drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Uchylono zaskarżoną decyzję, II SA/Wa 715/22 - Wyrok WSA w Warszawie z 2022-11-18, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

II SA/Wa 715/22 - Wyrok WSA w Warszawie

Data orzeczenia
2022-11-18 orzeczenie prawomocne
Data wpływu
2022-04-29
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Danuta Kania /sprawozdawca/
Ewa Kwiecińska /przewodniczący/
Michał Sułkowski
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U.UE.L 2016 nr 119 poz 1 art. 5 ust. 1 lit. a; art. 6 ust. 1 lit f; art. 13 ust 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2019 poz 123 art. 10
Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną - t.j.
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska, Sędzia WSA Danuta Kania (spr.), Asesor WSA Michał Sułkowski, po rozpoznaniu w trybie uproszczonym w dniu 18 listopada 2022 r. sprawy ze skargi A. D. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję w części dotyczącej punktu 2, 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącej A. D. kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania.

Uzasadnienie

Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ"), decyzją z dnia [...] marca 2022 r. nr [...] działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 ze zm.), dalej: "k.p.a.", oraz art. 5 ust. 1 lit. a, art. 6 ust. 1 lit. f, art. 11 ust. 2, art. 12 ust. 2, art. 15 ust. 3 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., s. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021 r., s. 35), dalej: "RODO":

1) udzielił E. Sp. z o.o. z siedzibą w W. (dalej: "Spółka") upomnienia za naruszenie art. 11 ust. 2 w związku z art. 15 ust. 3 RODO, polegające na niepoinformowaniu A. D. (dalej: "strona", "skarżąca") o braku możliwości zidentyfikowania jej osoby na nagraniu monitoringu,

2) w pozostałym zakresie odmówił uwzględnienia wniosku.

W uzasadnieniu decyzji organ wskazał, że do Urzędu Ochrony Danych Osobowych, wpłynęła skarga A. D. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez E. Sp. z o.o. z siedzibą w W. polegające na przetwarzaniu jej danych osobowych, w tym adresu poczty elektronicznej, bez podstawy prawnej w celach marketingowych oraz niespełnieniu żądania skarżącej udostępnienia jej danych osobowych pochodzących z monitoringu wizyjnego.

W toku postępowania wyjaśniającego organ ustalił, że:

- w dniu [...] czerwca 2019 r. skarżąca utworzyła konto zakupowe w serwisie [...] należącym do Spółki, podając imię, nazwisko, adres e-mail: [...], numer telefonu i adres fizyczny,

- skarżąca nie wyraziła zgód na przetwarzanie jej danych osobowych w związku z działaniami marketingowymi podmiotów współpracujących ze Spółką oraz otrzymywania od Spółki informacji marketingowych dostosowanych do preferencji skarżącej,

- w dniu [...] sierpnia 2020 r. Spółka wysłała do skarżącej wiadomość e-mail z prośbą o ocenę zakupionych produktów,

- w dniu [...] września 2020 r. skarżąca przesłała do Spółki wiadomość e-mail z pytaniem kiedy wyrażała zgodę na otrzymywanie wiadomości marketingowych,

- w dniu [...] października 2020 r. Spółka odpowiedziała skarżącej, że traktuje jej pytanie jako sprzeciw wobec przetwarzania jej danych osobowych w celu komunikacji "okołosprzedażowej"; wyjaśniła, że podstawę przetwarzania stanowi prawnie uzasadniony interes administratora,

- w dniu [...] września 2020 r. skarżąca przesłała do Spółki żądanie udostępnienia jej danych z monitoringu z salonu w C. z dnia [...] września 2020 r. z godziny ok. 19:10 obejmującego stanowisko reklamacyjne; oświadczyła, że na terenie salonu nie znalazła żadnej widocznej informacji na temat monitoringu, a klauzula o przetwarzaniu danych osobowych w formie broszury nie zawierała żadnych informacji w tym zakresie,

- w dniu [...] października 2020 r. Spółka poinformowała skarżącą o braku możliwości udostępnienia nagrania, wskazując, że może to niekorzystnie wpływać na prawa i wolności innych osób, oraz że oznaczenie w zakresie zastosowania monitoringu wizyjnego, wraz z informacją o administratorze danych osobowych, znajduje się przy wejściu w witrynie sklepu,

- Spółka nie ma wiedzy o tym, czy pozyskała dane osobowe skarżącej w postaci jej wizerunku w czasie i miejscu wskazanym przez skarżącą, ponieważ Spółka nie zna wizerunku skarżącej,

- dane osobowe w postaci wizerunków osób przebywających w salonie w C. nie są już przez Spółkę przetwarzane, bowiem są kasowane z upływem 28 dni od daty ich pozyskania,

- informacja o monitoringu znajduje się w pobliżu wejścia do sklepu, w części witryny przeznaczonej na umieszczanie tego typu obowiązków; ponadto, informacje odpowiadające obowiązkowi informacyjnemu są umieszczone w sklepie Spółki w formie ulotki informacyjnej bezpośrednio przy stanowiskach obsługi klientów przez pracowników sklepu, jednak - zdaniem skarżącej - nie zawierają one informacji o stosowaniu monitoringu wizyjnego.

Uwzględniając powyższe organ powołał art. 11 ust. 1 i 2, art. 12 ust. 2 oraz 15 ust. 3 i 4 RODO.

Wskazał następnie, że w dniu [...] września 2020 r. skarżąca zażądała od Spółki dostępu do swoich danych osobowych pozyskanych z monitoringu z salonu Spółki w C. z dnia [...] września 2020 r., z godziny ok. 19:10, obejmującego stanowisko reklamacyjne. Spółka odmówiła argumentując, że nagranie nie może być udostępnione z uwagi na fakt, że jego udostępnienie może niekorzystnie wpływać na prawa i wolności innych osób, których wizerunek został utrwalony na nagraniu. Argumentacja przedstawiona przez Spółkę w wyjaśnieniach w niniejszym postępowaniu była jednak odmienna, ponieważ Spółka oświadczyła, że nie mogła zrealizować żądania skarżącej z powodu braku informacji o wizerunku skarżącej lub innych informacji, które pozwoliłyby zidentyfikować ją na nagraniu. W takiej sytuacji jednak Spółka powinna poinformować o tym fakcie skarżącą, umożliwiając jej tym samym dostarczenie Spółce dodatkowych informacji pozwalających zidentyfikować ją na nagraniu, a w konsekwencji zrealizowanie jej żądania. Nie udzielając skarżącej takiej informacji Spółka naruszyła art. 11 ust. 2 w związku z art. 15 ust. 3 RODO stanowiącym podstawę do uzyskania kopii tych danych.

Organ zaznaczył, że obecnie Spółka nie przetwarza już danych osobowych zarejestrowanych za pośrednictwem monitoringu w dniu i miejscu wskazanym przez skarżącą. Tym samym ewentualne uzupełnienie przez skarżącą informacji o niej samej, które (wcześniej) mogły pozwolić na jej identyfikację i dopełnienie dyspozycji z art. 15 ust. 3 RODO (w zakresie kopii danych) przez Spółkę, jest bezprzedmiotowe.

Następnie organ wskazał, że w niniejszym postępowaniu istotna jest treść art. 6 ust. 1 lit. f RODO, zgodnie z którym przetwarzanie jest zgodne z prawem w przypadku, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Organ odwołał się również do motywu 47 preambuły RODO, zgodnie z którym podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.

Powołując poglądy piśmiennictwa organ wskazał, że w ramach marketingu można wyróżnić wiele zagadnień, takich jak: odnajdowanie i ocenianie możliwości rynkowych prowadzących do zaspokojenia potrzeb określonych odbiorców (nabywców) oraz dokładne ustalenie tych potrzeb, opracowywanie w oparciu o tę wiedzę produktu (usługi) oraz strategii jego dystrybucji, czy przygotowanie odpowiedniej strategii ceny i promocji. Marketing usług jest systemem zintegrowanych działań firmy usługowej na rynku obejmującym identyfikację, kształtowanie, a następnie zaspakajanie potrzeb w sposób zapewniający satysfakcję klientom i realizację ich własnych celów ekonomicznych. Kształtowanie wyższego poziomu usługi, która powinna spełniać więcej potrzeb i dostarczać więcej wartości klientowi, wpływa na budowanie przewagi konkurencyjnej takiej firmy i jest formą marketingu. Poznanie postaw klientów (w tej sprawie skarżącej) wobec oferty lub obsługi ułatwia pracę personelu działu obsługi klienta i umożliwia dostosowanie działań do wymagań nabywców. Pomiar satysfakcji klienta jest oceną obsługi, jaką firma zapewnia swoim klientom i jednocześnie jest miarą sukcesu działań personelu. Badanie satysfakcji jest zatem pomocne w ustalaniu strategii przedsiębiorstwa oraz zwiększaniu wpływów i udziału w rynku. Dla wielu przedsiębiorstw kontrola satysfakcji konsumentów stała się stałym elementem badań marketingowych.

Organ wskazał, że dokonując zakupów od Spółki skarżąca została powiązana ze Spółką umową sprzedaży. Założyła i miała aktywne konto zakupowe. Była w trakcie reklamowania produktu. Mogła zatem spodziewać się przetwarzania swoich danych osobowych w prawnie uzasadnionym interesie Spółki, za jaki można uznać prośbę o ocenę zakupionego produktu. Jednocześnie nie ma powodu aby stwierdzić, że spełniona została przesłanka o charakterze negatywnym w postaci występowania w danym stanie faktycznym interesów lub podstawowych praw i wolności skarżącej, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów Spółki. Tym samym działanie Spółki spełniało przesłankę legalności przetwarzania wskazaną w art. 6 ust. 1 lit. f RODO.

Dalej organ powołał art. 10 ust. 1 i ust. 2 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r., poz. 344), dalej: "u.ś.u.d.e.", zgodnie z którym zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Wskazał, że zgodnie z art. 4 u.ś.u.d.e. jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych. Stwierdził, że zgody takiej, o której mowa w art. 6 ust. 1 lit. a RODO, Spółka nie posiadała, ale jej pozyskanie byłoby działaniem nadmiarowym wobec faktu, że posiadała przesłankę legalności przetwarzania danych, o której mowa w art. 6 ust. 1 lit. f RODO, oraz tego, że wystarczającym dla procesu przetwarzania danych jest spełnienie co najmniej jednej z przesłanek tego artykułu. Jednocześnie organ stwierdził, że w sprawie nie doszło do naruszenia art. 5 ust. 1 lit. a RODO, zgodnie z którym dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą - w odniesieniu do zgód marketingowych, których Spółka od skarżącej nie uzyskała. Zgody te dotyczą bowiem działań marketingowych podmiotów współpracujących ze Spółką oraz otrzymywania od Spółki informacji marketingowych dostosowanych do preferencji skarżącej.

Następnie, w kwestii zarzucanego przez skarżącą niedopełnienia obowiązku informacyjnego, o którym mowa w art. 13 ust. 1 i 2 RODO, w zakresie braku informacji o zainstalowanym w sklepie monitoringu w "klauzuli o przetwarzaniu danych osobowych w formie broszury", organ wskazał, że zgodnie z wyjaśnieniami Spółki informacja o monitoringu znajdowała się w pobliżu wejścia do sklepu, w części witryny przeznaczonej na umieszczenie tego typu obowiązków. Skarżąca wiedziała o zainstalowaniu monitoringu i nie zakwestionowała treści informacji umieszczonych w sklepie Spółki w formie ulotki informacyjnej bezpośrednio przy stanowiskach obsługi klientów przez pracowników sklepu. Brak było zatem podstaw do stwierdzania naruszenia art. 13 ust. 1 i 2 RODO, w tym w aspekcie art. 5 ust. 1 lit. a RODO.

Podsumowując organ wskazał, że Spółka, pomimo ciążącego na niej obowiązku, nie poinformowała skarżącej o braku możliwości zidentyfikowania jej osoby, co było powodem odmowy udostępnienia kopii danych pozyskanych za pomocą monitoringu, a co w konsekwencji skutkowało naruszeniem art. 11 ust. 2 w związku z art. 15 ust. 3 RODO. Wobec powyższego organ, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO, udzielił Spółce upomnienia.

Jednocześnie organ stwierdził, iż przetwarzanie danych osobowych skarżącej przez Spółkę w celu przesłania prośby o wystawienie opinii o produkcie wypełniało przesłankę legalności z art. 6 ust. 1 lit. f RODO, a zatem brak było podstaw do uwzględnienia wniosku skarżącej i zastosowania któregokolwiek ze środków określonych w art. 58 ust. 2 RODO.

Pismem z dnia [...] kwietnia 2021 r. A. D., reprezentowana przez pełnomocnika, zaskarżyła powyższą decyzję Prezesa UODO z dnia [...] marca 2022 r. w części, w zakresie punktu 2, zarzucając naruszenie prawa materialnego, które miało wpływ na wynik sprawy poprzez błąd w wykładni:

- art. 5 ust. 1 lit. a RODO w związku z art. 10 ust. 1 u.ś.u.d.e., skutkujący niewłaściwym przyjęciem, że prawnie dopuszczalnym było wysłanie do skarżącej w dniu [...] sierpnia 2020 r. wiadomości e-mail pomimo tego, że skarżąca nie wyraziła wcześniej zgody na otrzymywanie próśb o ocenę produktów,

- art. 6 ust. 1 lit. f RODO, której istota wyraża się w nieuprawnionym przyjęciu, że administrator danych - wysyłając w dniu [...] sierpnia 2020 r. e-mail - uprawniony był (w ramach prawnie uzasadnionego interesu) do skierowania wobec skarżącej (bez jej uprzedniej zgody) prośby o ocenę produktu, ponieważ skarżąca nie wyraziła wcześniej zgody na otrzymywanie tego typu informacji handlowych.

W związku z powyższymi zarzutami skarżąca wniosła o rozpoznanie sprawy w trybie uproszczonym; kierowanie korespondencji za pomocną środków komunikacji elektronicznej; zasadzenie niezbędnych kosztów postępowania, w tym kosztów związanych z udziałem w sprawie radcy prawnego według norm przepisanych w wysokości ustalonej według uznania Sądu.

W motywach skargi skarżąca podniosła w szczególności, że administrator danych może mieć prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) w zwracaniu się do swoich klientów z prośbą o ocenę zakupionych u niego produktów lub usług. Jeżeli skierowanie prośby o wyrażenie opinii na temat produktu lub usługi następuje w drodze elektronicznej, tego rodzaju komunikat przybiera formę informacji handlowej w rozumieniu art. 2 pkt 2 u.ś.u.d.e. Przepis art. 10 ust. 1-2 u.ś.u.d.e. nie dopuszcza możliwości wysyłania niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy (tj. bez jego zgody) będącego osobą fizyczną za pomocą środków komunikacji elektronicznej. Zgodnie z art. 10 ust. 3 u.ś.u.d.e. naruszenie art. 10 ust. 1-2 stanowi czyn nieuczciwej konkurencji w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz.U. z 2019 r., poz. 1010 i 1649 ze zm.), dalej: "u.z.n.k.". Mimo to, zdaniem Prezesa UODO, pozyskanie zgody na skierowanie wobec skarżącej zapytania o wyrażeniu przez nią opinii na temat produktu byłoby de facto działaniem nadmiarowym, ponieważ administrator danych spełnił przesłankę legalności przetwarzania danych, o której mowa w art. 6 ust. 1 lit. f RODO. Natomiast zdaniem skarżącej, w realiach niniejszej sprawy o legalnym procesie przetwarzania na gruncie art. 6 ust. 1 lit. f RODO można byłoby mówić jedynie wtedy, gdyby administrator danych pozyskał osobną zgodę skarżącej (tj. w rozumieniu art. 10 ust. 2 u.ś.u.d.e.) przed skierowaniem wobec niej przedmiotowej prośby o wyrażenie opinii na temat produktu.

Odwołując się do art. 95 RODO, motywu 173 preambuły RODO oraz Opinii 5/2019 Europejskiej Rady Ochrony Danych Osobowych skarżąca podniosła, że w sytuacji gdy dyrektywa 2002/58/WE stanowi lex specialis wobec RODO, a pozyskanie zgody na gruncie art. 13 tejże dyrektywy otwiera możliwość ustalenia istnienia podstaw przetwarzania na gruncie art. 6 RODO, to uprawniony jest wniosek, że dopóki administrator nie pozyska zgody na wysyłanie do swoich klientów próśb o ocenę zakupionych przez nich produktów lub usług, dopóty administrator nie będzie mógł charakteryzować elektronicznej wysyłki prośby o ocenę zakupionych produktów lub usług jako czynności przetwarzania legalizowanej przez art. 6 ust. 1 lit. f RODO. Uzasadniony interes musi być bowiem dopuszczalny na mocy prawa (Grupa Robocza Art. 29, Opinia 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych zawartego w art. 7 dyrektywy 95/46/WE przyjęta w dniu 9 kwietnia 2014 r. 844/14/PL, WP 217, s. 28).

Jakkolwiek administrator danych ma prawnie uzasadniony interes w podejmowaniu wszelkiego rodzaju działań o charakterze marketingowym, granice jego interesu nie są jednak niczym nieograniczone. Dokonując przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO powinien on bowiem przestrzegać innych norm prawnych. Tylko w ten sposób dojdzie do przetwarzania zgodnego z prawem (art. 5 ust. 1 lit. a RODO). Uznanie, że pozyskanie zgody, o której mowa w art. 10 ust. 2 u.ś.u.d.e. miałoby charakter nadmiarowy, całkowicie zniweczyłoby ochronny cel tej normy, jakim jest zapewnienie szerszej ochrony prywatności, a jednocześnie ograniczenie przedsiębiorcom możliwości wysyłania niezamówionych informacji handlowych. W zakresie otrzymywania wszelkiego rodzaju informacji handlowych - wobec kategorycznego brzmienia art. 10 ust. 1 - 2 u.ś.u.d.e. - osoba, której dane dotyczą ma prawo oczekiwać, że w tym zakresie jej dane nie będą przetwarzane w celu wysłania do niej prośby o wyrażenie opinii na temat nabytego produktu. Jednym z jej podstawowych praw i wolności jest bowiem prawo do prywatności w zakresie nieotrzymywania jakichkolwiek informacji handlowych.

Zdaniem skarżącej, dopóki nie wyrażono zgody na otrzymywanie informacji handlowych na podstawie art. 10 ust. 1 u.ś.u.d.e., dopóty interesy lub podstawowe prawa i wolności adresata informacji handlowych przeważać będą nad prawnie uzasadnionym interesem realizowanym przez administratora. To zaś sprawia, że legalność procesu przetwarzania - w zakresie wysłania do skarżącej prośby o wyrażenie opinii - zależała od uprzedniej zgody skarżącej, której nie było. Stąd wniosek skarżącej powinien był uwzględniony przez Prezesa UODO.

W odpowiedzi na skargę Prezes UODO wniósł o oddalenie skargi podtrzymując stanowisko wyrażone w zaskarżonej decyzji.

Dodatkowo organ wskazał, że uzasadniony interes administratora danych (art. 6 ust. 1 lit. f RODO) stanowi podstawę prawną dla przetwarzania danych osobowych w celach marketingu bezpośredniego. Zgody, o której mowa w art. 10 ust. 2 u.ś.u.d.e., nie należy utożsamiać ze zgodą, o której mowa w art. 6 lit. a RODO. Zgoda, o której mowa w art. 10 ust. 2 u.ś.u.d.e., stanowi jedynie wyraz powiązania podmiotów, o którym mowa w motywie 47 preambuły RODO. Zgoda szczególna jest zatem dodatkowym wymogiem możliwości skorzystania z danej formy kontaktu, a nie samą w sobie podstawą prawną przetwarzania danych osobowych w rozumieniu RODO. To zaś, że do uzyskania zgody użytkownika końcowego stosuje się przepisy o ochronie danych osobowych (art. 4 u.ś.u.d.e.) oznacza jedynie konieczność dokonywania oceny skuteczności zgody w odniesieniu do postanowień RODO.

Jednocześnie organ stwierdził, iż skarżąca wypełniła warunek, o którym mowa w art. 10 ust. 2 u.ś.u.d.e., była bowiem użytkownikiem konta, który "w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny". "W tym celu" oznacza zaś komunikację ze Spółką prowadzoną w ramach dopuszczalnych przepisami prawa, tj. także marketingową w oparciu o art. 6 ust. 1 lit. f RODO.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2021 r., poz. 137 ze zm.), dalej: "p.u.s.a." oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329), dalej: "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego.

W myśl zaś art. 134 § 1 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a.

Skarga oceniana w świetle powyższych kryteriów zasługuje na uwzględnienie.

Zaznaczyć na wstępie należy, że przedmiotem skargi jest punkt 2 decyzji Prezesa UODO z dnia [...] marca 2022 r. w części, w jakiej organ odmówił uwzględnienia wniosku skarżącej – A. D. z dnia [...] października 2020 r., dotyczącego nieprawidłowości w procesie przetwarzania danych osobowych poprzez przetwarzanie przez E. Sp. z o.o. z siedzibą w W. adresu e-mail w oparciu o art. 6 ust. 1 lit. f RODO w celu przesyłania informacji handlowych.

Zauważyć przy tym należy, że odmowa uwzględnienia wniosku (punkt 2 decyzji), oprócz wskazanego wyżej zagadnienia, dotyczyła również kwestii braku realizacji przez Spółkę obowiązku informacyjnego, o którym mowa w art. 13 ust. i 2 RODO, poprzez zaniechanie poinformowania - w "klauzuli o przetwarzaniu danych osobowych w formie broszury" - o zainstalowanym w sklepie monitoringu. Kwestia spełnienia obowiązku informacyjnego przez Spółkę nie była przedmiotem skargi, co jednoznacznie wynika z jej treści. Niemniej jednak, wobec niepodzielnego charakteru rozstrzygnięcia o odmowie uwzględnienia wniosku skarżącej, uchyleniu podlegał cały punkt 2 zaskarżonej decyzji.

Kontrolując decyzję w zaskarżonej części Sąd zważył, że we wniosku z dnia [...] października 2022 r. skarżąca podniosła zarzut przetwarzania przez Spółkę jej adresu e-mail w celu przesyłania informacji handlowych (co miało miejsce w dniu [...] sierpnia 2020 r. poprzez wysłanie wiadomości e-mail z prośbą o ocenę zakupionych produktów), z naruszeniem art. 6 ust. 1 lit. f RODO. Zaznaczyła, że jakkolwiek dystrybucja przez administratora danych wiadomości e-mail - w celu umożliwienia klientom, którzy dokonali zakupu danego produktu, podzielenia się opinią na jego temat - stanowi formę uzasadnionego interesu administratora danych na gruncie art. 6 ust. 1 lit. f RODO, to jednak, aby była ona zgodna z prawem, wymaga spełnienia warunku określonego w art. 10 u.ś.u.d.e. Skarżąca oświadczyła jednocześnie, że nie wyrażała zgody, o której mowa w art. 10 ust. 2 u.ś.u.d.e.

W uzupełnieniu wniosku skarżąca zwróciła się do organu o stwierdzenie naruszenia art. 5 ust. 1 lit. a RODO w związku z art. 10 u.ś.u.d.e. poprzez niezgodne z prawem przetwarzanie adresu e-mail przez Spółkę, pomimo niewyrażenia przez skarżącą zgody na przesyłanie informacji marketingowych (zaproszeń do oceny zakupionego produktu) drogą elektroniczną - za pośrednictwem adresu e-mail.

W wyjaśnieniach złożonych w toku postępowania Spółka wskazała, że dane osobowe skarżącej (w tym adres e-mail) pozyskała w związku z utworzeniem konta zakupowego w serwisie [...] oraz w trakcie składania i obsługi reklamacji towaru. Dane te Spółka pozyskała i przetwarza w celu prowadzenia i funkcjonalności konta zakupowego w serwisie [...], w tym realizacji transakcji sprzedaży oraz dostaw towarów w sklepach Spółki, a także w celu przyjmowania i obsługi procesów reklamacyjnych towarów nabywanych w sklepach Spółki. Dane te Spółka przetwarza również w celu prowadzenia komunikacji dotyczącej złożonej przez skarżącą skargi.

Spółka oświadczyła, że skarżąca nie udzieliła zgody na przetwarzanie danych osobowych w celach marketingowych. Wskazała przy tym, że nie wysyłała do skarżącej niezamówionej informacji handlowej. Wiadomość e-mail z dnia [...] sierpnia 2020 r. miała charakter komunikacji posprzedażowej - umożliwiała skarżącej zgłoszenie zastrzeżeń do zakupionego towaru oraz sposobu wykonania umowy sprzedaży zawartej ze Spółką.

Odmawiając uwzględnienia wniosku skarżącej w ww. zakresie organ powołał się na przesłankę legalizującą przetwarzanie danych zawartą w art. 6 ust. 1 lit. f RODO, zgodnie z którym przetwarzanie jest zgodne z prawem jeżeli jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Organ wskazał również na motyw 47 preambuły RODO, który stanowi, że podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania. Ponieważ dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Prawnie uzasadnionym interesem administratora, którego sprawa dotyczy, jest również przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.

Na tej podstawie organ przyjął, że w stanie faktycznym niniejszej sprawy działanie Spółki stanowiło działalność marketingową, a w związku z tym spełniało przesłankę legalności przetwarzania danych określoną w art. 6 ust. 1 lit. f RODO. Akcentując fakt powiązania skarżącej ze Spółką umową sprzedaży, istnienie aktywnego konta zakupowego oraz dokonanie reklamacji produktu organ stwierdził, że skarżąca mogła spodziewać się przetwarzania danych osobowych w prawnie uzasadnionym interesie jakim jest prośba o ocenę zakupionego produktu. Jednocześnie organ uznał, że nie została spełniona przesłanka negatywna określona w ww. przepisie w postaci występowania interesów lub podstawowych praw i wolności skarżącej, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów Spółki.

Następnie organ, utożsamiając zgodę na otrzymywanie informacji handlowej, (art. 10 ust. 2 u.ś.u.d.e.), ze zgodą na przetwarzanie danych osobowych w tym celu (art. 6 ust. 1 lit. a RODO) stwierdził, że jakkolwiek Spółka zgody takiej (o której mowa w art. 6 ust. 1 lit. a RODO) nie posiadała, to jednak jej pozyskanie byłoby działaniem nadmiarowym wobec występowania przesłanki legalizującej z art. 6 ust. 1 lit. f RODO.

Nadto organ wskazał, iż w sprawie nie doszło do naruszenia art. 5 ust. 1 lit. a RODO, statuującego zasadę zgodności z prawem, rzetelności i przejrzystości przetwarzania danych, w odniesieniu do zgód, których Spółka od skarżącej nie uzyskała, tj. zgody dotyczącej działań marketingowych podmiotów współpracujących ze Spółką oraz zgody na otrzymywanie od Spółki informacji marketingowych dostosowanych do preferencji skarżącej.

W ocenie Sądu, powyższa argumentacja nie wyjaśnia toku rozumowania organu, które legło u podstaw podjętego w sprawie rozstrzygnięcia, co stanowi o naruszeniu art. 107 § 3 k.p.a. w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), dalej: "u.o.d.o.", a w konsekwencji czyni zaskarżoną decyzję co najmniej przedwczesną.

Wskazać należy, że warunkiem oparcia przetwarzania danych osobowych na przesłance, o której mowa w art. 6 ust. 1 lit. f RODO, jest spełnienie łącznie następujących wymogów: 1) identyfikacja prawnie uzasadnionego interesu, który jest realizowany przez administratora lub przez osobę trzecią, 2) zweryfikowanie niezbędności przetwarzania dla realizacji celu wynikającego z przedmiotowego interesu, 3) ocena, czy nie jest spełniona przesłanka o charakterze negatywnym w postaci występowania w danym stanie faktycznym interesów lub podstawowych praw i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora danych lub osoby trzeciej.

Organ zidentyfikował prawnie uzasadniony interes realizowany przez Spółkę w postaci działalności marketingowej polegającej na wysłaniu prośby o ocenę zakupionego produktu. Nie rozważył jednak, czy tak zdefiniowany (prawnie uzasadniony) interes Spółki spełnia przesłankę zgodności z prawem w kontekście wymogu określonego w art. 10 ust. 2 u.ś.u.d.e. w sytuacji, gdy prośba o ocenę produktu została wysłana za pośrednictwem poczty elektronicznej. Organ nie zweryfikował również niezbędności przetwarzania danych osobowych (adresu e-mail skarżącej) dla realizacji celu wynikającego z ww. interesu - nie rozważył, czy skierowanie prośby o ocenę zakupionego produktu przy zastosowaniu innej formy kontaktu (bez przetwarzania adresu e-mail) byłoby niemożliwe. Ponadto organ nie dokonał oceny, czy nie została spełniona przesłanka o charakterze negatywnym - nie ustalił, czy w okolicznościach sprawy występuje interes, podstawowe prawa lub wolności skarżącej, które wymagają ochrony danych osobowych, a ponadto nie zbadał, czy mają one charakter nadrzędny względem prawnie uzasadnionych interesów realizowanych przez Spółkę. Samo stwierdzenie organu w uzasadnieniu zaskarżonej decyzji, że ww. przesłanka nie została spełniona nie może zastąpić rzetelnego wyważenia interesów Spółki oraz skarżącej.

Podkreślenia w tym miejscu wymaga, że punkt ciężkości omawianej podstawy przetwarzania danych powinien być poszukiwany właśnie w dążeniu do wyważenia interesów podmiotów uczestniczących w procesie przetwarzania danych, nie zaś sprowadzać się do poszukiwania takich interesów związanych z przetwarzaniem danych, które mogą być uznane za uzasadnione prawnie. Konsekwentnie, za zgodne z prawem na podstawie art. 6 ust. 1 lit. f RODO należy uznać takie przetwarzanie danych osobowych, które odbywa się w prawnie uzasadnionym interesie administratora danych lub osoby trzeciej i jednocześnie nie przeważa nad interesem osoby, której dane dotyczą, nie naruszając jednocześnie jej podstawowych praw i wolności. Koncepcja ochrony danych osobowych polega bowiem na balansowaniu interesów (M. Safjan, Granice (...), s. 14 [w:] P. Barta, M. Kawecki, P. Litwiński, Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. P. Litwiński, C.H. Beck, Warszawa 2021, Art. 6). Kwestia ta została w uzasadnieniu zaskarżonej decyzji całkowicie przez organ pominięta.

Istotnym elementem wyważania interesów lub podstawowych praw i wolności, które wymagają ochrony danych osobowych podmiotu danych oraz prawnie uzasadnionych interesów realizowanych przez administratora danych jest relacja zachodząca między podmiotem danych a administratorem. Wynika to z motywu 47 preambuły RODO i może mieć znaczenie w szczególności przy działaniach z marketingu bezpośredniego. Analizując natomiast jakie operacje na danych będą dopuszczalne przy marketingu bezpośrednim nie można pomijać przepisów szczególnych, które zawierają bardziej rygorystyczne warunki dopuszczalności jego niektórych form. Takim przepisem jest właśnie art. 10 u.ś.u.d.e., który uzależnia możliwość wysyłania informacji handlowych za pomocą środków komunikacji elektronicznej od zgody adresata informacji.

Jak stanowi art. 10 ust. 1 u.ś.u.d.e. zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny (ust. 2). Działanie, o którym mowa w art. 10 ust. 1, stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. z 2019 r., poz. 1010 i 1646).

Powołany przepis stanowi implementację art. 13 dyrektywy 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dz. Urz. L 201 z dnia 31 lipca 2002 r., p. 0037 - 0047). Natomiast art. 95 RODO określa relację pomiędzy przepisami RODO a przepisami implementującymi dyrektywę 2002/58/WE. Zgodnie z treścią tego przepisu RODO nie nakłada dodatkowych obowiązków na osoby fizyczne ani prawne co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii w sprawach, w których podmioty te podlegają szczegółowym obowiązkom mającym ten sam cel określony w dyrektywie 2002/58/WE. Przepis ten został poddany analizie Europejskiej Rady Ochrony Danych w opinii 5/2019, przyjętej w dniu 12 marca 2019 r., w sprawie wzajemnego odziaływania między dyrektywą o prywatności i łączności elektronicznej a RODO. Z punktu widzenia interpretacji art. 10 u.ś.u.d.e. kluczowe znaczenie ma przyjęcie, że szereg przepisów dyrektywy 2002/58/WE dookreśla (uszczegóławia) przepisy RODO w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej. Zgodnie z zasadą lex specialis derogat legi generali przepisy szczególne mają pierwszeństwo przed przepisami ogólnymi w sytuacjach, które są przez nie regulowane w sposób szczegółowy. W takich sytuacjach, w których dyrektywa 2002/58/WE uszczegóławia przepisy RODO, przepisy implementujące dyrektywę, jako lex specialis, mają pierwszeństwo przed ogólniejszymi przepisami RODO. Jednakże wszelkie przetwarzanie danych, które nie jest szczególnie uregulowane w dyrektywie 2002/58/WE, podlega przepisom RODO (teza 38 opinii 5/2019).

Biorąc pod uwagę ww. opinię EROD przyjąć należy, że art. 10 u.ś.u.d.e. - wymagający zgody na przesyłanie informacji handlowej drogą elektroniczną - stanowi lex specialis względem przepisów RODO określających podstawy przetwarzania danych osobowych (art. 6 RODO) w zakresie operacji na danych określonych w tym przepisie. Chociaż art. 10 u.ś.u.d.e. (jako lex specialis do RODO) wymaga pozyskania zgody na przesyłanie informacji handlowych, nie oznacza, że inne operacje na danych osobowych (niż samo przesyłanie) muszą być oparte na zgodzie na przetwarzanie danych osobowych (możliwe jest rozważenie podstawy, o której mowa w art. 6 ust. 1 lit. f RODO, tj. uzasadnionego interesu administratora danych). Sam zaś fakt dysponowania przesłanką przetwarzania danych osobowych z RODO do celów marketingu bezpośredniego (np. z art. 6 ust. 1 lit. f RODO) nie zwalnia od konieczności zalegalizowania operacji przesyłania informacji handlowej drogą elektroniczną (M. Gumularz, Świadczenie usług drogą elektroniczną. Komentarz LEX, https://sip.lex.pl).

Przepis art. 4 u.ś.u.d.e. stanowi, że jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych. Oznacza to konieczność dokonywania oceny skuteczności zgody w odniesieniu do postanowień RODO (art. 4 pkt 11, motyw 32 preambuły RODO). Zgoda nie może być więc domniemana i musi obejmować wyraźne i konkretne uprawnienie dla nadawcy do przesyłania informacji handlowej. Zgoda może być udzielona w dowolnej, choć wyraźnej formie. Może to nastąpić poprzez podanie adresu elektronicznego identyfikującego odbiorcę. Samemu udostępnieniu adresu elektronicznego musi jednak towarzyszyć zgoda na konkretne działanie, tj. przesyłanie na ten adres informacji handlowych.

W świetle powyższych uwag nie sposób zaakceptować twierdzenia Prezesa UODO, że zgoda, o której mowa w art. 10 u.ś.u.d.e. jest zgodą w rozumieniu art. 6 ust. 1 lit. a RODO, a w związku z tym jej pozyskanie w okolicznościach faktycznych i prawnych niniejszej sprawy byłoby działaniem nadmiarowym (na marginesie zauważyć należy, że z koncepcji utożsamiania zgody z art. 10 u.ś.u.d.e. ze zgodą z art. 6 ust. 1 lit. f RODO organ wycofał się w odpowiedzi na skargę). Nie sposób również uznać, że organ dokonał prawidłowej oceny spełnienia przez Spółkę przesłanki legalizującej z art. 6 ust. 1 lit. f RODO. W konsekwencji nie można podzielić stanowiska, że w sprawie nie doszło do naruszenia art. 5 ust. 1 lit. a RODO w sytuacji, gdy organ dokonał takiej oceny w kontekście "zgód marketingowych, których Spółka od skarżącej nie uzyskała", a więc okoliczności, które nie stanowiły podstawy odnośnego zarzutu skargi na niezgodne z prawem przetwarzanie danych. Powyższe wadliwości skutkowały uchyleniem zaskarżonej decyzji w części orzekającej o odmowie uwzględnienia wniosku w omówionym zakresie.

Na marginesie Sąd zauważa, że na powyższą ocenę nie mogła mieć wpływu argumentacja zawarta w odpowiedzi na skargę. Braki rzetelnego uzasadnienia zaskarżonej decyzji nie mogą być konwalidowane na etapie odpowiedzi na skargę, a taką właśnie - choć nieskuteczną - próbę, podjął organ. Dotyczy to w szczególności - - nieznajdującego oparcia w zgromadzonym dotychczas materiale dowodowym - stanowiska organu odnośnie spełnienia przez skarżącą warunku, o którym mowa w art. 10 ust. 2 u.ś.u.d.e. Podkreślić również należy, że odpowiedź na skargę jest aktem odrębnym niż akt zaskarżony i nie podlega kontroli Sądu. Nie jest bowiem środkiem wyjaśnienia, a tym bardziej zastąpienia motywów decyzji, które zgodnie z art. 107 § 3 k.p.a. powinny znaleźć się w jej uzasadnieniu.

Rozpatrując sprawę ponownie organ uwzględni dokonaną ocenę prawną. Ponownie oceni, czy w okolicznościach faktycznych i prawnych sprawy istniała przesłanka legalizująca przetwarzanie danych osobowych skarżącej w postaci adresu e-mail, polegające na wysłaniu (za pośrednictwem poczty elektronicznej) prośby o ocenę zakupionego produktu, w sytuacji nieposiadania przez Spółkę zgody, o której mowa w art. 10 ust. 2 u.ś.u.d.e.

Mając na względzie wszystko powyższe Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. a i c p.p.s.a. orzekł jak w punkcie 1 sentencji wyroku. O zwrocie kosztów postępowania, obejmujących wpis sądowy od skargi (200 zł) oraz wynagrodzenie pełnomocnika skarżącej w stawce minimalnej (480 zł) wraz z opłatą skarbową od pełnomocnictwa (17 zł), Sąd postanowił w oparciu o art. 200 i art. 205 § 2 p.p.s.a. jak w punkcie 2 sentencji wyroku.



Powered by SoftProdukt