Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska, Sędziowie WSA Ewa Pisula – Dąbrowska (spr.), Janusz Walawski, Protokolant specjalista Elwira Sipak, po rozpoznaniu na rozprawie w dniu 27 stycznia 2016 r. sprawy ze skargi Banku [...] SA w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2015 r. nr [...] w przedmiocie przetwarzania danych osobowych – oddala skargę –

Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] kwietnia 2015 r. nr [...], na podstawie art. 138 § 1 pkt 1 i pkt 2 k.p.a., utrzymał w mocy własną decyzję z [...] stycznia 2015 r., którą to decyzją GIODO nakazał Bankowi [...] S.A. z siedzibą w [...] przy ul. [...] (zwanym dalej Bankiem) usunięcie uchybień w procesie przetwarzania danych osobowych poprzez: usunięcie danych osobowych pozyskanych za pomocą formularzy kontaktowych – oferta oraz oferta – przedsiębiorca (zamieszczonych na stronie internetowej Banku o adresie: [...]) a dotyczących osób, które odwołały zgodę na przetwarzanie tych danych przez Bank, w terminie 60 dni od dnia, w którym decyzja stanie się ostateczna. Jako podstawę rozstrzygnięcia organ wskazał art. 23 ust. 1 oraz art. 22 w zw. z art. 7 pkt 5 ustawy o ochronie danych osobowych.

W motywach uzasadnienia organ stwierdził, że w toku kontroli Banku ustalono, że za pomocą formularzy kontaktowych, zamieszczonych na stronie internetowej Banku, w tym formularzy dla osób zainteresowanych pożyczką gotówkową, przetwarza on dane osobowe bez prawidłowo wyrażonej zgody potencjalnych klientów.

Organ stwierdził, że zgoda, jaką należy wyrazić w formularzach kontaktowych Banku nie ma charakteru samodzielnego, a sposób w jaki Bank pozyskuje taką zgodę nie odpowiada definicji zgody na przetwarzanie danych osobowych, o których mowa w art. 7 pkt 5 ustawy o ochronie danych osobowych.

Organ stwierdził, że w rozpatrywanej sprawie brak jest przesłanek legalizujących działanie Banku, tj. przetwarzanie danych osób, które odwołały zgodę na przetwarzanie swoich danych osobowych. Wskazał, że pozyskiwanie i utrwalanie danych osobowych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych.

Wyjaśnił, że dane osób, które odwołały zgodę na przetwarzanie danych osobowych, w celu przedstawienia im oferty, nie są usuwane z systemu informatycznego lecz są przechowywane przez Bank przez okres 10 lat (w celu porównania danych z zakupionych baz). W ocenie organu, taka argumentacja nie stanowi prawnie usprawiedliwionego celu, o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, albowiem w takim przypadku (zakupu danych), Bank zobowiązany jest poinformować osobę, której dane przetwarza, że je przetwarza po to, by mogła wnieść stosowny sprzeciw – art. 32 ust. 1 pkt 8 ustawy. Stosownie bowiem do art. 25 ust. 1 ustawy o ochronie danych osobowych, na Banku ciąży obowiązek poinformowania osoby, której dane dotyczą, o tym fakcie, zakresie przetwarzania oraz możliwości wniesienia sprzeciwu, stosownie do art. 32 ustawy.

W skardze na powyższą decyzję do tutejszego Sądu Bank [...] S.A. w [...], wnosząc o uchylenie zaskarżonej decyzji, zarzucił naruszenie prawa procesowego, tj. art. 7, art. 8, art. 9, art. 77, art. 80 k.p.a. oraz naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj.:

- art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, poprzez jego niewłaściwą wykładnię skutkującą przyjęciem, że z uwagi na odwołanie zgody na przetwarzanie danych osobowych w celach marketingowych niedopuszczalnym było przetwarzanie przez Bank danych tej osoby w oparciu o art. 23 ust. 1 pkt 5 ustawy w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych odwołaniem zgody (tj. w celach marketingowych),

- art. 23 ust. 1 pkt 2 w zw. z art. 7 pkt 5 ustawy, poprzez ich niewłaściwą wykładnię skutkującą przyjęciem, że z uwagi na odwołanie zgody na przetwarzanie danych osobowych w celach marketingowych niedopuszczalne było przetwarzanie przez Bank danych osobowych tej osoby w oparciu o art. 23 ust. 1 pkt 2 w zw. z art. 7 pkt 5 ustawy w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych odwołaniem zgody (tj. w celach marketingowych),

- art. 23 ust. 1 pkt 2 ustawy w zw. z art. 1 ust. 2 ustawy, poprzez ich niewłaściwą wykładnię skutkującą przyjęciem, że z uwagi na odwołanie zgody na przetwarzanie danych osobowych w celach marketingowych niedopuszczalne było przetwarzanie przez Bank danych osobowych w oparciu o art. 23 ust. 1 pkt 2 w zw. z art. 1 ust. 2 ustawy w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych odwołaniem zgody (tj. w celach marketingowych).

W odpowiedzi na skargę organ wniósł o jej oddalenie.

Podniósł, że treść zarzutów skargi wskazuje na nieprawidłowe rozumienie przez stronę skarżącą istoty instytucji sprzeciwu, o której mowa w art. 32 ust. 1 pkt 8 u.o.d.o. Podkreślił, że przywołane w skardze przepisy zezwalają na przetwarzanie danych bez zgody osoby, której dotyczą, ale na warunkach i w celach w nich określonych. Instytucja sprzeciwu (art. 32 ust. 3 ustawy o ochronie danych osobowych) stanowi instrument ochronny, gdy przetwarzanie następuję bez zgody, w oparciu o przesłanki wymienione w art. 23 ust. 1 pkt 4 i 5 ustawy.

Wyjaśnił, że prawo wniesienia sprzeciwu nie przysługuje w przypadku przetwarzania danych na podstawie zgody, jak to ma miejsce w rozpatrywanym przypadku, dlatego przepisy art. 32 ust. 1 pkt 8 i art. 32 ust. 3 ustawy nie mają w przedmiotowej sprawie zastosowania.

Reasumując organ wskazał, że nie została spełniona przez Bank żadna z przesłanek legalizujących przetwarzanie danych osobowych osób, które odwołały swoją zgodę. Nie została spełniona przesłanka niezbędności przetwarzania danych dla realizacji prawnie usprawiedliwionego celu, o której mowa w art. 23 ust. 1 pkt 5 ustawy. Nadto druga z przesłanek (usprawiedliwionego celu), a mianowicie, że "przetwarzanie nie może naruszać praw i wolności osoby której dane dotyczą".

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Skarga zasługuje na uwzględnienie.

Zgodnie z art. 23 ust. 1 pkt 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2015 r., poz. 2135 ze zm.), przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych.

Dokonując wykładni art. 23 ust. 1 pkt 1 powołanej ustawy o ochronie danych osobowych, należy uwzględnić Dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.UE.L.95.281.31 ze zm.), która nakazuje w krajowych przepisach prawa, dotyczących przetwarzania danych osobowych, uwzględnienie podstawowych praw i wolności, szczególnie prawa do prywatności, które zostało uznane zarówno w art. 8 Europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności oraz zasobach ogólnych prawa wspólnotowego, podkreślając, że należy w ustawodawstwie dążyć do zapewnienia jak najwyższego stopnia ochrony. Zasady ochrony praw i wolności jednostki, szczególnie prawa do prywatności, które zawarte są w tej dyrektywie, utrwalają i umacniają zasady wyrażone w Konwencji Rady Europy z 26 stycznia 1981 r. w sprawie ochrony jednostek w zakresie automatycznego przetwarzania danych osobowych. Przetwarzanie danych osobowych musi być zgodne z prawem i rzetelne wobec zainteresowanych osób; w szczególności dane muszą być adekwatne, właściwe i nie wykraczać poza cele, dla których są przetwarzane; cele takie muszą być jednoznaczne i uzasadnione oraz określone w czasie gromadzenia danych; potrzeby dalszego przetwarzania danych dla potrzeb ich gromadzenia nie mogą być niezgodne z pierwotnie określonymi celami.

Zgodnie z prawem, proces przetwarzania danych osobowych wymaga ponadto, aby dokonywane było ono za zgodą osoby, której dane dotyczą lub było konieczne dla zawarcia lub realizacji umowy wiążącej w sprawie osoby, której dane dotyczą, bądź miało charakter wymogu prawnego, lub też służyło realizacji zadania wymaganego w interesie publicznym lub wykonywaniu władzy publicznej, bądź też w uzasadnionym interesie osoby fizycznej lub prawnej, pod warunkiem, że interesy lub prawa i wolności osoby, której dane dotyczą, nie mają charakteru nadrzędnego.

Te wartości ochrony danych osobowych przyjęte w prawie wspólnotowym muszą być uwzględnione przy wykładni przepisów prawa. Art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych opiera dopuszczalność przetwarzania danych na wystąpieniu przesłanki, że osoba, której dane dotyczą, wyrazi na to zgodę. Zgoda jest to oświadczenie woli osoby na przetwarzanie jej danych. Zgoda zatem musi być wyrażona w takiej formie, aby można to wiązać z oświadczeniem woli określonej treści. Jeżeli zgoda ma być wyrażona na wymaganym formularzu, formularz musi zawierać dokładne pouczenie o skutkach wyrażenia zgody, a ogólnikowe pouczenie przez odesłanie do ustawy o ochronie danych osobowych, takim pouczeniem nie jest. Nie określa terminu od kiedy Bank przetwarza dane osobowe i z jaką czynnością związane jest przetwarzanie danych.

W przypadku, gdy jednostka oświadcza o braku zgody na przetwarzanie danych, nie jest dopuszczalne ograniczenie się do formalistycznego stwierdzenia faktu, bez oceny i wykładni przepisów ustanawiających ochronę danych osobowych. Art. 51 ust. 4 Konstytucji Rzeczypospolitej Polskiej stanowi, że każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. To konstytucyjne prawo jednostki musi być uwzględnione przy ocenie przepisów prawa, dotyczących wyrażenia zgody na przetwarzanie danych osobowych.

W ocenie Sądu, trafnie organ uznał, że zgoda jaką należy wyrazić w formularzu kontaktowym Banku nie ma charakteru samodzielnego, a sposób w jaki Bank pozyskuje zgodę nie odpowiada definicji zgody na przetwarzanie danych osobowych, o których mowa w art. 7 pkt 5 ustawy o ochronie danych osobowych.

Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., poz. 270 ze zm.) orzekł, jak w sentencji.