Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Fularski, Sędzia WSA Ewa Radziszewska – Krupa, Sędzia WSA Piotr Borowiecki (spr.), po rozpoznaniu w trybie uproszczonym w dniu 21 kwietnia 2021 r. sprawy ze skargi Z. R. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2020 r. nr [...] w przedmiocie odmowy uwzględnienia wniosku oddala skargę

Zaskarżoną decyzją z dnia [...] września 2020 r., nr [...], Prezes Urzędu Ochrony Danych Osobowych (dalej także: "Prezes UODO" lub "organ nadzorczy"), działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jednolity Dz. U. z 2020 r., poz. 256 ze zm. - dalej także: "k.p.a.") oraz art. 7 ust. 1 w zw. z art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2019 r., poz. 1781 - dalej także: "u.o.d.o."), i art. 57 ust. 1 lit. a i lit. f rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. EU L 119 z dnia 4 maja 2016 r., str. 1 oraz Dz. Urz. UE L 127 z dnia 23 maja 2018, str. 2 ze zm. - dalej także: "RODO"), po przeprowadzeniu postępowania administracyjnego w sprawie zainicjowanej skargą wniesioną przez Z. R. (dalej także: "skarżący" lub "strona skarżąca") na nieprawidłowości w procesie przetwarzania jego danych osobowych przez A. z siedzibą w [...] (dalej także: "A. lub "B." lub "administrator danych") - odmówił uwzględnienia wniosku.

Zaskarżona decyzja Prezesa UODO została wydana w następującym stanie faktycznym.

W piśmie z dnia [...] września 2018 r. do Prezesa Urzędu Ochrony Danych Osobowych wpłynęła skarga Z. R. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez A. z siedzibą w [...].

W uzasadnieniu skargi strona skarżąca zarzuciła, że A. przetwarza jego dane bez podstawy prawnej, z jednoczesnym naruszeniem obowiązków informacyjnych. Skarżący zauważył, że zakładając [...], nie wyrażał on zgody na przetwarzanie danych osobowych w celach marketingowych. Skarżący podniósł, że [...] wielokrotnie ustosunkowywał się do jego wystąpień dotyczących żądania zaprzestania wysyłania informacji marketingowych, zapewniając, iż taka sytuacja nie będzie miała już miejsca w przyszłości, po czym - jak podkreślił skarżący - sytuacja ponownie się powtarzała. Skarżący wskazał, że B. przepraszał go, po czym znów wysyłał informacje handlowe w postaci listów, e-maili, czy też sms-ów. Skarżący podkreślił, że wspomniane zdarzenia mają charakter cykliczny i powtarzają się od wielu lat.

W konsekwencji, skarżący wniósł o nakazanie administratorowi danych usunięcia uchybień w procesie przetwarzania danych osobowych poprzez usunięcie danych osobowych skarżącego przetwarzanych bez podstawy prawnej. Jednocześnie, skarżący wniósł o nałożenie na A. administracyjnej kary pieniężnej, a także o wypłatę odszkodowania od B.

W związku z wniesioną skargą, Prezes Urzędu Ochrony Danych Osobowych przeprowadził stosowne postępowanie wyjaśniające, w wyniku którego zgromadził odpowiedni materiał dowodowy, ustalając stan faktyczny konieczny do wydania stosownego rozstrzygnięcia.

W toku postępowania Prezes UODO ustalił, że skarżący jest stroną następujących umów zawartych z A.:

- "Umowy o świadczenie usług oferowanych przez B. dla Osoby Fizycznej" oraz "Umowy [...] nr [...]" z dnia [...] stycznia 2010 r. (dalej: "umowy z [...] r."), w treści których jako strony wskazani zostali: skarżący i A.,

- "Umowy ramowej w zakresie elektronicznych oświadczeń woli" zawartej w dniu [...] stycznia 2016 r., w której jako strony wskazani zostali: skarżący i [...] (zwana dalej: "umową z [...] r.")

Zgodnie z wyjaśnieniami B. marka "[...]" nie stanowi odrębnej spółki, lecz jest oddziałem A.(vide: wyjaśnienia B. z dnia [...] maja 2019 r. - w aktach administracyjnych sprawy).

Ponadto, Prezes UODO ustalił, że poza wymienionymi powyżej rachunkami skarżący posiada następujące aktywne umowy w A.:

- Umowa o prowadzenie [...] nr [...] z dnia [...] grudnia 2015 r.,

- umowa [...] nr [...] z dnia [...]listopada 2018 r.,

- umowa [...] nr [...] z dnia [...] października 2018 r.,

- umowa [...] nr [...] z dnia [...] października 2018 r.,

- umowa [...] nr [...] z dnia [...] października 2018 r.

Ponadto, organ nadzorczy ustalił, że skarżący posiadał dwadzieścia sześć umów o terminowe lokaty standardowe, które wygasły oraz umowę [...] z dnia [...] września 2016 r., która została rozliczona i zamknięta w dniu [...] września 2017 r. (vide: wyjaśnienia B. z dnia [...] listopada 2018 r. - w aktach administracyjnych sprawy).

Prezes UODO ustalił ponadto, że A. przetwarza dane osobowe skarżącego w zbiorach "Klienci A." oraz "Klienci [...]" w następującym zakresie: imię, nazwisko, PESEL, data urodzenia, kraj urodzenia, miejsce urodzenia, seria i numer dowodu osobistego, data wydania dowodu osobistego, wizerunek, obywatelstwo, adres zameldowania, zamieszkania oraz korespondencji, kraj rezydencji, status dewizowy, numer telefonu komórkowego, adres e- mail, nazwisko panieńskie matki oraz imiona rodziców (vide: wyjaśnienia B. z dnia [...] listopada 2018 r. - w aktach administracyjnych sprawy).

Organ nadzorczy ustalił, że zgodnie z zapisami umów z 2010 r. skarżący wyraził zgodę na przetwarzanie jego danych osobowych (vide: szczegółowy opis treści zgody skarżącego na stronie [...] zaskarżonej decyzji).

Organ nadzorczy ustalił ponadto, że Umowa z 2016 r. zawiera wyraźny zapis, z którego wynika, że skarżący wyraża zgodę na otrzymywanie od A. za pośrednictwem środków komunikacji elektronicznej informacji handlowych, w rozumieniu art. 2 pkt 2 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r. Nr 144, poz. 1204 ze zm. - szczegółowy opis treści zgody skarżącego na stronach 3-4 zaskarżonej decyzji).

Prezes PUODO ustalił również, iż skarżący posiada w A. dwie odrębne kartoteki: kartotekę B. (dla produktów dotyczących umów z 2010 r.) i kartotekę [...] (dla produktów dotyczących umowy z 2016 r.). Organ nadzorczy na podstawie wyjaśnień B. ustalił, że w związku z tym, iż skarżący posiada dwie odrębne od siebie kartoteki osobowe, zgody marketingowe wyrażone przez skarżącego są odrębne, dla każdej z posiadanych kartotek, tj. dla marketingu produktów B. i dla marketingu produktów i usług [...] (vide: wyjaśnienia B. z dnia [...] listopada 2018 r. - w aktach administracyjnych sprawy).

Na podstawie wyjaśnień spółki Prezes UODO ustalił ponadto, że w związku z kartoteką B. dotyczącą umów z 2010 r., Bank ten nie kierował do skarżącego żadnym kanałem kampanii marketingowych, natomiast przekazywał mu korespondencję o charakterze informacyjnym, tj. dotyczącym zmian regulaminów, zmian prowizji, itp. (vide: wykaz kampanii z wykorzystaniem danych osobowych skarżącego w okresie od dnia [...] listopada 2017 r. do dnia [...] października 2018 r. - w aktach administracyjnych sprawy).

Organ nadzorczy ustalił jednocześnie, na podstawie wyjaśnień B. z dnia [...] listopada 2018 r., że dane osobowe skarżącego w ramach kartoteki [...] zostały wykorzystane w kampaniach marketingowych i informacyjnych (wykaz kampanii z wykorzystaniem danych osobowych skarżącego w okresie od dnia [...] maja 2017 r. do dnia [...] października 2018 r. - w aktach administracyjnych sprawy).

Prezes UODO ustalił ponadto, że zarówno w umowach z 2010 r., jak i w umowie z 2016 r. zamieszczono informację o administratorze danych, tj. pełnej jego nazwie i adresie siedziby, prawach przysługujących stronie skarżącej dotyczących zebranych danych osobowych, celach przetwarzania danych oraz podstawie prawnej i podmiotach, którym dane będą przekazane.

Z ustaleń organu nadzorczego wynikało ponadto, że skarżący w dniach [...] maja 2017 r., [...] czerwca 2017 r. oraz [...] lipca 2017 r. przesłał do A. e-maile dotyczące kwestii przetwarzania jego danych w celach marketingowych przez [...], w których twierdził, że zawierając umowę z A. nie wyraził zgody na przetwarzanie danych osobowych w celach marketingowych. Ponadto w e-mailach tych skarżący stwierdził, że w dniu [...] maja 2017 r. otrzymał telefony. We wspomnianych e-mailach skarżący zwracał się z pytaniem do B., dlaczego - mimo jego wielokrotnego stanowczego braku zgody na przetwarzanie danych osobowych – B. napastuje go ciągłymi telefonami (wydruki e-maili - w aktach administracyjnych sprawy).

W złożonym w toku postępowania wyjaśniającego piśmie z dnia [...] listopada 2018 r. A. wskazał, że skarżący składał w dniu [...] maja, [...] czerwca oraz [...] lipca 2017 r. reklamacje dotyczące przetwarzania danych osobowych dla celów marketingowych, lecz w związku z faktem, iż skarżący przy składaniu reklamacji korzystał z systemu bankowości internetowej oraz kontekstu klienta przypisanego do kartoteki [...], odpowiedzi [...] nie dotyczyły działań marketingowych prowadzonych w ramach [...]. Ponadto, A. wskazał, że po otrzymaniu skargi złożonej przez Z. R. zweryfikowane zostały kampanie, którymi objęty był skarżący. B. zauważył, że w wyniku powyższej weryfikacji potwierdzono, iż z kartoteki dla produktów A. przekazywano treści informacyjne dotyczące świadczonych usługi w ramach tej kartoteki (np. zmiany regulaminów, zmiana strony logowania, zmiany taryfy opłat i prowizji), natomiast w ramach kartoteki dla produktów [...] przekazywano zarówno treści informacyjne z tytułu świadczonych usług, jak i treści marketingowe. A. stwierdził, że skarżący nie odwołał zgody na przetwarzanie jego danych osobowych w celach marketingowych w ramach usług świadczonych przez [...], tj. umowy z 2016 r. Niemniej, [...] poinformował organ nadzorczy, że z uwagi na wniesienie skargi inicjującej niniejsze postępowanie przed Prezesem UODO, A. uznał, że należy potraktować tą skargę jako oświadczenie w przedmiocie braku dalszego zezwolenia na przetwarzanie danych osobowych skarżącego w podanych celach również w ramach wspomnianej wyżej usługi. W konsekwencji, A. wyraźnie oświadczył w piśmie z dnia [...] listopada 2018 r., że zaprzestał przetwarzania danych osobowych skarżącego w celach marketingowych również w kartotece [...].

Organ nadzorczy ustalił jednocześnie, na podstawie wyjaśnień B. z dnia [...] listopada 2018 r., że obecnie dane osobowe skarżącego przetwarzane są w celu realizacji aktywnych umów skarżącego łączących go z A.., archiwizacyjnych na postawie art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości (tekst jednolity Dz. U. z 2019 r., poz. 351) przez okres 5-ciu lat od końca roku kalendarzowego, w którym nastąpiło zamknięcie rachunku oraz na podstawie art. 118 ustawy z dnia ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (tekst jednolity Dz. U z 2019 r., poz. 1145 ze zm.) do momentu przedawnienia roszczeń powstałych w związku z wykonywaniem czynności [...].

W wyniku analizy zgromadzonego materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych - działając na podstawie przepisów art 104 § 1 k.p.a. oraz art. 7 ust. 1 w zw. z art. 60 u.o.d.o. i art. 57 ust. 1 lit. a i f RODO - wydał w dniu [...] września 2020 r. decyzję nr [...], na mocy której odmówił uwzględnienia wniosku skarżącego Z. R. zawartego w jego skardze z dnia [...] września 2018 r.

W uzasadnieniu wydanej decyzji Prezes UODO, odnosząc się na wstępie do zarzutu skarżącego, iż jego dane osobowe były przetwarzane przez A.w celach marketingowych bez podstawy prawnej, pomimo złożonego sprzeciwu - wskazał, że postępowanie wykazało, iż w przedmiotowej sprawie dane osobowe skarżącego zostały pozyskane przez B. w dniu [...] stycznia 2010 r. oraz w dniu [...] stycznia 2016 r., kiedy obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2016 r. poz. 922 ze zm. - dalej także: "u.o.d.o. z 1997 r."). Organ nadzorczy zauważył, że dane te zostały pozyskane bezpośrednio od skarżącego, na podstawie zawartych przez niego z B. umów z 2010 r. oraz umowy z 2016 r.

Organ nadzorczy wskazał, że od dnia [...] maja 2018 r. zastosowanie znajduje RODO, w myśl którego przetwarzanie jest dopuszczalne, jeżeli:

- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (art. 6 ust. 1 lit. a RODO);

- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b RODO);

- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO);

- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d RODO);

- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO);

- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).

Jednocześnie, organ nadzorczy podkreślił, że akapit pierwszy art. 6 ust. 1 lit. f RODO nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań (art. 6 ust. 1 lit. f in fine RODO).

Ponadto, Prezes UODO zauważył, że przepis art. 7 ust. 3 RODO zastrzega, że osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę; wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem; osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę; wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Organ nadzorczy wskazał, że A. zastosował mechanizm pozyskiwania zgody klienta na przetwarzanie danych osobowych dla celów marketingowych odrębnie dla każdej umowy, wskazując w każdej z nich określoną ścieżkę komunikacji i składania oświadczeń woli (również dotyczących przetwarzania danych osobowych), polegającą m.in. na odrębnym logowaniu się w systemie B. dla każdej z umów.

Prezes UODO podniósł, że skarżący złożył jednoznaczne oświadczenie woli w zakresie dopuszczalności przetwarzania przez B. jego danych osobowych w celach marketingowych w związku z umową z 2010 r. (odmówił wyrażenia zgody na przetwarzanie jego danych w podanych celach). Organ nadzorczy zauważył, że oświadczenie to zostało odnotowane w kartotece klienta. Organ nadzorczy wskazał także, iż skarżący wyraził w treści przedmiotowej umowy zgodę na przetwarzanie jego danych w celu zawierania i wykonywania umów (także w przyszłości) z B. Organ nadzorczy podniósł, że B. przedstawił zestawienie wskazujące, że w związku z powyższą umową, w okresie od listopada 2017 r. do października 2018 r., przetwarzał dane osobowe skarżącego dla celu komunikacji z nim, wyłącznie w celach przekazywania mu informacji dotyczących realizacji ww. umowy (np. informowania o zmianach w regulaminie produktów, w wysokości prowizji, czy w regulaminie kanałów elektronicznych). Organ nadzorczy zauważył, że z wyjaśnień B. wynika, iż nie kierował on do skarżącego żadnym możliwym kanałem kampanii marketingowych.

Natomiast, jeśli chodzi o umowę z 2016 r., to Prezes UODO zauważył, że w umowie tej skarżący wyraził zgodę na przetwarzanie jego danych osobowych za pośrednictwem środków komunikacji elektronicznej i otrzymywanie informacji handlowych od B.. Organ nadzorczy, powołując się na definicję informacji handlowej zawartą w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (tekst jednolity Dz. U. z 2020 r., poz. 344) - stwierdził, że zgoda na otrzymywanie takich informacji wyrażona przez skarżącego obejmuje informacje związane z wykonywaniem umowy, jak również informacje dotyczące proponowania produktów B., tj. informacje o kampaniach marketingowych prowadzonych przez B. Organ nadzorczy zauważył, że w kartotece klienta wskazano, iż kanały komunikacji do ich przesyłania to: telefon, e-mail i poczta. Ponadto, organ nadzorczy podniósł, że w wyjaśnieniach Bank stwierdził, że dane osobowe skarżącego zostały wykorzystane w kampaniach marketingowych i informacyjnych.

Prezes UODO podkreślił, że w zgromadzonym materiale dowodowym niniejszej sprawy brak jest dowodu potwierdzającego, iż skarżący skierował do B., ustalonym kanałem komunikacji, oświadczenie odwołujące wyrażoną w powyższy sposób zgodę na przetwarzanie danych osobowych w celach marketingowych w związku z umową z 2016 r.

Odnosząc się do zarzutu skarżącego, iż B. nie uwzględnił jego wystąpień dotyczących zaprzestania wysyłania mu treści marketingowych, Prezes UODO wskazał, że A. wyjaśnił, iż skarżący składał reklamacje dotyczące przetwarzania danych osobowych, jednak do ich składania korzystał z systemu bankowości internetowej przypisanej do kontekstu klienta przypisanego do kartoteki A., a więc umowy z 2010 r.

Organ nadzorczy zauważył, że z art. 12 ust. 2 zdanie pierwsze RODO wynika, że administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22 tego rozporządzenia. Ponadto, organ nadzorczy wskazał, że Motyw 59 RODO doprecyzowuje konieczność przewidzenia przez administratora procedur ułatwiających osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmu żądania dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Organ nadzorczy zauważył jednocześnie, że administrator powinien być zobowiązany udzielić odpowiedzi na żądania najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania - podać tego przyczyny.

Mając powyższe na względzie, Prezes UODO stwierdził, że A. stworzył mechanizmy, które umożliwiały przypisanie sprzeciwu do konkretnej umowy lub usługi, z której w B. korzysta klient, również poprzez odpowiedni kontekst klienta powiązany z systemem logowania, co B. wskazał bezpośrednio w zawartych ze skarżącym umowach. Ponadto, organ nadzorczy uznał, że B. odpowiedział na wszystkie e-maile, które zostały skierowane do B., a skarżący uzyskał odpowiedź, bez zbędnej zwłoki. Zdaniem organu nadzorczego, termin żadnej odpowiedzi nie przekroczył miesiąca.

Organ nadzorczy zauważył, że w jednej z wiadomości e-mailowej z dnia [...] maja 2017 r., dotyczącej usług B., A.w e-mailu przyznał, iż kontakt z klientem nastąpił "w celu zaprezentowania oferty marketingowej" (vide: e-mail z dnia [...] maja 2017 r. - wydruk w aktach administracyjnych sprawy). W tej sytuacji, organ nadzorczy uznał, że w tym przypadku niewątpliwie doszło do nieuwzględnienia żądania skarżącego o nieprzetwarzanie jego danych osobowych w celach marketingowych z umowy z 2010. Niemniej, organ nadzorczy stwierdził, że nie można takiego działania B. uznać za uporczywe i długotrwałe, tym bardziej, że B. za zaistniałą sytuację przeprosił skarżącego i zapewnił go, że wprowadził środki, aby do podobnych zdarzeń nie doszło w przyszłości.

Organ nadzorczy zauważył, że działania naprawcze B. potwierdzają przedstawione zestawienia kampanii, w których B. wskazał, że w okresie od listopada 2017 r. do listopada 2018 r. nie przetwarzał danych osobowych skarżącego z kartoteki A.(umowa z 2010 r.) w celach marketingowych. Organ nadzorczy podkreślił, że dane te były przetwarzane jedynie w kampaniach informacyjnych w celu realizacji umowy, zaś skarżący nie wykazał również, iż telefonicznie zgłosił sprzeciw wobec przetwarzania jego danych osobowych w ww. celach ze wszystkich umów zawartych z B..

W związku z powyższym, Prezes UODO uznał, że dane osobowe z umowy z 2016 r. (w ramach kartoteki [...]) przetwarzane były w celach marketingowych na podstawie wyrażonej przez skarżącego zgody, zgodnie z art. 6 ust. 1 lit. a RODO.

Ponadto, organ nadzorczy podkreślił, że A., niezwłocznie po uzyskaniu informacji o wpłynięciu skargi inicjującej niniejsze postępowanie i wezwania do złożenia wyjaśnień w sprawie - odnotował, że skarżący nie godzi się na przetwarzanie jego danych osobowych w odniesieniu do wszystkich umów i kontekstów klienta.

W tej sytuacji, Prezes UODO stwierdził, że obecnie A. nie przetwarza danych osobowych skarżącego w celach marketingowych w związku z żadną z zawartych z nim umów, a informacja o braku zgody skarżącego na takie przetwarzanie ujęta jest w obydwu kartotekach skarżącego, jako klienta B.

W konsekwencji, organ nadzorczy uznał, że oczekiwany przez skarżącego cel niniejszego postępowania został osiągnięty, a więc organ nadzorczy - wedle stanu na dzień wydania decyzji - nie ma podstaw do zastosowania wobec B. instrumentu prawnego służącego zapewnieniu zgodności procesu przetwarzania danych osobowych z przepisami obowiązującego prawa.

Odnosząc się do żądania skarżącego dotyczącego nałożenia administracyjnej kary pieniężnej na B., organ nadzorczy wskazał, że w zakresie uprawnień przysługujących Prezesowi UODO znajduje się nakładanie administracyjnych kar pieniężnych (art. 58 ust. 2 lit. i RODO), niemniej jednak organ nadzorczy zauważył, że nie podejmuje tego rodzaju działań na żądanie osoby składającej skargę, albowiem takie działanie stanowi zawsze suwerenną decyzję organu nadzorczego. Tymczasem, jak podniósł organ nadzorczy, w niniejszej sprawie nie dopatrzył się naruszenia, które dawałoby podstawę do nałożenia wspomnianej kary.

Ustosunkowując się z kolei do żądania skarżącego dotyczącego zasądzenia na jego rzecz odszkodowania do B., Prezes UODO podniósł, iż do kompetencji organu nadzorczego nie należy prawo zasądzania odszkodowań w związku ze szkodami majątkowymi i niemajątkowymi ponoszonymi w wyniku naruszenia zasad ochrony danych osobowych.

W tym miejscu, organ nadzorczy zauważył, że zgodnie z art. 82 ust. 6 RODO, postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2 [pic]rozporządzenia 2016/679. Organ nadzorczy stwierdził zatem, że osobą uprawnioną do dochodzenia odszkodowania i wystąpienia z powództwem do sądu jest skarżący, jako osoba dowodząca, iż doznała szkody majątkowej lub niemajątkowej wskutek naruszenia przepisów rozporządzenia 2016/679 przez administratora. Prezes UODO wskazał, że nie ma kompetencji do występowania o odszkodowanie z tytułu naruszenia ochrony danych osobowych w imieniu skarżącego.

W piśmie z dnia [...] października 2020 r. skarżący, działając za pośrednictwem organu nadzorczego, wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na w/w decyzję Prezesa UODO z dnia [...] września 2020 r.

Wnosząc o uwzględnienie jego skargi, skarżący wskazał w uzasadnieniu, że wniesiona przez niego skarga z dnia [...] września 2018 r. dotycząca nieprawidłowości w procesie przetwarzania jego danych osobowych przez A. odnosiła się tylko i wyłącznie do umowy zawartej w 2010 r. Skarżący uznał, że we wspomnianej skardze jasno przedstawił dowody, z których wynika, że A.wielokrotnie naruszał prawo w zakresie przetwarzania jego danych osobowych. Tymczasem, jak zauważył skarżący, wydana przez organ nadzorczy decyzja opierała się głównie na wskazaniach [...] dotyczących umowy z [...] z dnia [...] stycznia 2016 r. Według skarżącego, umowa z [...] nie powinna być w ogóle brana pod uwagę, albowiem nie jest przedmiotem sporu. Skarżący wskazał, że B. nie przedstawił korespondencji wysyłanej do skarżącej dotyczącej informacji handlowych, a twierdzi, że były to tylko informacje dotyczące usług, zmian w regulaminie, zmian strony logowania, czy też zmiany taryfy.

Skarżący zauważył ponadto, że organ nadzorczy nie poprosił również B. o nagrania rozmów telefonicznych, w ramach których dochodziło do nagminnego nękania skarżącego, przedstawiania mu usług sprzedażowych, namawiania go do korzystania z [...], a nie - jak twierdzi B. - że były to rozmowy mające jedynie na celu potwierdzenie danych osobowych. Skarżący wyraźnie oświadczył, że nikt nigdy nie dzwonił do niego z B. w celu potwierdzenia zgodności danych osobowych.

W odpowiedzi na skargę Prezes Urzędu Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując swoje dotychczasowe stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2021 r., poz. 137), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.

Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity Dz. U. z 2019 r., poz. 2325 ze zm. - dalej także: "P.p.s.a.").

Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.

Należy zauważyć, że zgodnie z zasadą pierwszeństwa, prawo Unii Europejskiej ma wartość nadrzędną nad prawem krajowym państw członkowskich Unii Europejskiej. Nie ulega wątpliwości, że zasada pierwszeństwa dotyczy wszystkich aktów wspólnotowych, które mają moc wiążącą. W konsekwencji, państwa członkowskie UE nie mogą więc stosować przepisu krajowego, który jest niezgodny z prawem Unii Europejskiej, albowiem zasada pierwszeństwa gwarantuje jednolitą ochronę prawną obywateli na całym terytorium Unii Europejskiej. Jednocześnie, należy wyraźnie podkreślić, że sądy krajowe, będące zarazem sądami unijnymi, muszą czuwać nad przestrzeganiem wspomnianej zasady pierwszeństwa, gdyż stanowi ona istotę funkcjonowania wspólnoty europejskiej w ramach jednego porządku prawnego ustalonego prawem traktatowym Unii Europejskiej.

Warto również zwrócić uwagę na zasadę bezpośredniego skutku prawa Unii Europejskiej, która umożliwia podmiotom indywidualnym powoływanie się bezpośrednio na prawo unijne przed sądami i to niezależnie od tego, czy w prawie krajowym istnieją podobne regulacje prawne. W ten sposób zasada bezpośredniego skutku gwarantuje stosowanie i skuteczność prawa unijnego w państwach członkowskich UE.

Zasada bezpośredniego skutku dotyczy nie tylko prawa pierwotnego zawartego w Traktatach UE, ale także aktów prawa wtórnego, a więc aktów przyjętych przez instytucje Unii Europejskiej na podstawie wspomnianego prawa traktatowego. W tym miejscu, należy jednak wyraźnie zauważyć, że zakres bezpośredniego skutku zależy od rodzaju danego aktu. W świetle zarówno przepisów traktatowych, jak i dotychczasowego orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej, pełny skutek bezpośredni mają przepisy rozporządzeń, które są bezpośrednio stosowane w państwach członkowskich UE.

W tej sytuacji, Wojewódzki Sąd Administracyjny w Warszawie, dokonując oceny legalności zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2020 r., zobowiązany był zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami prawnymi zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - zwane także: "RODO").

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga Z. R. nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2020r., nr [...] - nie narusza obowiązujących przepisów prawa.

Sąd uznał, że Prezes UODO, wydając sporną decyzję administracyjną z dnia [...] września 2020 r., nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w stopniu mającym istotny wpływ na końcowy wynik sprawy zakończonej wydaniem wspomnianej wyżej decyzji.

Przede wszystkim, przyjąć należy, iż odmawiając uwzględnienia wniosku zawartego w inicjującej postępowanie administracyjne skardze Z. R. z dnia [...] września 2018 r., Prezes UODO nie naruszył obowiązujących przepisów, albowiem - wbrew zarzutom strony skarżącej - prawidłowo przyjął, że w niniejszej sprawie A., jako administrator danych, nie naruszył przepisów RODO w zakresie przetwarzania danych osobowych skarżącego, przetwarzając je w celach marketingowych na podstawie wyrażonej przez skarżącego zgody, a więc działając zgodnie z przepisem art. 6 ust. 1 lit. a RODO.

Według Sądu, organ nadzorczy zasadnie uznał, że skarżący złożył jednoznaczne oświadczenie woli w zakresie dopuszczalności przetwarzania przez [...] jego danych osobowych w celach marketingowych w związku z umową z 2010 r.

Sąd stwierdził ponadto, że - wbrew zarzutom strony skarżącej - organ nadzorczy prawidłowo przyjął w zaskarżonej decyzji, iż skarżący nie wykazał w toku postępowania, że skutecznie zgłosił telefonicznie sprzeciw wobec przetwarzania jego danych osobowych w celach marketingowych ze wszystkich umów zawartych z A.jako administratorem danych.

Wojewódzki Sąd Administracyjny w Warszawie nie podzielił również zarzutu naruszenia przez administratora danych art. 12 ust. 2 RODO, albowiem uznał, że Prezes UODO prawidłowo przyjął w uzasadnieniu zaskarżonej decyzji, iż [...] stworzył odpowiednie mechanizmy, które umożliwiały stronie skarżącej wykonywanie praw przysługujących jej na mocy rozporządzenia 2016/679, w tym mechanizmu żądania dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu, w tym także drogą elektroniczną.

Mając powyższe na względzie, Sąd uznał, że w analizowanej sprawie brak było podstawy faktycznej i prawnej do skorzystania przez organ nadzorczy wobec A., jako administratora danych osobowych skarżącego, uprawnień naprawczych, o których mowa w art. 58 ust. 2 RODO, czy też nałożenia na ten podmiot wnioskowanej przez skarżącego administracyjnej kary pieniężnej na mocy art. 83 RODO.

Ponadto, w wyniku przeprowadzenia analizy stanowiska organu nadzorczego zaprezentowanego w uzasadnieniu zaskarżonej decyzji, Sąd stwierdził, że - wbrew zarzutom skargi - Prezes UODO, wydając w dniu [...] września 2020 r. sporne rozstrzygnięcie, nie dopuścił się - mogącego mieć zasadniczy wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., a także art. 107 § 3 k.p.a. w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, albowiem wyjaśnił wszystkie okoliczności istotne dla prawidłowego i pełnego rozstrzygnięcia sprawy, a także dokonał właściwej oceny zebranego w sprawie materiału dowodowego, przeprowadzając jednocześnie ową ocenę w kontekście właściwie zastosowanych przepisów prawa materialnego.

W działaniu Prezesa UODO, jako organu administracji publicznej wydającego sporną decyzję, Sąd nie dopatrzył się jakichkolwiek istotnych nieprawidłowości, zarówno, gdy idzie o ustalenie stanu faktycznego sprawy, jak i o zastosowanie do jego oceny przepisów prawa materialnego.

Ponadto, Sąd uznał, że w uzasadnieniu zaskarżonej decyzji Prezesa UODO z dnia [...] września 2020 r. wyjaśnione zostały w sposób dostatecznie jasny i przekonywujący motywy jej podjęcia, zaś przytoczona w tym zakresie argumentacja jest wyczerpująca i w pełni odnosząca się do stanowiska strony skarżącej podniesionego zarówno w skardze z dnia [...] września 2018 r., jak i na dalszym etapie postępowania wyjaśniającego.

W konsekwencji, zdaniem Sądu, stwierdzić należy, iż Prezes UODO, wydając zaskarżoną decyzję administracyjną - nie dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP.

Przechodząc do merytorycznej oceny legalności spornej decyzji z dnia [...] września 2020 r., należy na wstępie wyraźnie wskazać, że Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych (art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych) i jednocześnie organem nadzorczym, w rozumieniu rozporządzenia 2016/679 (art. 34 ust. 2 u.o.d.o.).

Jak stanowi art. 57 ust. 1 lit. a i lit. f RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia, a także rozpatruje skargi wniesione przez osobę, której dane dotyczą.

Nie ulega wątpliwości, że rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) stanowi kompleksową regulację dotyczącą ochrony danych osobowych, która nie wymaga implementacji ustawą krajową, aby mogła być stosowana w danym państwie.

Jednocześnie, państwom członkowskim Unii Europejskiej pozostawiono jednak pewien zakres swobody w zakresie regulacji na poziomie krajowym, aby niektóre zagadnienia doprecyzować (np. w przypadku organu nadzorczego, czy odpowiedzialności za naruszenie zasad ochrony danych osobowych), czy też dostosować zasady wprowadzone przez RODO do innych obowiązujących w danym porządku prawnym zasad.

Ze wskazanych wyżej przepisów art. 57 ust. 1 lit. a i lit. f RODO wynika m.in., iż procedura, w ramach której prowadzone są postępowania zainicjowane skargą wniesioną przez osobę, której dane dotyczą, określana jest przez poszczególne państwa członkowskie Unii Europejskiej. Pozostawienie w tym zakresie państwom członkowskim autonomii jest wyrazem realizacji zasady autonomii proceduralnej państw członkowskich. W tej sytuacji, skargi są wnoszone i rozpatrywane na podstawie przepisów proceduralnych obowiązujących w danym państwie członkowskim UE.

Art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych stanowi, że postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej "postępowaniem", jest prowadzone przez Prezesa Urzędu.

Nie ulega wątpliwości, że postępowanie w sprawie naruszenia przepisów o ochronie danych jest jednym z postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych. O takim jego charakterze rozstrzyga art. 7 ust. 1 ustawy o ochronie danych osobowych, który postępowanie z rozdziału 7 kwalifikuje jako administracyjne i przewiduje w sprawach w niej nieuregulowanych stosowanie do tego postępowania Kodeksu postępowania administracyjnego. Warto przy tym zauważyć, że ustawodawca w art. 7 ust. 1 cyt. ustawy nie przewiduje stosowania odpowiedniego, oznacza to zatem stosowanie przepisów ogólnej procedury administracyjnej wprost, z modyfikacjami wynikającymi z regulacji ustawy o ochronie danych osobowych.

Użyte w art. 60 u.o.d.o. określenie "naruszenie przepisów o ochronie danych osobowych" ma zakres szeroki i obejmuje naruszenia wszystkich przepisów o ochronie danych, zarówno zawartych w unijnym rozporządzeniu, jak i w przepisach krajowych, które uzupełniają lub modyfikują regulacje unijne.

Zgodnie z art. 7 ust. 1 u.o.d.o., w sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, o których mowa w rozdziale 4-7 i 11 (a więc również w rozdziale 7 dotyczącym postępowania w sprawie naruszenia przepisów o ochronie danych osobowych), stosuje się przepisy Kodeksu postępowania administracyjnego.

Zdaniem Sądu, nie ulega wątpliwości, że związanie rygorami procedury administracyjnej oznacza, iż Prezes UODO jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego Państwa (art. 8 § 1 k.p.a.). W tej sytuacji, organ nadzorczy, uwzględniając powyższą zasadę, zobowiązany jest przede wszystkim dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony skarżącej. Organ nadzorczy jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 § 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 k.p.a.

Jeżeli zatem określona osoba zgłasza Prezesowi Urzędu Ochrony Danych Osobowych nieprawidłowości w zakresie przetwarzania swoich danych osobowych, organ ten jest zobligowany do wszczęcia postępowania wyjaśniającego, którego zadaniem jest ustalenie, czy dane osobowe są w istocie przetwarzane, a jeżeli tak, to w jakim celu i czy proces ten następuje z poszanowaniem przepisów zarówno RODO, jak i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Taka sytuacja miała miejsce w rozpoznawanej sprawie. Otóż, Prezes Urzędu Ochrony Danych Osobowych, rozpatrując skargę Z. R. z dnia [...] września 2018 r., zobowiązany był dokonać oceny, czy w sprawie doszło w ogóle do przetwarzania danych osobowych skarżącego, a w konsekwencji, czy ewentualnie sporne przetwarzanie - o ile do niego rzeczywiście doszło - było zgodne z prawem, przy jednoczesnym uwzględnieniu okoliczności przetwarzania tych danych, jeśli miało ono miejsce, a także przy uwzględnieniu całokształtu zgromadzonego w sprawie materiału dowodowego oraz w kontekście odpowiednio zastosowanych przepisów prawa, w tym przede wszystkim przepisów RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Należy zauważyć, iż w świetle przepisu art. 4 pkt 2 RODO, przez "przetwarzanie" rozumie się operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

W tej sytuacji, mając na względzie powyższą definicję przetwarzania, Prezes Urzędu Ochrony Danych Osobowych, jako organ nadzorczy, zobowiązany był, analizując wniesioną w dniu [...] września 2018 r. skargę, przeprowadzić stosowne postępowanie wyjaśniające i na podstawie całokształtu zgromadzonego materiału dowodowego ustalić, czy powoływane przez skarżącego naruszenia praw wynikających z RODO zostały udowodnione.

Z uwagi na fakt, iż zarówno RODO, jak i ustawa o ochronie danych osobowych nie regulują kwestii postępowania dowodowego i powinności organu nadzorczego związanych z czynieniem ustaleń faktycznych, zastosowanie w tym zakresie znajdują reguły i zasady określone w Kodeksie postępowania administracyjnego.

Organ nadzorczy, rozstrzygając sprawę zainicjowaną wspomnianą skargą Z. R., zobowiązany był w tej sytuacji uwzględnić fakt, iż dowodami w postępowaniu mogą być w szczególności dokumenty, zeznania świadków, opinie biegłych oraz oględziny (art. 75 § 1 k.p.a.).

Celem postępowania administracyjnego jest rozstrzygnięcie sprawy administracyjnej dotyczącej konkretnie wskazanego adresata. Jednym ze stadiów postępowania jest stadium wyjaśniające, które pozwala ustalić dokładny stan faktyczny w danej sprawie. W wyniku postępowania wyjaśniającego organ administracji publicznej ma dojść do wskazanej w art. 7 k.p.a. prawdy obiektywnej, co czyni za pomocą środków dowodowych.

Warto przy tym zauważyć, że Kodeks postępowania administracyjnego nie wskazuje dowodów "mocniejszych" oraz "słabszych", przyjmując zasadę równej mocy środków dowodowych.

Kodeks postępowania administracyjnego nie określa również zamkniętego katalogu środków dowodowych, jakie mogą być stosowane w toku postępowania administracyjnego. Ustawodawca posłużył się jedynie przykładowym wyliczeniem, wskazując, że w szczególności mogą nimi być dokumenty, zeznania świadków, opinie biegłych oraz oględziny. Jako dowód może natomiast posłużyć wszystko, co jest zgodne z prawem i może przyczynić się do wyjaśnienia sprawy. Należy podkreślić, że chodzi tu o sprzeczność zarówno z prawem materialnym, jak i proceduralnym. Przyjęta w art. 75 § 1 k.p.a. koncepcja wskazuje, że wymienione przykładowo w tym przepisie dowody powinny zostać uznane za podstawowe i najczęściej stosowane w postępowaniu administracyjnym.

Warto jednocześnie zauważyć, że o ile postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, którego dotyczy rozdział 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, jest postępowaniem administracyjnym, do którego - na podstawie art. 7 ust. 1 u.o.d.o. - znajdują zastosowanie przepisy Kodeksu postępowania administracyjnego i w ramach którego to postępowania prowadzący je organ jest związany kodeksowymi standardami prowadzenia postępowania wyjaśniającego, o tyle Prezes UODO, jako organ nadzorczy, może ponadto skorzystać z możliwość posłużenia się w procesie gromadzenia dowodów takim instrumentem, jakim jest przeprowadzenie kontroli przestrzegania przepisów, o której mowa w art. 68 ust. 1 u.o.d.o.

Zgodnie z art. 68 ust. 1 u.o.d.o., jeżeli w toku postępowania zajdzie konieczność uzupełnienia dowodów, Prezes Urzędu może przeprowadzić postępowanie kontrolne.

Wspomniany przepis art. 68 ust. 1 u.o.d.o. pozwala organowi nadzorczemu dopuścić, jako dowód, materiały uzyskane w rezultacie przeprowadzonej kontroli. W ramach tego postępowania, kontrolujący ustala stan faktyczny na podstawie dowodów zabranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń (art. 87 u.o.d.o.). Kontrolujący może także przesłuchać w charakterze świadka pracownika kontrolowanego (art. 86 ust. 1 u.o.d.o.).

W tym miejscu, należy oczywiście wyraźnie zauważyć, że postępowanie kontrolne jest postępowaniem odrębnie uregulowanym w ustawie, nie mają do niego zastosowania przepisy Kodeksu postępowania administracyjnego, albowiem art. 7 ust. 1 u.o.d.o. nie wymienia postępowania uregulowanego w rozdziale 9 cyt. ustawy. Niemniej jednak, wskazać trzeba, że zebrany w toku kontroli materiał dowodowy będzie materiałem podlegającym ocenie w postępowaniu, dla potrzeb którego został zebrany, czyli postępowaniu o charakterze administracyjnym, do którego zastosowanie znajdują przepisy Kodeksu postępowania administracyjnego i zgodnie z kodeksowymi zasadami oceny materiału dowodowego (tak również: I. Bogucka /w:/ Ustawa o ochronie danych osobowych. Komentarz, pod red. D. Lubasza, WKP 2019, teza 4 komentarza do art. 68 u.o.d.o.).

Mając na względzie powyższe, należy uznać, że Prezes UODO, przeprowadzając sporne postępowanie wyjaśniające nie był zmuszony do wykorzystania wszelkich możliwych instrumentów prawnych, jakie dawała mu ustawa o ochronie danych osobowych, albowiem uzasadniając swoje stanowisko w decyzji z dnia 10 września 2020 r., w sposób przekonywujący przyjął na podstawie wystarczającego materiału dowodowego, że A. prawidłowo wywiązał się z obowiązków wynikających z RODO. Należy stwierdzić jednocześnie, że - wbrew zarzutom strony skarżącej - rozstrzygając w niniejszej sprawie organ nadzorczy nie oparł się wyłącznie na piśmie wyjaśniającym B., jako administratora danych, lecz wydał sporną decyzję w oparciu zarówno o dowody przesłane przez B., jak i samego skarżącego, co jednoznacznie wykazał w uzasadnieniu zaskarżonej decyzji.

Podstawowym zadaniem Sądu w niniejszej sprawie było zbadanie, w kontekście zarzutów strony skarżącej, czy organ nadzorczy zasadnie przyjął, że administrator danych należycie wypełnił wszelkie obowiązki, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w RODO.

Warto zauważyć w tym miejscu, iż prawodawca unijny, wymagając w art. 5 ust. 1 lit. a RODO, aby dane były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą, zawarł w tym przepisie dwie zasady, tj. zasadę rzetelności i legalności oraz zasadę przejrzystości, które mają ugruntowane miejsce w systemie ochrony danych osobowych od początku jego kształtowania się. Zasada rzetelności i legalności (zgodności z prawem) wymaga, by dane były przetwarzane rzetelnie, czyli uczciwie oraz zgodnie z prawem. Wymóg zapewnienia zgodności z prawem operacji przetwarzania danych oznacza nie tylko konieczność spełnienia przesłanek legalności przetwarzania danych, które zostały określone w art. 6 i art. 9 RODO, lecz także konieczność zapewnienia zgodności z pozostałymi przepisami o ochronie danych osobowych. Wymóg ten oznacza również konieczność zapewnienia zgodności z całokształtem przepisów regulujących działalność podmiotów przetwarzających dane osobowe (por. m.in. P. Drobek /w:/ RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa i D. Lubasza, WKP 2018, teza 6 komentarza do art. 5 RODO).

Zgodnie z art. 6 ust. 1 lit. a RODO, przetwarzanie jest zgodne z prawem, gdy osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.

Z materiału dowodowego zgromadzonego w analizowanej sprawie wynika, że A. zastosował mechanizm pozyskiwania zgody klienta na przetwarzanie danych osobowych dla celów marketingowych odrębnie dla każdej umowy, wskazując w każdej z nich określoną ścieżkę komunikacji i składania oświadczeń woli, w tym również dotyczących przetwarzania danych osobowych.

Z ustaleń organu nadzorczego wynika wyraźnie, że skarżący złożył jednoznaczne oświadczenie woli w zakresie dopuszczalności przetwarzania przez A. jego danych osobowych w celach marketingowych w związku z umową z 2010 r. Z treści przedmiotowej umowy wynika ponadto, że skarżący wyraził zgodę na przetwarzanie jego danych w celu zawierania i wykonywania umów (także w przyszłości) z B. Z materiału dowodowego wynika, że w związku z powyższą umową B. w okresie od listopada 2017 r. do października 2018 r. przetwarzał dane osobowe skarżącego dla celu komunikacji z nim, wyłącznie w celach przekazywania mu informacji dotyczących realizacji przedmiotowej umowy (np. informowania o zmianach w regulaminie produktów, w wysokości prowizji, czy też w regulaminie kanałów elektronicznych). Natomiast z ustaleń organu nadzorczego wynika, że B. nie kierował do skarżącego żadnym możliwym kanałem kampanii marketingowych.

Z kolei, jeśli chodzi o umowę z 2016 r., to z materiału dowodowego zgromadzonego w analizowanej sprawie wynika, że skarżący wyraził zgodę na przetwarzanie jego danych osobowych za pośrednictwem środków komunikacji elektronicznej i otrzymywanie informacji handlowych od B. Zgoda na otrzymywanie takich informacji wyrażona przez skarżącego obejmowała informacje związane z wykonywaniem umowy, jak również informacje dotyczące proponowania produktów B., a więc informacje o kampaniach marketingowych prowadzonych przez B.

Według Sądu, w materiale dowodowym zgromadzonym przez organ nadzorczy w toku postępowania wyjaśniającego brak jest dowodu potwierdzającego, aby skarżący skierował do A., jako administratora danych, ustalonym kanałem komunikacji, oświadczenie odwołujące wyrażoną w powyższy sposób zgodę na przetwarzanie danych osobowych w celach marketingowych w związku z umową z 2016 r.

Rozstrzygając niniejszą sprawę, Sąd wziął jednocześnie pod uwagę fakt, iż A., niezwłocznie po uzyskaniu z pisma Prezesa UODO z dnia [...] października 2018 r. informacji o wpłynięciu skargi inicjującej postępowanie przed organem nadzorczym i wezwania do złożenia wyjaśnień w sprawie, uwzględnił fakt, iż skarżący nie godzi się na przetwarzanie jego danych osobowych w odniesieniu do wszystkich umów łączących go z B. W konsekwencji, Sąd uznał, iż organ nadzorczy prawidłowo przyjął, że skoro obecnie B. nie przetwarza danych osobowych skarżącego w celach marketingowych w związku z żadną z zawartych z nim umów, to został osiągnięty oczekiwany przez stronę skarżącą cel postępowania. W tej sytuacji, nie ulega wątpliwości, że wedle stanu faktycznego obowiązującego na dzień wydania zaskarżonej decyzji z dnia [...] września 2020 r. organ nadzorczy nie miał podstaw do zastosowania wobec A. jako administratora danych, instrumentu prawnego służącego zapewnieniu zgodności procesu przetwarzania danych osobowych z przepisami obowiązującego prawa.

W związku z powyższym, Sąd uznał również, że brak było podstaw do nałożenia na [...] administracyjnej kary pieniężnej, na podstawie art. 58 ust. 2 lit. i RODO.

Mając na względzie wskazane ustalenia, stwierdzić należy, że z materiału dowodowego zgromadzonego w toku postępowania wyjaśniającego wynika, iż - wbrew zarzutom strony skarżącej - organ nadzorczy zasadnie uznał w uzasadnieniu zaskarżonej decyzji, iż zarzuty skarżącego skierowane wobec A. opierały się na przepisach RODO oraz przepisach prawa krajowego, które nie zostały w niniejszej sprawie naruszone, a więc tym samym nie mogły w żadnym razie stanowić podstawy do nałożenia przez organ nadzorczy jakichkolwiek obowiązków na administratora danych, które wskazano w skardze z dnia [...] września 2018 r.

W ocenie Sądu, należy uznać, że w rozpoznawanej sprawie Prezes Urzędu Ochrony Danych Osobowych przeprowadził postępowanie dowodowe w zakresie niezbędnym do jej rozstrzygnięcia.

Sąd stwierdził, iż ustalenia faktyczne, jakich dokonał organ nadzorczy, pozwoliły na wyprowadzenie wniosków końcowych, które uznać należy za prawidłowe i zgodne z obowiązującymi zasadami postępowania.

Według Sądu, przeciwne twierdzenia skarżącego nie zostały dostatecznie wykazane i poparte istotnymi dowodami oraz przepisami prawa zarówno w skardze inicjującej postępowanie, jak i na późniejszym etapie postępowania, a także w skardze złożonej do Sądu, a których to dowodów, czy też regulacji prawnych nie uwzględniłby lub nie omówił w swej decyzji organ nadzorczy.

Mając powyższe na uwadze, należy uznać, że wydając sporną decyzję administracyjną z dnia [...] września 2020 r., Prezes UODO nie dopuścił się w toku postępowania jakichkolwiek istotnych uchybień formalnych, które uniemożliwiłyby Sądowi dokonanie prawidłowej oceny zarzutów skargi i wypowiedzenie się co do legalności podjętego rozstrzygnięcia.

Zdaniem Sądu, nie ulega wątpliwości, że związanie rygorami procedury administracyjnej oznacza, iż organ nadzorczy jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego Państwa (art. 8 § 1 k.p.a.). W tej sytuacji, organ nadzorczy, uwzględniając powyższą zasadę, zobowiązany jest przede wszystkim dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony skarżącej. Organ nadzorczy jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 § 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 k.p.a.

Mając na uwadze powyższe, Sąd uznał, że organ nadzorczy nie uchybił wskazanym wyżej obowiązkom.

W ocenie Sądu, uzasadnienie zaskarżonej decyzji spełnia wymogi przewidziane przez ustawodawcę w przepisie art. 107 § 3 k.p.a., gdyż w jej treści organ nadzorczy wyraźnie wskazał, dlaczego - pomimo podniesionych przez stronę skarżącą argumentów i przedłożonych materiałów dowodowych - nie wykazano, aby doszło do niezgodnego z prawem przetwarzania danych osobowych i jednoczesnego zignorowania obowiązków informacyjnych, a w konsekwencji, by administrator danych dopuścił się istotnego naruszenia przepisów o ochronie danych osobowych.

W konsekwencji, w ocenie Sądu, wbrew twierdzeniom strony skarżącej, prawidłowe ustalenia faktyczne poczynione w toku postępowania wyjaśniającego przez Prezesa UODO dały temu organowi pełną podstawę do wydania zaskarżonej decyzji z dnia [...] września 2020 r. odmawiającej uwzględnienia wniosku strony skarżącej zawartego w jej skardze z dnia [...] września 2018 r.

Biorąc powyższe pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie - działając na podstawie art. 151 P.p.s.a. - orzekł, jak w sentencji wyroku.[pic]