Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Małgorzata Pocztarek Sędziowie: Sędzia NSA Zbigniew Ślusarczyk Sędzia del. WSA Mariusz Kotulski (sprawozdawca) Protokolant: asystent sędziego Ewelina Gee – Milan po rozpoznaniu w dniu 19 lutego 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] S.A. z siedzibą w [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 17 listopada 2022 r. sygn. akt II SA/Wa 756/22 w sprawie ze skargi [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2022 r., nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną 2. zasądza od [...] S.A. z/s w [...] na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 360 zł (trzysta sześćdziesiąt) tytułem zwrotu kosztów postępowania kasacyjnego.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 17 listopada 2022 r. w sprawie o sygn. II SA/Wa 756/22 oddalił skargę skarżącego [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2022 r. nr [...].

Wyrok zapadł w następującym stanie faktycznym i prawnym sprawy.

Prezes Urzędu Ochrony Danych Osobowych (zwany dalej "Prezesem UODO") decyzją z dnia [...] marca 2022 r. znak [...] udzielił [...] S.A. z siedzibą w [...] (zwanemu dalej: "Bankiem" albo "Skarżącym") upomnienia za naruszenie art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE L 119119 z 4.05.2016, s. 1, Dz. Urz. UE L 127 z 23.05.2018, s. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, s. 35, zwane dalej "RODO") polegające na przetwarzaniu 15 marca 2019 r. danych osobowych D. W. (zwana dalej "uczestniczką"), w celu marketingu bezpośredniego, bez podstawy prawnej.

W dniu 14 marca 2019 r. uczestniczka wycofała zgodę na przetwarzanie jej danych osobowych do celów marketingowych w systemie bankowości elektronicznej, a mimo to Bank podjął 15 marca 2019 r. telefoniczną próbę kontaktu, w celu przedstawienia oferty marketingowej. W związku z tym uczestniczka złożyła w Banku reklamację, uzyskując odpowiedź z 28 marca 2019 r., że sytuacja ta była wynikiem nieprawidłowego obiegu informacji w Banku.

Skarżący w wyjaśnieniach z 15 czerwca 2020 r. wskazał, że pozyskał i obecnie przetwarza dane osobowe uczestniczki w związku z zawartą 11 lipca 2012 r. umową rachunku oszczędnościowo-rozliczeniowego, na podstawie art. 6 ust. 1 lit. b RODO. Przetwarza dane osobowe uczestniczki takie jak: imię, nazwisko, nr PESEL, nr, seria i data ważności dokumentu tożsamości, data, miejsce i kraj urodzenia, obywatelstwo, imiona rodziców, nazwisko panieńskie matki, status rezydencji podatkowej, nr telefonu, adres e-mail, adres zamieszkania, nazwa pracodawcy, adres pracodawcy, wysokość wynagrodzenia, rodzaj zatrudnienia, data rozpoczęcia pracy, stan cywilny, rodzaje posiadanych produktów bankowych, w tym data otwarcia i zamknięcia, wysokość salda, status rezydencji podatkowej, dane dotyczące składnych reklamacji. Bank wykonał do uczestniczki telefon już po cofnięciu zgody na działania marketingowe, gdyż był to efekt wcześniej wygenerowanej kampanii marketingowej. Bank po odnotowaniu wycofania zgody uczestniczki nie przetwarzał więcej jej danych osobowych w celach marketingowych, w tym marketingu telefonicznego.

Prezes UODO wskazał, że przepisy art. 172 ust. 1 ustawy z 16 lipca 2004r. Prawo telekomunikacyjne (Dz.U. z 2021r., poz. 576, zwana dalej: "u.p.t.") i art.10 ust. 1 i 2 ustawa z 18 lipca 2002r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2020r., poz. 344, zwana dalej "u.ś.u.d.e.") uzależniają możliwość prowadzenia marketingu bezpośredniego oraz przesyłania informacji handlowej od uzyskania odpowiednich zgód w tym zakresie. Bank przy wykorzystaniu do prowadzenia marketingu bezpośredniego połączeń i wiadomości telefonicznych oraz poczty elektronicznej miał obowiązek uzyskania od uczestniczki zgód, choć nie na podstawie art. 6 ust. 1 lit. a RODO, lecz na mocy ww. przepisów u.p.t. i u.ś.u.d.e.

Prezes UODO stwierdził, że prowadzone postępowanie służyło kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej, która ma przywrócić stan zgodny z prawem, na podstawie art. 58 ust. 2 lit. b RODO, m.in. przez udzielenie upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operację przetwarzania. Skoro Bank nie miał podstaw do przetwarzania w dniu 15 marca 2019 r. danych osobowych uczestniczki do celów marketingu bezpośredniego, to właściwe było zastosowanie upomnienia za stwierdzone naruszenie przepisów art. 6 ust. 1 RODO. Zdaniem Prezesa UODO nie było natomiast podstaw do wydania nakazu ograniczenia przetwarzania przez Bank danych osobowych uczestniczki, bo Bank po 15 marca 2019 r. przestał przetwarzać jej dane osobowe w ww. celu, a tym samym kwestionowany przez uczestniczkę proces przetwarzania danych osobowych nie był kontynuowany.

Bank w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie z 9 kwietnia 2022 r. wniósł o uchylenie ww. decyzji w całości i przekazanie sprawy organowi do ponownego rozpatrzenia oraz o zasądzenie zwrotu kosztów postępowania.

Prezes UODO w odpowiedzi na skargę podtrzymał stanowisko wyrażone w zaskarżonej decyzji i wniósł o oddalenie skargi.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 17 listopada 2022 r. sygn. akt II SA/Wa 756/22 oddalił skargę Banku uznając, że zaskarżona decyzja Prezesa UODO odpowiadała prawu zarówno procesowemu, jak i materialnemu, a żaden z podniesionych w skardze zarzutów nie mógł być uznany za zasadny.

[...] S. A. z siedzibą w [...] wniósł skargę kasacyjną od tego wyroku, zaskarżając wyrok w całości i zarzucając mu:

1) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy tj.:

a) naruszenie art. 134 § 1 w zw. z art. 135 p.p.s.a. w zw. z art. 145 § 1 pkt 2 p.p.s.a. oraz art. 61 § 1 k.p.a. oraz 156 § 1 pkt 2 k.p.a., poprzez zaniechanie stwierdzenia nieważności decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2022 r. w sprawie o sygn. [...] w sytuacji, gdy organ badając legalność przetwarzania danych osobowych uczestniczki przez Bank, wykroczył poza przedmiot postępowania określony przez uczestniczkę postępowania, w piśmie inicjującym postępowanie w sprawie przed organem;

a w przypadku jego nieuwzględnienia:

b) naruszenie art. 151 p.p.s.a. w zw. art. 7, art. 77 § 1, art. 80 k.p.a., poprzez oddalenie skargi na decyzję w sytuacji gdy organ nie poczynił wyczerpujących ustaleń faktycznych w zakresie określenia treści wyrażonych uprzednio zgód przez uczestniczkę i treści oświadczenia złożonego przez nią Bankowi oraz dowolnie ustalił, bez oparcia w zgromadzony materiale dowodowym, że złożone przez uczestniczkę oświadczenie miało wpływ na ocenę istnienia prawnie uzasadnionego interesu co do przetwarzania danych osobowych w celach marketingowych przez Bank, podczas gdy oświadczenie obejmowało wyłącznie wycofanie zgody na korzystanie z kanałów komunikacji (telefon) zgodnie z art. 172 ust. 1 ustawy z 16 lipca 2004 r. u.p.t., co miało wpływ na wynik sprawy i skutkowało oddaleniem skargi Banku;

2) naruszenie prawa materialnego tj.:

a) naruszenie art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L. z 2016 r. nr 119, str. 1, z późn. zm.) (dalej jako "RODO") oraz art. 172 ust. 1 u.p.t. poprzez ich błędną wykładnię polegającą na przyjęciu, że wycofanie zgody określonej w art. 172 ust. 1 u.p.t. skutkuje ustaniem legalności przetwarzania danych osobowych dla celów marketingu bezpośredniego na podstawie art. 6 ust. 1 lit. f RODO, podczas gdy wycofanie ww. zgody odnosi się wyłącznie do kanału komunikacji, nie zaś do podstawy prawnej przetwarzania danych osobowych w celach marketingu bezpośredniego, co skutkowało przyjęciem przez sąd I instancji, że Bank nie legitymował się podstawą prawną przetwarzania danych osobowych Klientki w celach marketingu bezpośredniego.

Mając powyższe na względzie skarżący kasacyjnie Bank wniósł o uchylenie zaskarżonego wyroku w całości i rozstrzygnięcie sprawy co do istoty na podstawie art. 188 p.p.s.a w tym poprzez stwierdzenie nieważności decyzji, ewentualnie uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania na podstawie art. 185 § 1 p.p.s.a. Jednocześnie Bank wniósł także o rozpoznanie skargi kasacyjnej na posiedzeniu jawnym oraz zasądzenie na rzecz Banku od Prezesa UODO zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego.

Wskazane zarzuty rozwinięto w uzasadnieniu skargi kasacyjnej.

W odpowiedzi na skargę kasacyjną Banku Prezes UODO wniósł o oddalenie skargi kasacyjnej. Ponadto Prezes UODO wniósł o przeprowadzenie rozprawy.

Naczelny Sąd Administracyjny zważył, co następuje:

Zgodnie z art. 183 § 1 p.p.s.a. Naczelny Sąd Administracyjny przy rozpatrywaniu sprawy na skutek wniesienia skargi kasacyjnej związany jest granicami tej skargi, a z urzędu bierze pod rozwagę tylko nieważność postępowania w wypadkach określonych w § 2, z których żaden w rozpoznawanej sprawie nie zachodzi. Oznacza to, że przytoczone w skardze kasacyjnej przyczyny wadliwości prawnej zaskarżonego orzeczenia determinują zakres kontroli dokonywanej przez Naczelny Sąd Administracyjny. Sąd ten, w odróżnieniu od wojewódzkiego sądu administracyjnego, nie bada całokształtu sprawy, lecz tylko weryfikuje zasadność zarzutów postawionych w skardze kasacyjnej.

Podstawy, na których można oprzeć skargę kasacyjną zostały określone w art. 174 p.p.s.a. Przepis art. 174 pkt 1 p.p.s.a. przewiduje dwie postacie naruszenia prawa materialnego, a mianowicie błędną jego wykładnię lub niewłaściwe zastosowanie. Przez błędną wykładnię należy rozumieć niewłaściwe zrekonstruowanie treści normy prawnej wynikającej z konkretnego przepisu, natomiast przez niewłaściwe zastosowanie, dokonanie wadliwej subsumcji przepisu do ustalonego stanu faktycznego. Również druga podstawa kasacyjna wymieniona w art. 174 pkt 2 p.p.s.a. – naruszenie przepisów postępowania – może przejawiać się w tych samych postaciach, co naruszenie prawa materialnego, przy czym w wypadku oparcia skargi kasacyjnej na tej podstawie skarżący powinien nadto wykazać istotny wpływ wytkniętego uchybienia na wynik sprawy.

Jako niezasadny ocenić należy zarzut naruszenia art. 134 § 1 w zw. z art. 135 p.p.s.a. w zw. z art. 145 § 1 pkt 2 p.p.s.a. oraz art. 61 § 1 k.p.a. i 156 § 1 pkt 2 k.p.a.

Przepis art. 134 § 1 p.p.s.a., którego naruszenia dopatruje się strona skarżąca kasacyjnie stanowi, że "Sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a". Przepis ten określa zatem granice rozpoznania skargi przez sąd administracyjny pierwszej instancji, zaś granice danej sprawy wyznacza jej przedmiot wynikający z treści zaskarżonego działania lub bezczynności organu administracji publicznej. Oznacza to, że o naruszeniu normy wynikającej z powyższego przepisu można byłoby mówić, gdyby sąd wykroczył poza granice sprawy, w której została wniesiona skarga, albo – mimo wynikającego z tego przepisu obowiązku – nie wyszedł poza zarzuty i wnioski skargi, np. nie zauważając naruszeń prawa, które nie były powołane przez skarżącego, a które Sąd I instancji zobowiązany był uwzględnić z urzędu. W przedmiotowej sprawie niewątpliwie Sąd I instancji orzekał w granicach sprawy, oceniając postępowanie w przedmiocie decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2022 r., nr [...], a zatem nie orzekał w granicach (w znaczeniu podmiotowym i przedmiotowym) innej sprawy niż ta, w której została wniesiona skarga.

Dodatkowo należy wskazać, że w ramach zarzutu naruszenia art. 134 § 1 p.p.s.a. nie można skutecznie kwestionować dokonanej przez Sąd oceny ustalonego stanu faktycznego z punktu widzenia jego zgodności lub niezgodności z mającym zastosowanie w sprawie stanem prawnym, czy też prawidłowości dokonanej przez Sąd oceny działań organu administracji publicznej pod kątem zachowania przepisów procedur obowiązujących ten organ (por. m. in. wyrok NSA z 25 marca 2011 r., I FSK 1862/09; wyrok NSA z dnia 11 kwietnia 2007 r., II OSK 610/06; postanowienie NSA z dnia 11 stycznia 2012 r., I OSK 2438/11; wyrok NSA z dnia 15 października 2015 r., I GSK 241/14). W ramach zarzutu naruszenia art. 134 § 1 p.p.s.a. nie można skutecznie kwestionować prawidłowości zajętego stanowiska prawnego i wyrażonych w uzasadnieniu zaskarżonego wyroku poglądów (por. wyrok NSA z dnia 2 lipca 2015 r., I OSK 450/15), ani prawidłowości oceny materiału dowodowego (por. wyrok NSA z dnia 21 października 2010 r., I GSK 264/09).

Strona skarżąca kasacyjnie wiąże zarzut naruszenia art. 134 § 1 p.p.s.a. z naruszeniem art. 135 p.p.s.a. w zw. z art. 145 § 1 pkt 2 p.p.s.a. oraz art. 61 § 1 k.p.a. i 156 § 1 pkt 2 k.p.a. Należy przede wszystkim zauważyć, że Sąd I instancji nie stosował tych przepisów, a więc tym samym nie mógł ich naruszyć. Co do art. 135 p.p.s.a., to w niniejszej sprawie organ nie wydawał innych aktów administracyjnych, a w szczególności decyzji, która poprzedzałaby zaskarżoną do sądu administracyjnego decyzję Prezesa UODO z dnia [...] marca 2022 r. Postępowanie przed tym organem jest zresztą postępowaniem jednoinstancyjnym. Naczelny Sąd Administracyjny w składzie orzekającym w niniejszej sprawie nie podziela także zarzutu, iż doszło do naruszenia art. 61 § 1 k.p.a. i 156 § 1 pkt 2 k.p.a., gdyż organ wykroczył poza przedmiot postępowania określony przez uczestniczkę postępowania, w piśmie inicjującym postępowanie w sprawie przed organem. Z całokształtu materiału zgromadzonego w sprawie żądanie uczestniczki skierowane do organu nie budzi wątpliwości. Opis zdarzenia zawarty w treści skargi z dnia 26 września 2019 r. do Prezesa UODO jednoznacznie wskazuje, że jej przedmiotem było konkretne zdarzenie z dnia 15 marca 2019 r., polegające na wykonaniu przez pracownika Banku połączenia telefonicznego do uczestniczki w celach marketingowych, pomimo wycofania przez nią zgody na takie działania. W treści skargi do organu uczestniczka wskazała, że "dnia 14.03.2019 wycofałam zgodę na przetwarzanie danych w celach marketingowych w systemie bankowości elektronicznej. Po mimo braku zgody dnia 15.03.2019 nastąpiła próba kontaktu telefonicznego ze strony Banku w celu przedstawienia mi oferty marketingowej." Bez wątpienia zatem uczestniczka jasno wskazała, że kwestionuje próbę kontaktu telefonicznego w celu przedstawienia jej oferty marketingowej, po wycofaniu przez nią zgody na przetwarzanie danych osobowych w celach marketingowych. Wynika to również z załączonych do akt sprawy reklamacji uczestniczki i odpowiedzi Banku z dnia 28 marca 2019 r. To właśnie zatem proces przetwarzania jej danych osobowych, który nastąpił 15 marca 2019 r. i który w ocenie uczestniczki nie powinien nastąpić, był powodem złożenia skargi do organu. Sąd kasacyjny podziela stanowisko organu oraz Sądu I instancji, że uczestniczka domagała się w zainicjowanym swoją skargą postępowaniu, zbadania "bezpieczeństwa" jej danych osobowych w związku z zaistniałą sytuacją połączenia marketingowego i odwołanych zgód na działania marketingowe oraz wyegzekwowania, aby Bank nie przetwarzał jej danych do celów marketingowych, zgodnie z jej wolą, przejawiającą się w wycofaniu zgód na takie działania.

W związku z powyższym Prezes UODO wszczął postępowanie w przedmiocie nieprawidłowości w procesie przetwarzania danych osobowych uczestniczki przez Bank, polegających na bezprawnych działaniach marketingowych Banku, pomimo wycofania przez nią zgody na takie działania. Podkreślić należy, że uczestniczka pismem z dnia 26 lutego 2020 r. została poinformowana o wszczęciu postępowania w sprawie złożonej przez nią skargi oraz przedmiocie tego postępowania i nie zakwestionowała wskazanego w nim zakresu postępowania. Na uczyniła tego również na późniejszym jego etapie. Podobnie nie uczynił tego Bank, który w każdym otrzymanym od Prezesa Urzędu Ochrony Danych Osobowych piśmie otrzymywał informację o przedmiocie toczącego postępowania. Zatem na żadnym etapie postępowania ani uczestniczka, ani Bank nie kwestionowali przedmiotu postępowania. Co więcej uczestniczka nie zakwestionowała także rozstrzygnięcia organu w ww. przedmiocie i nie złożyła skargi na decyzję wydaną w sprawie zainicjowanej jej wnioskiem, co pozwala uznać, że organ przeprowadził postępowanie w zakresie zgodnym z jej wolą i intencją, wyrażoną w treści skargi i pisma uzupełniającego

W konsekwencji nie zaistniały podstawy do zastosowania art. 145 § 1 pkt 2 p.p.s.a.

Nie doszło także do naruszenia art. 151 p.p.s.a. w zw. art. 7, art. 77 § 1, art. 80 k.p.a. Na wstępie należy zauważyć, że nie sprecyzowano w treści zarzutu, czy chodzi o naruszenie wskazanych przepisów przez ich błędną wykładnię, czy niewłaściwe zastosowanie. Można się jedynie domyślać, że chodzi o postać błędnego zastosowania. Otóż stan faktyczny sprawy został prawidłowo ustalony przez organ i w swej istocie został potwierdzony przez uczestniczkę, a także przez Bank. Istota stanu faktycznego dotyczy konkretnej sytuacji i sprowadza się do stwierdzenia, że uczestniczka w dniu 14 marca 2020 r. wycofała zgodę na korzystanie przez Bank z kanałów komunikacji (telefon) zgodnie z art. 172 ust. 1 u.p.t. do celów marketingowych w systemie bankowości elektronicznej, a mimo to Bank podjął 15 marca 2019 r. telefoniczną próbę kontaktu, w celu przedstawienia oferty marketingowej.

W odpowiedzi z dnia 15 czerwca 2020 r. Bank jasno wskazał, że "skarżąca wycofała zgodę na przetwarzanie danych osobowych w celach marketingu telefonicznego w dniu 14.03.2019 r. poprzez kanał Bankowości Internetowej. Realizacja kampanii marketingowej wobec Skarżącej przez nastąpiła w dniu 15.03.2019 r." Zatem informacje wskazane przez uczestniczkę i podane przez Bank są spójne i nie budzą wątpliwości w zakresie ustalenia stanu faktycznego.

W dołączonym do akt niniejszej sprawy piśmie z dnia 28 marca 2019 r., stanowiącym odpowiedź na reklamację uczestniczki Bank wskazał cyt. "Potwierdzamy, iż na podstawie Pani dyspozycji złożonej w [...] w dniu 14.03.2019 r. o godzinie 12:52 dokonaliśmy zmiany Pani zgód na przetwarzanie danych. Dokonana zmiana spowodowała, iż zaprzestaliśmy wysyłania do Pani nowych ofert za pośrednictwem [...], aplikacji mobilnej, SMS, ATM, e-mail. Nie powinna też Pani otrzymać telefonicznie ofert produktów bankowych." Wynika to także z "Informacji dotyczących przetwarzania danych osobowych w [...] S.A." gdzie wskazano, celami realizowanymi w ramach tzw. Prawnie uzasadnionego interesu administratora (na podstawie art. 6 ust. 1 lit f RODO) są m.in. marketing produktów i usług Banku, w szczególności realizowany przez przekazywanie informacji handlowych za pomocą tradycyjnej poczty lub w przypadku uzyskania stosownej zgody, również elektronicznie lub telefonicznie (k. 32 a.s.). Natomiast uczestniczka miała prawo w przypadkach, w których przetwarzanie danych odbywa się na podstawie udzielonej zgody do cofnięcia udzielonych zgód na poszczególne cele przetwarzania, w dowolnym momencie (k.33 a.s.). Z uwagi na powyższe okoliczność polegająca na wycofaniu przez uczestniczkę zgody na kierowanie do niej marketingu drogą telefoniczną, jako niekwestionowana przez żadną ze stron, zasadnie została uznana przez organ i Sąd I instancji za udowodnioną i tym samym niewymagającą podejmowania dalszych czynności dowodowych. Uczestniczka miała uzasadnione podstawy, aby przypuszczać, że po wycofaniu przez nią zgody, o której mowa w art. 172 u.p.t., Bank nie będzie przetwarzał jej danych do celu marketingu bezpośredniego prowadzonego telefonicznie.

Niezasadny jest także zarzut naruszenia prawa materialnego tj. art. 6 ust. 1 lit. f RODO oraz art. 172 ust. 1 u.p.t. poprzez ich błędną wykładnię.

Zamknięty katalog przesłanek dopuszczalności przetwarzania danych osobowych określa art. 6 ust. 1 RODO. Stosownie do treści tego przepisu, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Jak wskazuje Bank oraz organ właśnie w art. 6 ust. 1 lit f RODO mieści się przetwarzanie danych osobowych uczestniczki – klientki banku, która udzielił np. zgód na prowadzenia marketingu bezpośredniego i przesyłanie informacji handlowej w rozumieniu ww. przepisów u.p.t. oraz u.ś.u.d.e., w tym zgody, o której mowa art. 172 ust. 1 u.p.t.

Zakwestionowane przez PUODO przetwarzanie danych dotyczy tzw. "zwykłych" danych, pozyskanych przez bank w ramach zawartej z uczestniczką umowy rachunku oszczędnościowo-rozliczeniowego - w odróżnieniu od szczególnych kategorii danych osobowych ujętych w art. 9 i art. 10 RODO. Oznacza to, że zaistnienie jednej z ww. przesłanek (które są samoistne - równoważne, równoprawne) legalizujących przetwarzanie "zwykłych" danych.

Według art. 5 ust. 1 lit. a RODO, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

Należy także odwołać się do definicji pojęcia "marketingu bezpośredniego", zawartej w rekomendacji R (85)20 Komitetu Ministrów dla Państw Członkowskich w sprawie ochrony danych osobowych używanych dla celów marketingu bezpośredniego Rady Europy "Ochrona danych osobowych wykorzystywanych dla potrzeb marketingu bezpośredniego" z 25 października 1985 r. Zgodnie z tą definicją, "marketing bezpośredni" to ogół działań, a także wszelkich dotyczących go usług pomocniczych, umożliwiających oferowanie produktów lub usług bądź przekazywanie innych informacji do grupy ludności - za pośrednictwem poczty, telefonu lub innych bezpośrednich środków - w celach informacyjnych bądź w celu wywołania reakcji ze strony osoby, której dane dotyczą. Zasadność odwołania się do przywołanej definicji dostrzega się w orzecznictwie sądowym np. Sąd Ochrony Konkurencji i Konsumentów w wyroku z 21 marca 2014 r., sygn. akt AmT 10/12 oraz Sąd Okręgowy w Warszawie w wyroku z 11 grudnia 2020 r., sygn. akt XVII AmA 22/19. W takim rozumieniu pojęcia marketingu bezpośredniego mieści się - jak w niniejszej sprawie - wykonywanie połączeń telefonicznych lub przesyłanie telefonicznych wiadomości tekstowych (SMS) w celu zaproszenia klienta/konsumenta do nabycia/skorzystania z oferowanych towarów/usług.

Stwierdzenie, iż przetwarzanie danych osobowych uczestniczki postępowania odbywało się dla celów marketingu bezpośredniego ma o tyle istotne znaczenie, iż zgodnie z art. 6 ust. 1 lit. f RODO, przetwarzanie jest zgodne z prawem, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. W świetle natomiast motywu 47 zd. 6 preambuły RODO, za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego. Taki prawnie uzasadniony interes może istnieć gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, np. gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Jednakże, aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu (vide motyw 47 zd. 1-3 preambuły RODO).

Jak wskazała Europejska Rada Ochrony Danych Osobowych w opinii z 12 marca 2019 r. nr 5/2019, organy ochrony danych posiadają właściwość do przeprowadzenia kontroli podzbiorów przetwarzania podlegających przepisom krajowym transponującym dyrektywę o prywatności i łączności elektronicznej tylko wtedy, gdy prawo krajowe stanowi, że należy to do ich właściwości. Niemniej jednak sam fakt, iż podzbiór przetwarzania wchodzi w zakres dyrektywy o prywatności i łączności elektronicznej, nie ogranicza właściwości organów ochrony danych na podstawie RODO (vide ww. opinia, str. 22 i str. 26). Naruszenie przepisów RODO może również stanowić naruszenie krajowych przepisów dotyczących prywatności i łączności elektronicznej. Organ ochrony danych może uwzględnić to faktyczne stwierdzenie naruszenia przepisów dotyczących prywatności i łączności elektronicznej przy stosowaniu RODO, np. oceniając, czy przestrzegano zasady zgodności z prawem lub zasady rzetelności na podstawie art. 5 ust. 1 lit. a RODO. Wszelkie decyzje w zakresie egzekwowania prawa muszą być jednak uzasadnione na podstawie RODO, chyba że w prawie państwa członkowskiego rozszerzono właściwość organu ochrony danych (vide ww. opinia, str. 24 i str. 26).

Zgodnie z treścią art. 172 ust. 1 u.p.t. (w brzmieniu obowiązującym na dzień wydania zaskarżonej decyzji), zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego lub przesyłania niezamówionej informacji handlowej w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Zgodnie zaś z art. 174 u.p.t. (w brzmieniu obowiązującym na dzień wydania zaskarżonej decyzji) do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych. Z kolei wedle motywu 32 zd. 1 preambuły RODO, zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia.

Prawo do sprzeciwu, o którym mowa w art. 21 RODO, jest uprawnieniem odmiennym od cofnięcia zgody na przetwarzanie danych osobowych i nie przysługuje w sytuacji, w której dane osobowe są przetwarzane na podstawie zgody (vide M. Czerniawski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 21).

"Wykluczone jest powołanie się na przesłankę z art. 6 ust. 1 lit. f RODO - w przypadku zamiaru przetwarzania danych w celach marketingowych - w sytuacji, gdy osoba, której dane dotyczą, wyraźnie odmówiła udzielenia zgody na przetwarzanie danych w celach marketingowych (...). Odmowa udzielenia zgody na przetwarzanie danych w celach marketingowych stanowi niebudzący wątpliwości przejaw woli osoby, której dane dotyczą, którego interpretacja w konkretnym przypadku może doprowadzić do wniosku, że przetwarzanie danych osobowych w celu marketingowym na innej podstawie byłoby niedopuszczalne." (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] P. Litwiński (red.)

Podsumowując PUODO oraz Sąd I instancji prawidłowo stwierdzili, że Bank nie wykazał spełnienia przesłanki wymienionej w art. 6 ust. 1 lit. f RODO, przez co naruszył ten przepis. W szczególności, ważąc interesy w myśl art. 6 ust. 1 lit. f RODO, nie jest prawnie usprawiedliwionym interesem Banku, nadrzędnym nad interesami, prawami i wolnościami uczestniczki, podejmowanie działań o charakterze marketingu bezpośredniego przy wykorzystaniu telekomunikacyjnych urządzeń końcowych w sytuacji, gdy nie wyraziła lub cofnęła na to zgodę, wymaganą dla prowadzenia tego rodzaju działań marketingowych (vide art. 172 ust. 1 u.p.t.). Skoro uczestniczka taką zgodę cofnęła, to nie spodziewała się (i nie zachodziły ku temu rozsądne przesłanki), że wbrew jej woli Bank będzie prowadził marketing bezpośredni, przetwarzając w tym celu jej dane osobowe (numer telefonu). W motywie 47 wyjaśniono, że "interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania." P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 6). Odnotować przy tym wypada, iż stosownie do zasady rozliczalności, ujętej w art. 5 ust. 2 RODO, przeprowadzenie testu równowagi i wykazanie jego wyników przesądzających o istnieniu przesłanki prawnie uzasadnionego interesu należy do zadań administratora (tu: Banku). Natomiast rolą PUODO jest ocena powyższego działania administratora.

W tym miejscu podzielić należy pogląd, dotyczący możliwości powołania się przez administratora na przesłankę przetwarzania z art. 6 ust. 1 lit. f RODO, zgodnie z którym "stosowanie komentowanego przepisu następuje dwuetapowo. (...) oparcie przetwarzania danych osobowych na przepisie art. 6 ust. 1 lit. f wymaga kumulatywnego spełnienia dwóch przesłanek. Po pierwsze, musi występować prawnie uzasadniony interes, który jest realizowany przez administratora lub przez stronę trzecią. Po drugie, niezbędna jest weryfikacja, czy przetwarzanie danych osobowych jest niezbędne dla realizacji celu wynikającego z powyższego interesu. W drugim etapie trzeba natomiast ocenić, czy nie jest spełniona przesłanka o charakterze negatywnym w postaci występowania w danym stanie faktycznym interesów lub podstawowych praw i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej. W przypadku spełnienia tego warunku nie będzie można powołać się na przepis art. 6 ust. 1 lit. f jako uzasadnienie dla przetwarzania danych osobowych. (...) Analizując natomiast, jakie operacje na danych będą dopuszczalne przy marketingu bezpośrednim, należy pamiętać o przepisach szczególnych, które zawierają bardziej rygorystyczne warunki dopuszczalności jego niektórych form. W aktualnym stanie prawnym są to przykładowo: art. 10 u.ś.u.d.e., który uzależnia możliwość wysyłania informacji handlowych za pomocą środków komunikacji elektronicznej od zgody adresata informacji, oraz art. 172 pr. tel., który zakazuje używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, dopuszczając ich zastosowanie jedynie na podstawie zgody abonenta lub użytkownika końcowego. (...)" (D. Lubasz, W. Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 6.). Podzielić należy ponadto pogląd zgodnie, z którym "pojęcie interesu różni się od tego samego pojęcia odnoszonego do administratora lub strony trzeciej. W ich przypadku chodzi o prawnie uzasadniony interes, natomiast po stronie podmiotu danych musi występować interes wymagający ochrony danych osobowych" (D. Lubasz, W. Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 6.). Tym samym chroni przede wszystkim osobę, której proces ten dotyczy przed nieuprawnionym przetwarzaniem jej danych osobowych.

Mając powyższe na uwadze, na podstawie art. 184 p.p.s.a., Naczelny Sąd Administracyjny oddalił skargę kasacyjną.

O kosztach postepowania kasacyjnego rozstrzygnięto na podstawie art. 204 pkt. 1 w zw. z art. 205 § 2 P.p.s.a.