez operacje przetwarzania, Prezes UODO udzielił Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 6 ust. 1 w zw. z art. 21 ust. 2 i 3 oraz art. 17 ust. 1 lit. c RODO.

Jak ustalił organ, Spółka pozyskała dane osobowe skarżącego na podstawie umowy o korzystanie z serwisu internetowego ze swoim klientem, tj. P. sp. z o.o. Ww. klient był reprezentowany przez skarżącego, jako prezesa zarządu,

a ponadto jego dane zostały podane jako dane do wysyłki paczek (imię i nazwisko) oraz numer telefonu. Organ znaczył, że skarżący dobrowolnie wskazał swoje imię

i nazwisko oraz numer telefonu przy zawieraniu umowy, działając jako prezes zarządu P. sp. z o.o. (klienta Spółki).

Z powyższego wynika, że Prezes UODO przyjął, że jest to numer należący do skarżącego, jako osoby prywatnej, a nie do spółki P. sp. z o.o., mimo, że sporny numer telefonu został podany przy rejestracji konta w portalu Spółki - jako numer do swojego klienta - spółki P. sp. z o.o.

Zdaniem Sądu, ustalenie czy numer telefonu, z którym kontaktowała się Spółka w dniu [...] października 2019 r. należał do skarżącego czy też należał do klienta Spółki tj. P. sp. z o.o. jest kluczowe dla prawidłowego rozstrzygnięcia sprawy.

Spółka złożyła do akt sprawy wydruk panelu klienta oraz wydruk regulaminu serwisu, z których wynika zarówno fakt podania numeru telefonu, jak i obowiązek podania numeru telefonu klienta (a nie pracownika klienta, czy też nawet jego członka zarządu). W takiej sytuacji, trudno jest uznać jednoznacznie, że podany numer jest numerem prywatnym osoby, zakładającej konto w portalu Spółki dla klienta będącego osobną prawną.

W świetle zgromadzonej dokumentacji, nie można było przesądzić, że podany numer był daną osobową konkretnej osoby, ponieważ stanowił on numer kontaktowy do klienta Spółki i to klienta będącego osobą prawną.

Zdaniem Sądu, rację ma Spółka stwierdzając, że skoro nie chodzi o numer telefonu osoby fizycznej, a numer kontaktowy do osoby prawnej, to nie może być mowy o naruszeniu przepisów RODO wskazanych w zaskarżonej decyzji Prezesa UODO.

Kwestionowane przetwarzanie danych osobowych, jako danych kontaktowych osoby prawnej, wyklucza traktowanie ich w postępowaniu administracyjnym

w oparciu o przepisy RODO, jako wyłącznie danych osobowych osoby fizycznej. Ustalenia dokonane w sprawie potwierdzają jedynie, że numer telefonu, na który Spółka kontaktowała się ze skarżącym, jest związany z osobą prawną, ponieważ wskazany zostały w ramach zawierania umowy. To, że do skarżącego - prezesa spółki - skierowano ofertę przeznaczoną dla Zarządu spółki, nie zmienia faktu, że wykorzystano do tego dane firmy. W takiej sytuacji numer telefonu nie może zostać uznany za daną identyfikującą osobę fizyczną, ponieważ jest wykorzystywany

w działalności osoby prawnej, i tym samym należało przyjąć, że kwestionowane przetwarzanie numeru telefonu, stanowiącego dane kontaktowe osoby prawnej wyklucza traktowanie go w postępowaniu administracyjnym w oparciu o RODO, jako wyłącznie danych osobowych osoby fizycznej.

Osoba prawna, jako podmiot prawa cywilnego, została zdefiniowana

w przepisach ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (t.j. Dz. U. z 2023 r., poz. 1610 z późn. zm.). Szczegółowe uregulowania w tym zakresie zawiera ustawa

z dnia 15 września 2000 r. Kodeks spółek handlowych (t.j. Dz. U. z 2022 r. poz. 1467 z późn. zm.).

Jedną z cech osób prawnych jest działalność poprzez organy -

w przypadku spółki z ograniczoną odpowiedzialnością, czy spółki akcyjnej, jest to m. in. zarząd. To zarząd prowadzi sprawy spółki, wykorzystując ku temu "dane osobowe dotyczące osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym dane (...) kontaktowe osoby prawnej" (motyw 14 RODO).

Skarżący, używając swojego numeru telefonu, jako prezes zarządu wskazanej powyżej spółki, działa w imieniu osoby prawnej.

Zaznaczenia wymaga, że skarżący, jako prezes zarządu spółki, niewątpliwie znajduje się w innej sytuacji zawodowej niż przykładowo osoby posiadające status pracowniczy, ponieważ wyłącznie on sam zadecydował o tym, że jego dane osobowe mają być wskazane, jako dane kontaktowe podmiotu, który reprezentuje.

Można założyć, iż w innym stanie faktycznym możliwe jest nadanie numerowi telefonu przymiotu danych osobowych, jednakże stan faktyczny przedmiotowej sprawy nie daje podstaw, już na pierwszy rzut oka, że w ramach kompetencji Prezesa UODO możliwym było wydanie w przedmiotowej sprawie zaskarżonego rozstrzygnięcia.

W świetle zebranego w sprawie materiału dowodowego i biorąc pod uwagę obowiązek działania organów na podstawie i w granicach prawa, brak było podstaw prawnych dla Prezesa UODO do wydania zaskarżonej decyzji.

Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c p.p.s.a., orzekł jak w punkcie 1 wyroku.

O zwrocie kosztów postępowania, jak w punkcie 2 wyroku, Sąd orzekł na podstawie art. 200 w zw. z art. 205 § 2 powołanej ustawy. Do kosztów tych Sąd zaliczył uiszczony wpis od skargi (200 zł), wynagrodzenie pełnomocnika reprezentującego skarżącą Spółkę (480 zł) i opłatę skarbową uiszczoną od dokumentu pełnomocnictwa (17 zł).