Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędzia WSA Ewa Radziszewska-Krupa (spr.), Sędzia WSA Agnieszka Góra-Błaszczykowska, , Protokolant specjalista Elwira Sipak, po rozpoznaniu na rozprawie w dniu 17 listopada 2022 r. sprawy ze skargi Banku [...] z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

I. Stan sprawy przestawia się następująco:

1. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej "Prezesem UODO") decyzją z [...] marca 2022r. znak [...] udzielił Bankowi [...]. z siedzibą w [...] (zwany dalej: "Bankiem" albo "Skarżącym") upomnienia za naruszenie art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE L 119119 z 4.05.2016, s. 1, Dz. Urz. UE L 127 z 23.05.2018, s. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, s. 35, zwane dalej "RODO") polegające na przetwarzaniu [...] marca 2019r. danych osobowych D. W. (zwana dalej "Uczestnikiem"), w celu marketingu bezpośredniego, bez podstawy prawnej.

Z uzasadnienia decyzji wynika, że postępowanie zainicjował Uczestnik, wskazując w skardze, że [...] marca 2019r. wycofała zgodę na przetwarzanie danych osobowych do celów marketingowych w systemie bankowości elektronicznej, a mimo to Bank podjął [...] marca 2019r. telefoniczną próbę kontaktu, w celu przedstawienia oferty marketingowej. W związku z tym Uczestniczka złożyła w Banku reklamację, uzyskując odpowiedź z [...] marca 2019r., że sytuacja ta była wynikiem nieprawidłowego obiegu informacji w Banku.

Skarżący w wyjaśnieniach z 15 czerwca 2020r. wskazał, że pozyskał i obecnie przetwarza dane osobowe Uczestnika w związku z zawartą [...] lipca 2012r. umową rachunku oszczędnościowo-rozliczeniowego, na podstawie art. 6 ust. 1 lit. b RODO. Przetwarza dane osobowe Uczestnika: imię, nazwisko, nr PESEL, nr, seria i data ważności dokumentu tożsamości, data, miejsce i kraj urodzenia, obywatelstwo, imiona rodziców, nazwisko panieńskie matki, status rezydencji podatkowej, nr telefonu, adres e-mail, adres zamieszkania, nazwa pracodawcy, adres pracodawcy, wysokość wynagrodzenia, rodzaj zatrudnienia, data rozpoczęcia pracy, stan cywilny, rodzaje posiadanych produktów bankowych, w tym data otwarcia i zamknięcia, wysokość salda, status rezydencji podatkowej, dane dotyczące składnych reklamacji. Bank wykonał do Uczestniczki telefon już po cofnięciu zgody na działania marketingowe, gdyż był to efekt wcześniej wygenerowanej kampanii marketingowej. Bank po odnotowaniu wycofania zgody Uczestnika nie przetwarzał więcej danych osobowych Uczestniczki w celach marketingowych, w tym marketingu telefonicznego.

Prezes UODO wskazał, że RODO, określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Art. 6 ust. 1 RODO uprawnia administratorów danych do przetwarzania zwykłych danych osób fizycznych. Zgodnie z tym przepisem przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek jest zamknięty i każda z nich legalizuje proces przetwarzania danych osobowych i ma charakter autonomiczny i niezależny. Przesłanki te, co do zasady, są równoprawne, więc spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO), przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów, realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).

Podstawą prawną przetwarzania - zgodnie z motywem 47 RODO - mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego. Niezależnie od RODO kwestię prowadzenia marketingu bezpośredniego, przy wykorzystaniu połączeń i wiadomości telefonicznych oraz przy wykorzystaniu poczty elektronicznej, regulują:

- ustawa z 16 lipca 2004r. Prawo telekomunikacyjne (Dz.U. z 2021r., poz. 576, zwana dalej: "u.p.t.") i

- ustawa z 18 lipca 2002r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2020r., poz. 344, zwana dalej "u.ś.u.d.e.").

Zgodnie z art. 172 ust. 1 u.p.t. zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

Zgodnie z art. 10 ust. 1 i 2 u.ś.u.d.e. zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Przy czym informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

Prezes UODO wskazał, że ww. przepisy uzależniają możliwość prowadzenia marketingu bezpośredniego oraz przesyłania informacji handlowej od uzyskania odpowiednich zgód w tym zakresie. Bank przy wykorzystaniu do prowadzenia marketingu bezpośredniego połączeń i wiadomości telefonicznych oraz poczty elektronicznej miał obowiązek uzyskania od Uczestniczki zgód, choć nie na podstawie art. 6 ust. 1 lit. a RODO, lecz na mocy ww. przepisów u.p.t. i u.ś.u.d.e.

Materiał dowodowy sprawy wskazuje, że Uczestniczka wyraziła zgodę na prowadzenie wobec niej marketingu bezpośredniego, którą wycofała [...] marca 2019r. Prowadzenie więc przez Bank marketingu bezpośredniego wobec Uczestniczki do [...] marca 2019r. odbywało się na mocy ww. przesłanki art. 6 ust. 1 lit. f) RODO i stanowiło jego prawnie uzasadniony interes. Skoro Uczestniczka przez system bankowości elektronicznej skutecznie wycofała [...] marca 2019r. wszelkie zgody marketingowe, a mimo to Bank dzień później kontaktował się z Uczestniczką telefonicznie, w celu przedstawienia oferty, to działanie nie było prawidłowe i nie znajdowało podstawy prawnej określonej w art. 6 ust. 1 RODO. Bank nie dysponował bowiem na dzień kampanii reklamowej - [...] marca 2019r. - zgodą Uczestnika, o której mowa w art. 172 ust. 1 u.p.t., na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego. Nie istniał więc uzasadniony prawnie interes Banku, który byłby nadrzędny nad interesem Uczestniczki i uzasadniał przetwarzanie jej danych osobowych na potrzeby marketingu bezpośredniego w celu realizacji prawnie uzasadnionego interesu, o którym mowa w art. 6 ust. 1 lit. f) RODO. Uczestniczka, cofając zgodę na marketing telefoniczny, o której mowa w art. 172 ust. 1 u.p.t., oczekiwała, że jej dane nie będą nadal przetwarzane w tym celu. Bank nie mógł zatem przetwarzać danych osobowych Uczestniczki w celach marketingowych, na mocy art. 6 ust. 1 lit. f) RODO, nie wykazał ponadto, aby zachodziła jakakolwiek inna przesłanka spośród wymienionych w art. 6 ust. 1 RODO, która stanowiłaby o legalności tego procesu.

Prezes UODO stwierdził, że postępowanie administracyjne przez Niego prowadzone służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej, która ma przywrócić stan zgodny z prawem, na podstawie art. 58 ust. 2 lit. b) RODO, m.in. przez udzielenie upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operację przetwarzania. Skoro Bank nie miał podstaw do przetwarzania [...] marca 2019r. danych osobowych Uczestnika do celów marketingu bezpośredniego, to właściwe było zastosowanie upomnienia za stwierdzone naruszenie przepisów art. 6 ust. 1 RODO. Zdaniem Prezesa UODO nie było natomiast podstaw do wydania nakazu ograniczenia przetwarzania przez Bank danych osobowych Uczestnika, bo Bank po [...] marca 2019r. przestał przetwarzać dane osobowe Uczestniczki w ww. celu, a tym samym kwestionowany przez Uczestniczkę proces przetwarzania jej danych osobowych nie jest kontynuowany.

2. Bank w skardze do Wojewódzkiego Sądu Administracyjnego z [...] kwietnia 2022r. wniósł o uchylenie ww. decyzji w całości i przekazanie sprawy organowi do ponownego rozpatrzenia oraz o zasądzenie zwrotu kosztów postępowania, według norm przepisanych, zarzucając naruszenie:

- błędną wykładnię art. 6 ust. 1 lit. f) RODO w zw. z art. 172 ust. 1 u.p.t. - przez uznanie, że wycofanie zgody na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących do celów marketingu bezpośredniego, o której mowa w art. 172 ust. 1 u.p.t., skutkuje ustaniem legalności przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO do celów marketingu bezpośredniego, stanowiącego prawnie uzasadniony interes administratora;

- art. 6 ust. 1 RODO - przez jego niezastosowanie, gdy Skarżący [...] marca 2019r. był uprawniony do przetwarzania danych osobowych Uczestnika do celów marketingu bezpośredniego, na mocy jednej z przesłanek wynikających z art. 6 ust. 1 lit. f RODO;

- art. 58 ust. 2 RODO w związku 6 ust. 1 RODO - przez ich niewłaściwe zastosowanie i przyjęcie, że Prezes UODO miał uprawnienie do zastosowania upomnienia i że doszło do konkretnego naruszenia,

- art. 7, art. 77 § 1 i art. 80 ustawy z 14 czerwca 1960r. - Kodeks postępowania administracyjnego (Dz.U. z 2021r., poz. 735, zwana dalej: "k.p.a.") – przez:

- niewyczerpujące zebranie i rozpatrzenie materiału dowodowego oraz dowolną ocenę - przejawiającej się w uznaniu, że Skarżący [...] marca 2019r. nie był uprawniony do przetwarzania danych osobowych Uczestnika, na podstawie art. 6 ust. 1 lit. f RODO do celów marketingu bezpośredniego, w związku z wycofaniem zgody, o której mowa w art. 172 ust. 1 u.p.t.,

- brak ustalenia czy Uczestniczka zgłosiła sprzeciw wobec przetwarzania jej danych osobowych, na mocy art. 6 ust. 1 lit. f RODO,

- brak ustalenia podstaw przetwarzania przez Bank danych osobowych klientów do celów marketingu bezpośredniego oraz sposobów prowadzenia przez Bank działań marketingowych, co doprowadziło do uznania, że Skarżący naruszył art. 6 ust. 1 RODO przez przetwarzanie bez podstawy prawnej danych osobowych Klientki w dniu [...] marca 2019 r. do celów marketingu bezpośredniego i w konsekwencji udzielenia mu upomnienia.

Skarżący wniósł też o przeprowadzenie dowodu uzupełniającego z dokumentu w postaci informacji dotyczących przetwarzania danych osobowych w Banku, na okoliczność przekazywania klientom Banku informacji, z których jasno wynika, że dane osobowe klientów do celów marketingu bezpośredniego przetwarzane są na podstawie art. 6 ust. 1 lit. f RODO, zaś klientom przysługuje prawo do zgłoszenia sprzeciwu wobec przetwarzania ich danych osobowych do ww. celu.

W uzasadnieniu skargi Skarżący rozwinął ww. zarzuty i wskazał, że wycofanie przez zgody, o której mowa w art. 172 ust. 1 u.p.t. nie może być uznane za skutkujące brakiem legalności przetwarzania danych osobowych Uczestnika przez Bank, na mocy art. 6 ust. 1 lit. f RODO, do celów marketingu bezpośredniego, chociażby w kontekście pozostałych sposobów komunikacji, wykorzystywanych przez Bank przy realizacji marketingu bezpośredniego, dostępnych mimo wycofania ww. zgody. Tym samym Skarżący był on uprawniony do przetwarzania danych osobowych Uczestnika do celów marketingu bezpośredniego, na mocy art. 6 ust. 1 lit. f RODO, więc Prezes UODO nie miał podstaw do nałożenia środka naprawczego z art. 58 ust. 2 i z 6 ust. 1 lit RODO. Dodatkowo organ nie wskazał w sentencji, którą postawę do przetwarzania danych Bank naruszył, więc zarzuty w skardze sformułowano z daleko idącej ostrożności procesowej, na podstawie uzasadnienia decyzji. Również na podstawie uzasadnienia Skarżący domyślił, że intencją organu było wskazanie nałożenia konkretnego środka naprawczego, nie zaś na to, że Prezes UODO ma do dyspozycji różne środki naprawcze. Udzielenie upomnienia może też stanowić w innych postępowaniach czynnik mogący uzasadniać wymierzenie kary finansowej, bądź podniesienie jej wysokości. Upomnienie poprzedza bowiem nałożenie sankcji finansowych. Dlatego upomnienie nie powinno być środkiem stosowanym przez Prezesa UODO bez szczególnego uzasadnienia, który powinien podejmować działania w oparciu o nie budzące wątpliwości przestanki i tylko wtedy, gdy są one odpowiednie, niezbędne i proporcjonalne, aby zapewnić przestrzeganie RODO. Zastosowany środek naprawczy - upomnienie jest - wobec istnienia [...] marca 2019r. podstawy przetwarzania danych osobowych Uczestnika. do celów marketingu bezpośredniego, wynikającej z art. 6 ust. 1 lit. f RODO - środkiem nieodpowiednim, zbędnym i nieproporcjonalnym i błędnie zastosowany.

Skarżący, odwołując się do art. 7, art. 77 § 1 i art. 80 k.p.a. wskazał, że Prezes UODO powinien w oparciu o wyjaśnienia Banku i z urzędu dokonać wnikliwej oceny stanu faktycznego. Organ, choć odebrał od Banku wyjaśnienia, nie podjął dalszych czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, w szczególności czy Bank przed [...] marca 2019r. był uprawniony do przetwarzania danych osobowych Uczestnika, do celów marketingu bezpośredniego, na mocy art. 6 ust. 1 lit f RODO. Organ nie zwrócił się do Banku o przestanie dodatkowych wyjaśnień w zakresie ewentualnego zgłoszenia przez Klientkę sprzeciwu wobec przetwarzania jej danych osobowych do ww. celów, czy też o wskazanie ustalonych przez Bank podstaw przetwarzania danych osobowych klientów do celów marketingu bezpośredniego oraz sposobów prowadzenia przez Bank działań marketingowych. Organ błędnie też uznał, że Uczestniczka, cofając zgodę na marketing telefoniczny, o której mowa w art. 172 ust. 1 u.p.t., za pośrednictwem kanału bankowości elektronicznej, przy wykorzystaniu przeznaczonych do tego przycisków, oczekiwała, że jej dane nie będą przetwarzane w dalszym ciągu do celów marketingowych. Tym samym materiał dowodowy sprawy nie pozwalał na dokonanie ustaleń, oceny Prezesa UODO miały charakter dowolny i nie były pełne i wnikliwe.

3. Prezes UODO w odpowiedzi na skargę podtrzymał stanowisko wyrażone w zaskarżonej decyzji i wniósł o oddalenie skargi. Prezes UODO wniósł ponadto o odmowę przeprowadzenia przez Sąd dowodu uzupełniającego z dokumentu - informacji dotyczących przetwarzania danych osobowych w Banku, na okoliczność przekazywania klientom Banku informacji, z których jasno wynika, że dane osobowe klientów do celów marketingu bezpośredniego przetwarzane są na podstawie art. 6 ust. 1 lit. f RODO, zaś klientom przysługuje prawo do zgłoszenia sprzeciwu wobec przetwarzania ich danych osobowych do ww. celu. Zdaniem Prezesa UODO treść dokumentu wskazanego przez Bank pozostaje irrelewantna do rozstrzygnięcia sprawy.

4. Na rozprawie przed Wojewódzkim Sądem Administracyjnym w Warszawie 17 listopada 2019r. Skarżący Bank cofnął wniosek dowodowy zawarty w skardze.

II. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

1. skarga jest niezasadna.

2. Sąd stwierdza, że zgodnie z art. 1 § 1 i 2 ustawy z 25 lipca 2002r. - Prawo o ustroju sądów administracyjnych (Dz.U. z 2022r., poz. 2492) kontrola sądowa zaskarżonych decyzji, postanowień bądź innych aktów, wymienionych w art. 3 § 2 ustawy z 30 sierpnia 2002r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2022r. poz. 329 ze zm., zwana dalej "P.p.s.a."), sprawowana jest przez Sądy administracyjne w oparciu o kryterium zgodności z prawem. W związku z tym, aby wyeliminować z obrotu prawnego akt wydany przez organ administracji publicznej (np. decyzję) konieczne jest stwierdzenie, że doszło w niej do naruszenia bądź przepisu prawa materialnego w stopniu mającym wpływ na wynik sprawy, bądź przepisu postępowania w stopniu mogącym mieć istotny wpływ na rozstrzygnięcie, albo też przepisu prawa dającego podstawę do wznowienia postępowania, lub ewentualnie ustalenie, że decyzja lub postanowienie organu dotknięte jest wadą nieważności (art. 145 § 1 pkt 1 lit. a)-c), pkt 2 P.p.s.a.). Sąd, stosownie do art. 151 P.p.s.a., w razie nieuwzględnienia skargi w całości albo w części, oddala skargę odpowiednio w całości albo w części.

Sąd wyjaśnia również, że stosownie do art. 134 § 1 P.p.s.a. Sąd administracyjny rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a. Ostatni z ww. przepisów nie miał jednak zastosowania w sprawie, gdyż organ administracyjny wydał decyzję administracyjną, którą zaskarżył Bank, a nie interpretację indywidualną, o której mowa w art. 57a P.p.s.a.

3. Sąd w rozpoznawanej sprawie, mając na względzie zasadę legalności – rozumianą jako potrzeba wydania decyzji w zgodzie z obowiązującym porządkiem prawnym - uznał, że zaskarżona decyzja Prezesa UODO odpowiadała prawu zarówno procesowemu, jak i materialnemu, a żaden z podniesionych w skardze zarzutów nie mógł być uznany za zasadny.

Sąd w pierwszej kolejności wskazuje, że w okolicznościach faktycznych sprawy, które wynikają z akt administracyjnych sprawy, niezasadne są zarzuty procesowe podniesione w skardze, opierające się na naruszeniu przepisów k.p.a., które były oraz mogły być stosowane w sprawie. Prezes UODO bowiem zarówno zebrał, jak i rozważył całokształt materiału dowodowego sprawy, uwzględniając zasadę prawdy obiektywnej wyrażoną w art. 7 i art. 77 § 1 k.p.a., a ponadto dokonał ocen przy zastosowaniu zasady swobodnej oceny dowodów wynikającej z art. 80 k.p.a. Prezes UODO ponadto, ustalając stan faktyczny sprawy opierał się na materiale dowodowym, w tym na wyjaśnieniach złożonych przez Skarżący Bank oraz brał pod uwagę przepisy RODO, które obowiązany był stosować po złożeniu [...] października 2019r. przez ww. Uczestnika skargi na nieprawidłowości w przetwarzaniu danych osobowych Uczestnika, po cofnięciu zgód na przetwarzanie danych w celach marketingowych. Prezes UODO, wziął też pod rozwagę złożoną przez Uczestniczkę skargę, w której w sposób wyraźny wskazała, że Bank - już po tym, jak cofnęła [...] marca 2019r., w systemie bankowości elektronicznej zgodę na przetwarzanie swoich danych osobowych do celów marketingowych - podjął [...] marca 2019r. telefoniczną próbę kontaktu, w celu przedstawienia oferty marketingowej. Prezes UODO uwzględnił też, że wycofanie przez Uczestnika ww. zgód zostało odnotowane przez Bank, co wynika z wyjaśnień Banku złożone w postępowaniu administracyjnym toczącym się przed UODO.

Warto też zwrócić uwagę, że w aktach administracyjnych znajduje się zarówno reklamacja Uczestniczki, jak również związana z nią odpowiedź Banku z [...] marca 2019r., z której wynika, że sytuacja niezgodne z prawem przetwarzania danych osobowych Uczestnika (bez zgód wymaganych na mocy art. 172 ust. 1 u.p.t.) była wynikiem nieprawidłowego obiegu informacji w Banku. Prezes UODO w uzasadnieniu zaskarżonej decyzji wskazywał też wyraźnie, że niezależnie od RODO kwestię prowadzenia marketingu bezpośredniego, przy wykorzystaniu połączeń i wiadomości telefonicznych oraz przy wykorzystaniu poczty elektronicznej, regulują przepisy: u.p.t. oraz u.ś.u.d.e. Wyjaśnił też prawidłowo, że ww. przepisy uzależniają możliwość prowadzenia marketingu bezpośredniego i przesyłania informacji handlowej od uzyskania odpowiednich zgód w tym zakresie. Bank przy wykorzystaniu do prowadzenia marketingu bezpośredniego połączeń i wiadomości telefonicznych oraz poczty elektronicznej miał obowiązek uzyskania od Uczestniczki zgód, choć nie na podstawie art. 6 ust. 1 lit. a RODO, lecz na mocy ww. przepisów u.p.t. i u.ś.u.d.e.

Zdaniem Sądu ww. okoliczności były niesporne w toku postępowania administracyjnego, a ponadto mogły być uznane przez Prezesa UODO za wystarczające do przyjęcia w zaskarżonej decyzji, że Bank w stanie faktycznym sprawy naruszył powołany w uzasadnieniu zaskarżonej decyzji art. 6 ust. 1 lit. f) RODO. Stosownie bowiem do ww. przepisu przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim - spełniony jest warunek - przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. W przepisu art. 6 ust. 1 lit. f) RODO ogólnie mówi się o "prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią". W tym zakresie mieści się przetwarzanie danych osobowych Uczestnika – klienta banku, który udzielił np. zgód na prowadzenia marketingu bezpośredniego i przesyłanie informacji handlowej w rozumieniu ww. przepisów u.p.t. oraz u.ś.u.d.e., w tym zgody, o której mowa art. 172 ust. 1 u.p.t.

Warto też podkreślić, że w motywie 65 preambuły RODO wskazano, że osoba, której dane dotyczą, powinna w szczególności mieć prawo do tego, by jej dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, jeżeli osoba, której dane dotyczą, cofnęła zgodę lub jeżeli wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących, lub jeżeli przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z niniejszym rozporządzeniem.

Tym samym należy wskazać, że wbrew stanowisku prezentowanemu w skardze nie tylko sprzeciw osoby fizycznej na przetwarzanie danych osobowych jej dotyczących, lecz również cofnięcie zgody na przetwarzanie danych osobowych jej dotyczących powoduje, że Bank nie ma podstaw do przetwarzania danych Uczestnika i w takim przypadku uprawnionym do działania jest Prezes UODO. Niesłuszne jest ponadto zawarte w skardze twierdzenie Banku, że wycofanie zgody udzielonej na podstawie art. 172 ust. 1 u.p.t. nie skutkuje ustaniem legalności przetwarzania danych osobowych dla celów marketingu bezpośredniego na podstawie art. 6 ust. 1 RODO.

Skoro Bank nie dysponował na dzień kampanii reklamowej, przeprowadzonej [...] marca 2019r., zgodą Uczestnika, o której mowa w art. 172 ust. 1 u.p.t., na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, to prawidłowe było uznanie przez Prezesa UODO (właściwy w sprawie organ administracyjny, na mocy motywu 36 preambuły RODO, art. 1 ust. 1 i 2 RODO w związku z art. 4 pkt 1, 2, 6, 7, 8, 21 RODO), że prowadzenie przez Bank marketingu bezpośredniego wobec Uczestniczki po [...] marca 2019r. odbywało się bez podstawy prawnej, określonej w art. 6 ust. 1 RODO, a w szczególności z naruszeniem przesłanki wynikającej art. 6 ust. 1 lit. f) RODO. Bank nie mógł bowiem przetwarzać danych osobowych Uczestniczki w celach marketingowych, na mocy art. 6 ust. 1 lit. f) RODO.

Rację miał Prezes UODO, wskazując w uzasadnieniu zaskarżonej decyzji, że art. 6 ust. 1 RODO zawiera katalog przesłanek legalizujących proces przetwarzania danych osobowych przez administratora danych. Katalog ten jest zamknięty, a każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny oraz samodzielnie może stanowić o legalności procesu przetwarzania. W toku prowadzonego przez Prezesa UODO postępowania, administrator danych ma obowiązek wskazania podstaw przetwarzania danych osobowych. W postępowaniu prowadzonym przez Prezesa UODO doszło, po przeprowadzeniu wszelkich przewidziane prawem czynności, służących wnikliwemu i rzetelnemu ustaleniu okoliczności faktycznych sprawy, do wykazania, że Bank nie miał podstaw prawnych do przetwarzania danych osobowych Uczestnika, w celu marketingu bezpośredniego, po wycofaniu zgody, o której mowa w art. 172 u.p.t.

Tym samym na uwzględnienie nie zasługiwały podniesione w skardze wszystkie zarzuty procesowe i materialnoprawne z tego zakresu. Skoro bowiem po stronie Banku nie istniał prawnie uzasadniony interes, który byłby nadrzędny nad interesem Uczestniczki, niemożliwe było przyjęcie, że przetwarzanie danych osobowych Uczestnika na potrzeby marketingu bezpośredniego było uzasadnione realizacją prawnie uzasadnionego interesu Banku, o którym mowa w art. 6 ust. 1 lit. f) RODO. Skuteczne wycofanie przez Uczestnika, przy pomocy systemu bankowości elektronicznej, wszelkich zgód marketingowych - tych wskazanych w art. 172 ust. 1 u.p.t. - oznacza, że każde późniejsze działanie Banku, polegające na kontakcie telefonicznym z Uczestniczką w celu marketingu bezpośredniego, nie może być uznane za prawnie uzasadniony interes Banku i powoduje, że możliwe było zastosowanie przez Prezesa UODO jednej z sankcji przewidzianych w art. 58 RODO, w tym przede wszystkim upomnienia, o którym mowa w art. 58 ust. 2 lit. b) RODO.

Skoro Uczestniczka wycofała zgodę na kontakt telefoniczny, w celu marketingu bezpośredniego, który stanowi przetwarzanie danych osobowych w rozumieniu RODO, a mimo to doszło do kontaktu telefonicznego, w celu przedstawienia oferty marketingowej, nie było to działanie ani legalne ani prawidłowe, w świetle powołanych w uzasadnieniu zaskarżonej decyzji przepisów RODO. Uczestniczka, cofając zgodę na marketing telefoniczny, oczekiwała, że jej dane osobowe nie będą już przetwarzane w tym celu. Dodatkowo Bank, który był wezwany do przedłożenia wyjaśnień w sprawie, na co prawidłowo zwrócił uwagę Prezes UODO w uzasadnieniu zaskarżonej decyzji, nie wykazał w toku postępowania, aby zachodziła jakakolwiek inna przesłanka spośród wymienionych w art. 6 ust. 1 RODO, która stanowiłaby o legalności procesu przetwarzania danych osobowych Uczestnika w ww. celu.

Powyższe rozważania wskazują, że Prezes UODO na podstawie znajdujących się w aktach administracyjnych dowodów opisał stan faktyczny sprawy, jak również dokonał prawidłowo subsumpcji ustalonego stanu faktycznego pod obowiązujące i możliwe do zastosowania w sprawie normy prawne.

Sąd, odnosząc się do zarzutu naruszenia art. 58 ust. 2 RODO w związku 6 ust. 1 RODO, zwraca uwagę, że z motywu 129 preambuły do RODO wynika, że każdy środek naprawczy stosowany przez organ nadzoru – w rozpoznawanej sprawie Prezesa UODO - powinien być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie RODO – z uwzględnieniem okoliczności danej sprawy, z poszanowaniem prawa do wysłuchania danej osoby przed zastosowaniem indywidualnego środka, który miałby niekorzystnie na nią wpłynąć, oraz bez nadmiernych kosztów i niedogodności dla danej osoby. Uprawnienia organu nadzorczego, wskazane w art. 58 ust. 2 RODO noszą miano "uprawnień naprawczych" (ang. corrective powers) i mają charakter władczy. Jednym z nich jest upomnienie (art. 58 ust. 2 lit. b RODO), które Prezes UODO zdecydował się zastosować w odniesieniu do Skarżącego Banku. W motywie 148 preambuły RODO wyjaśniono, że może być ono stosowane, gdy naruszenie przepisów RODO jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie. W tym kontekście nie sposób uznać, że sankcja zastosowana w realiach rozpoznawanej sprawy, czyli w okolicznościach faktycznych wynikających z akt administracyjnych - upomnienie, jako jedna z najłagodniejszych, była – jak wskazuje Bank w skardze - nieodpowiednia czy nieproporcjonalna, by Bank w przyszłości przestrzegał przepisy RODO.

Zdaniem Sądu obawy Banku, co do przyszłych i ewentualnych, a tym samym niepewnych zdarzeń w innych postępowaniach, wskazujące na hipotetyczną możliwość nałożenia na Skarżącego sankcji administracyjnych, przewidzianych w art. 58 ust. 2 RODO, nie wskazywały na nieprawidłowość nałożenia w okolicznościach rozpoznawanej sprawy kary upomnienia.

4. Sąd, mając powyższe na względzie uznał, że zasadne było oddalenie skargi, na mocy art. 151 P.p.s.a.