Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Małgorzata Jaśkowska (spr.) Sędziowie: Sędzia NSA Monika Nowicka Sędzia del. WSA Rafał Wolnik Protokolant: specjalista Edyta Pacewicz po rozpoznaniu w dniu 24 stycznia 2018 r., na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej S.A. z siedzibą w Warszawie od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9 października 2015 r. sygn. akt II SA/Wa 40/15 w sprawie ze skargi S.A. z siedzibą w Warszawie na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 5 listopada 2014 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną, 2. zasądza od S.A. z siedzibą w Warszawie na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 240 (dwieście czterdzieści) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wyrokiem z dnia 9 października 2015 r., sygn. akt II SA/Wa 40/15 Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę S.A. z siedzibą w Warszawie na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 5 listopada 2014 r., nr [...] wydaną w przedmiocie przetwarzania danych osobowych. Wyrok ten zapadł na tle następującego stanu faktycznego i prawnego sprawy.

W dniu 12 kwietnia 2013 r. M. P. złożył do S.A. reklamację dotyczącą przetwarzania jego S.A. jako sprzeciw wobec przetwarzania tych danych.

Po dacie złożenia reklamacji, strona otrzymała za pośrednictwem internetowego serwisu transakcyjnego kierowane na swoje imię i nazwisko wiadomości zatytułowane "zamów kartę kredytową "C". i wstąp do świata korzyści" oraz "dzięki karcie kredytowej lub debetowej teraz produkty "S." w atrakcyjnych cenach".

W dniu 5 czerwca 2014 r. wpłynął do Generalnego Inspektora Ochrony Danych Osobowych (powoływanego dalej również jako GIODO) wniosek M. P. dotyczący zaprzestania przetwarzania jego danych osobowych w celach marketingowych poprzez kierowanie do niego informacji handlowych w internetowym serwisie transakcyjnym.

Decyzją z dnia 4 września 2014 r., [...] Generalny Inspektor Ochrony Danych Osobowych nakazał S.A. przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych M. P. poprzez zaprzestanie przetwarzania jego danych osobowych w celu marketingu produktów lub usług własnych oraz innych produktów poprzez kierowanie do niego informacji handlowych w internetowym serwisie transakcyjnym. W ocenie organu, kwestionowane przez M. P. wiadomości miały charakter marketingowy. S.A. przesłał je do wnioskodawcy i w konsekwencji przetwarzał jego dane osobowe w celach marketingowych pomimo wniesienia w dniu 12 kwietnia 2013 r. skutecznego sprzeciwu w tym zakresie. Stosownie zaś do art. 32 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (aktualnie tekst jedn. Dz. U. z 2016 r. poz. 922 – powoływanej dalej jako ustawa o ochronie danych osobowych) po otrzymaniu sprzeciwu wnioskodawcy S.A. powinien niezwłocznie zaprzestać przetwarzania jego danych w celach marketingowych niezależnie od formy i technicznego sposobu reklamy.

Decyzją z dnia 5 listopada 2014 r., nr [...] wydaną na skutek wniosku S.A. z dnia [...] o ponowne rozpatrzenie sprawy Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy swoją wcześniejszą decyzję z dnia [...] nakazującą S.A. zaprzestanie przetwarzania danych osobowych M. P. w celach marketingowych, poprzez kierowanie do niego informacji handlowych w internetowym serwisie transakcyjnym. W uzasadnieniu wskazywano m.in., że po dacie złożenia reklamacji, t.j. po dniu 12 kwietnia 2013 r. wnioskodawca za pośrednictwem internetowego serwisu transakcyjnego otrzymał skierowane na jego imię i nazwisko wiadomości. Organ wyjaśnił dodatkowo, jakie zachowanie należy traktować jako reklamę i uznał, że wiadomości przesyłane do M. P. miały tego rodzaju charakter.

Od powyższej decyzji S.A. wywiódł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie wnosząc o jej uchylenie. Kwestionowanej decyzji zarzucono naruszenie art. 7 pkt 2 ustawy o ochronie danych osobowych przez błędne rozumienie pojęcia przetwarzania danych oraz naruszenie art. 7, art. 77 § 1 i art. 107 § 3 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (aktualnie t.j. Dz. U. z 2017 r., poz. 1257 – powoływanej dalej jako k.p.a.) przez niepoprawne ustalenie stanu faktycznego. W uzasadnieniu skargi S.A. negował fakt przesyłania do strony informacji reklamowych. Wskazywał, że użytkownik, po zalogowaniu się do systemu, samodzielnie otwiera poszczególne zakładki, nawet dotyczące produktów, których nie posiada. Skarżący nie inicjuje jednak żadnych akcji wobec strony po jej zalogowaniu się do systemu. S.A. wyjaśnił dodatkowo, że w sprawie występuje jedynie pozorne powiązanie na ekranie danych personalnych strony z wyświetlanym komunikatem. Otwierając bowiem zakładki z produktami, z których nie korzysta, strona otrzymuje wiadomości takie same, jak każdy inny użytkownik.

W odpowiedzi na skargę GIODO wniósł o jej oddalenie wskazując, że ustalenia przedstawione w zaskarżonej decyzji odpowiadają stanowi faktycznemu.

Oddalając skargę wyrokiem z dnia 9 października 2015 r. Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że istota rozpatrywanej sprawy sprowadza się do oceny tego, czy prawidłowe są ustalenia organu odnoszące się do przetwarzania przez S.A. danych osobowych klienta w celach marketingowych. Sąd I instancji przywołał unormowanie przewidziane na gruncie art. 7 pkt 2 ustawy o ochronie danych osobowych, zgodnie z którym przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Dodano przy tym, że w ustawie o ochronie danych osobowych posłużono się bardzo szeroką definicją "przetwarzania danych", nie określając w sposób szczegółowy zamkniętego katalogu czynności podejmowanych w odniesieniu do danych osobowych. Każda, zatem operacja na danych osobowych będzie stanowiła ich przetwarzanie.

W ocenie Sądu I instancji, każde połączenie skonkretyzowanych danych osobowych z jakimkolwiek działaniem administratora danych, skierowanym do tych danych, będzie stanowiło ich przetwarzanie. Dodano, że istotne znaczenie ma przy tym fakt, że przetwarzanie danych może mieć charakter uprawniony lub nieuprawniony. Sąd zwrócił uwagę na charakter instytucji sprzeciwu obywatela w sprawie przetwarzania jego danych osobowych przez określony podmiot, wskazując, że w sytuacji, gdy do wiadomości administratora danych osobowych dojdzie stanowcze stanowisko danej osoby, cofające zgodę na wykonywanie określonych operacji na jej danych osobowych, administrator powinien takich operacji zaprzestać. Osoba składająca powyższe oświadczenie ma bowiem prawo oczekiwać, że w związku ze złożonym zastrzeżeniem nie będzie już adresatem określonych działań dotyczących jej danych osobowych. Brak reakcji administratora danych osobowych na cofnięcie zgody na przetwarzanie danych osobowych uzasadniał zaś skierowanie stosownej skargi do Generalnego Inspektora Ochrony Danych Osobowych oraz wydanie decyzji administracyjnej w celu zapewnienia respektowania uprawnień obywatela do ochrony jego danych osobowych.

Sąd I instancji wskazywał, że okolicznością niesporną w sprawie jest, że do wiadomości S.A. przedstawiono oświadczenie woli jego klienta o niewyrażeniu zgody na kierowanie do niego ofert reklamowych. Sam S.A. przyznał, że tak zakwalifikował "reklamację" klienta złożoną w dniu 12 kwietnia 2013 r. Poza sporem jest również to, że strona po zalogowaniu się do internetowego serwisu S.A. miała możliwość odbioru reklam emitowanych przez S.A. m.in. dotyczących oferty związanej z kartami kredytowymi. S.A. nie kwestionował bowiem prawdziwości dowodu załączonego przez uczestnika postępowania w postaci wydruku ze strony informacyjnej serwisu internetowego S.A..

W ocenie Sądu I instancji, okolicznością pozostającą bez wpływu na wynik sprawy jest podnoszony przez S.A. fakt, że klient S.A,, po zalogowaniu się do serwisu internetowego, korzystał z zakładek dotyczących produktów, których nie posiadał. Klient S.A,., logując się do serwisu informacyjnego przy użyciu unikalnego loginu i tylko jemu znanego hasła, ma bowiem prawo oczekiwać, iż wszystkie informacje, do których otrzyma dostęp, będą spersonalizowane. Klient może więc zakładać, że informacje, z jakimi się zapozna po zalogowaniu, będą kierowane tylko i wyłącznie do niego i że będą one uwzględniały jego osobiste preferencje w tym m.in. dotyczące braku zgody na kierowanie do niego reklam. Zdaniem Sądu, należy bowiem odróżnić sytuację, gdy klient odwiedza ogólnodostępną stronę internetową danego S.A., na której może znaleźć informacje dotyczące wszystkich ofert S.A. i na której może spotkać się z "zachętami" ze strony S.A. do skorzystania z określonych produktów od sytuacji, gdy klient S.A., po użyciu swojego indywidualnego loginu i hasła, loguje się do internetowego serwisu S.A.. Po takim zalogowaniu powinien mieć bowiem dostęp do spersonalizowanych informacji, tj. takich, które m.in. będą uwzględniały jego sprzeciw wobec emisji do niego reklam. Jeśli bowiem po zalogowaniu do serwisu, klient ma możliwość zapoznania się z reklamą S.A., to świadczy to o tym, że S.A. dokonuje operacji na jego danych osobowych w celach marketingowych. W takiej sytuacji dochodzi zatem do bezprawnego - wobec złożonego sprzeciwu klienta - przetwarzania jego danych osobowych.

W skardze kasacyjnej z dnia 14 grudnia 2015 r., działając na podstawie art. 173 § 1, art. 174 pkt 1 i 2 oraz art. 177 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2017 r. poz. 1369 ze zm. - powoływanej dalej jako p.p.s.a.) zaskarżonemu wyrokowi zarzucono naruszenie przepisów prawa materialnego poprzez:

1. niewłaściwe zastosowanie art. 7 ustawy o ochronie danych osobowych polegające na uznaniu, że skarżący przetwarzał dane uczestnika w systemie bankowości internetowej z naruszeniem przepisów tej ustawy oraz z naruszeniem wyrażonego przez niego sprzeciwu,

2. niezastosowanie art. 12 i art. 12a ustawy o ochronie danych osobowych, poprzez nieustalenie czy decyzja weryfikowana przez Sąd I instancji jest ważna.

W skardze kasacyjnej zaskarżonemu wyrokowi zarzucono także naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, poprzez naruszenie art. 135, art. 145 § 1 ust. 1 lit. "a" p.p.s.a. w związku z art. 268a k.p.a. i w związku z art. 12a ustawy o ochronie danych osobowych, poprzez nieusunięcie z obrotu prawnego nieważnej decyzji administracyjnej.

Z uwagi na powyższe wniesiono o:

1. uchylenie w całości zaskarżonego wyroku i rozpoznanie sprawy, ewentualnie o:

2. uchylenie w całości zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania,

3. oraz o zasądzenie na rzecz skarżącego kosztów postępowania zgodnie z obowiązującymi przepisami.

W uzasadnieniu skargi kasacyjnej przywołano w pierwszej kolejności stan faktyczny sprawy oraz motywy zaskarżonego wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9 października 2015 r. Uzasadniając zarzuty naruszenia prawa materialnego podnoszono, że Sąd I instancji niewłaściwie zastosował art. 7 ustawy o ochronie danych osobowych w odniesieniu do pojęcia "przetwarzania danych". Podzielono przy tym stanowisko, zgodnie z którym "przetwarzaniem danych" jest każda operacja na danych osobowych, jednak w niniejszej sprawie pojęcie to zostało źle zastosowane. S.A. wyjaśniał bowiem, że przetwarza dane klienta (wykonuje na nich operacje) w systemie bankowości internetowej po to, by przedstawić klientowi informacje o posiadanych przez niego usługach i produktach. Klient po zalogowaniu do systemu widzi dane o swoich produktach, nie widzi żadnych reklam ani innych informacji handlowych. Klient wybierając "zakładki" dotyczące posiadanych przez niego produktów i usług otrzymuje spersonalizowane informacje – S.A. w tym zakresie przetwarza jego dane osobowe i łączy je z danymi w księdze głównej S.A. (głównym systemie informatycznym) oraz innymi systemami by zaprezentować klientowi informacje o jego produktach.

Dodano, że w tym przypadku faktycznie następuje przetwarzanie danych w rozumieniu ustawy o ochronie danych osobowych. W sytuacji, gdy klient otwiera "zakładki" dotyczące produktów, których nie posiada, nie następuje żadna operacja na jego danych. S.A, nie łączy danych klienta z żadnymi innymi danymi. Nie następuje zatem przetwarzanie danych w rozumieniu przepisów ustawy o ochronie danych osobowych, ponieważ nie następuje operacja na danych.

W dalszej kolejności wskazano, że stwierdzenie Sądu I instancji, zgodnie z którym "Klient S.A., logując się do serwisu informacyjnego przy użyciu unikalnego loginu i tylko jemu znanego hasła, ma prawo oczekiwać, iż wszystkie informacje, do których otrzyma dostęp będą spersonalizowane" nie znajduje oparcia w żadnym przepisie prawa powszechnie obowiązującego. Podkreślano, że system bankowości elektronicznej to wirtualny oddział S.A.. Tak jak w oddziale realnym S.A. wywiesza niespersonalizowane reklamy, tak też w oddziale wirtualnym bank może takie reklamy zamieścić. W oddziale realnym klient, który wyraził sprzeciw co do przetwarzania jego danych w celach marketingowych widzi reklamy, ulotki i ma możliwość, choć nie obowiązek, zapoznania się z nimi. Jednak nikt nie żąda od S.A. usuwania reklam, gdy do oddziału wchodzi klient, który wyraził sprzeciw. Podobnie w oddziale wirtualnym - klient widział jedynie reklamy niespersonalizowane, w częściach systemu, tak zwanych "zakładkach", dotyczących produktów, których nie posiadał.

W uzasadnieniu skargi kasacyjnej dodatkowo wskazywano, że S.A. nie przysłał klientowi żadnych reklam - ani spersonalizowanych ani niespersonalizowanych. Do przesyłania informacji S.A. wykorzystuje funkcję "Wiadomości", oznaczoną ikoną koperty - klient w skardze do GIODO nie wskazywał na otrzymywanie tą drogą reklam. Warto zauważyć, że w wyroku WSA nie posługuje się wyrazem: "przesyłanie" - zdaniem Skarżącego oznacza to, że WSA ustalił stan faktyczny inaczej niż organ administracji - co jednak nie znajduje wyrazu w uzasadnieniu wyroku. Poza tym argumentowano, że klient sam, bez inicjatywy S.A. otwierał "zakładki" dotyczące nieposiadanych produktów. S.A. go do tego nie zachęcał, ani mu tego nie sugerował. W części systemu związanego z wykonywaniem czynności bankowych, o które z klientem zawarto umowy, nie było żadnych informacji czy zachęt do otwarcia pozostałych zakładek. Zachowanie klienta w postaci otwierania zakładek, dotyczących produktów, których nie posiadał, porównać należy do sięgania po ulotki produktów, których klient nie ma.

W związku z tym podkreślono, że S.A. nie wykonywał w tym zakresie żadnych operacji na danych klienta. Aby stwierdzić, że takie operacje były wykonywane a zatem by stwierdzić, iż S.A. nie honorował sprzeciwu klienta, co uzasadniałoby decyzję GIODO a następie stwierdzenie przez WSA, iż decyzja ta odpowiada prawu, klient i GIODO musieliby wykazać, że S.A. wykonuje operacje na danych. W toku postępowania administracyjnego ani sądowego takie wykazanie nie nastąpiło.

Poza powyższym zaskarżonemu wyrokowi zarzucono naruszenie art. 12 i art. 12a ustawy o ochronie danych osobowych. W świetle tych unormowań do kompetencji Generalnego Inspektora Ochrony Danych Osobowych należy wydawanie decyzji w zakresie ochrony danych osobowych (art. 12 pkt 2). Zgodnie zaś z art. 12a ust. 1 ustawy na wniosek Generalnego Inspektora Marszałek Sejmu może powołać jego zastępcę. Zgodnie z art. 12a ust. 2 ustawy o ochronie danych osobowych Generalny Inspektor określa zakres zadań swojego Zastępcy. Decyzja organu z dnia [...] została wydana przez A. L., z upoważnienia Zastępcy Generalnego Inspektora (podpis nieczytelny). W aktach sprawy nie znajdują się ani zakres zadań Zastępcy GIODO ani upoważnienie dla A. L. do działania w imieniu GIODO (upoważnienie, o którym mowa w art. 286a kodeksu postępowania administracyjnego).

Z uwagi na powyższe wskazywano, że powstaje uzasadniona i poważna wątpliwość, czy decyzja z dnia [...] jest ważna, czy mogła zostać utrzymana w mocy decyzją z dnia [...], ponieważ nie wykazano, że osoba wydająca decyzję z dnia [...], była do tego umocowana.

Dodatkowo wskazano, że na dzień wydawania decyzji ani na dzień wyrokowania przez Sąd I instancji, ani na dzień sporządzania niniejszej skargi kasacyjnej, w Biuletynie Informacji Publicznej nie znajdował się dokument określający zakres zadań Zastępcy Generalnego Inspektora. Nie można zatem uznać, że jest to fakt powszechnie znany. Powyższe zaś oznacza naruszenie przez Sąd I instancji przepisów prawa procesowego. Argumentowano, że Wojewódzki Sąd Administracyjny w Warszawie nie zbadał ważności decyzji administracyjnej, poprzez niezweryfikowanie czy została ona wydana przez osobę umocowaną, czym naruszył art. 135 w związku z art. 145 ust. 1 pkt 1) lit. a) p.p.s.a. w związku z art. 12a ustawy o ochronie danych osobowych i art. 268a Kodeksu postępowania administracyjnego.

Podkreślano przy tym, że naruszenie to ma zasadniczy wpływ na toczące się postępowanie. Jeśli decyzja jest nieważna, to nie można uznać, że odpowiada ona prawu (nie narusza prawa), a zatem skarga S.A. skierowana do Sądu I instancji powinna być rozpoznana w inny sposób niż przez jej oddalenie. Wskazywano przy tym, że Wojewódzki Sąd Administracyjny w Warszawie z urzędu zobowiązany jest zbadać ważność decyzji administracyjnej, a jeśli decyzja z dnia [...] jest nieważna to i decyzja z dnia [...] nie może zostać uznana za ważną.

W odpowiedzi na skargę kasacyjną z dnia 30 grudnia 2015 r. Generalny Inspektor Ochrony Danych Osobowych wniósł o oddalenie skargi kasacyjnej wskazując, że zgromadzony w sprawie materiał dowodowy, a więc wydruki ze strony internetowej S.A. wykonane przez uczestnika postępowania po jego zalogowaniu się na konto wskazują wyraźnie, że S.A. przesyła do niego reklamy i inne informacje o charakterze marketingowym. Nie można się zatem zgodzić się z twierdzeniem pełnomocnika S.A., że on sam przeszukuje serwis i odnajduje w nim reklamy, które są przeznaczone do wszystkich użytkowników, ponieważ po zalogowaniu się na własne konto, żaden inny użytkownik poza uczestnikiem postępowania nie widzi wskazanych tam informacji o charakterze marketingowym. Ponadto złożył on sprzeciw wobec przetwarzania jego danych osobowych w celach marketingowych przez S.A.. Wobec tego, przesyłanie po tej dacie informacji handlowych przez S.A., zdaniem Generalnego Inspektora Ochrony Danych Osobowych, jest niedopuszczalne.

Zdaniem organu, przesyłane klientowi przez S.A. wiadomości nie dotyczyły wykonywania umów wiążących go z S.A., a stanowiły informacje o całkiem nowych produktach, zarówno własnych, jak i innego podmiotu. Wskazywano, że sformułowania, którymi posłużył się S.A. w wiadomościach przesłanych klientowi, należy uznać za sugestywne, zrozumiałe, zwięzłe, łatwe do zapamiętania, jak również odwołujące się do interesów ekonomicznych odbiorcy, przez co swoją charakterystyką odpowiadające tekstom reklamowym. Podkreślano również, że reklama ma nie tyle informować, co przekonywać do podjęcia określonych działań. Zadaniem reklamy jest oddziaływanie na emocje odbiorcy, a informację przekazywaną przez S.A. uczestnikowi postępowania nie sposób uznać za neutralną, ponieważ przez posłużenie się sformułowaniami "Zamów kartę kredytową C. i wstąp do świata korzyści" oraz "Dzięki karcie kredytowej lub debetowej teraz produkty S. w atrakcyjnych cenach" S.A. w sposób jednoznaczny nawoływał do podjęcia aktywności przez klienta. Celem przesłanych przez S.A. wiadomości o wspomnianej treści było zatem zaprezentowanie klientowi określonych produktów, podkreślenie ich atrakcyjności i nakłonienie go do działania polegającego na skorzystaniu z oferty prezentowanej przez S.A.

Wraz z pismem uzupełniającym odpowiedź na skargę kasacyjną z dnia 15 marca 2016 r. organ przesłał upoważnienie udzielone przez Generalnego Inspektora Ochrony Danych Osobowych w dniu 6 grudnia 2006 r. swojemu zastępcy A. L. Upoważnienie to obejmuje m.in. wydawanie decyzji administracyjnych w imieniu GIODO.

Naczelny Sąd Administracyjny zważył, co następuje.

Skarga kasacyjna nie zawiera usprawiedliwionej podstawy.

Na wstępie należy wskazać, że w postępowaniu kasacyjnym obowiązuje wynikająca z art. 183 § 1 p.p.s.a. zasada związania Naczelnego Sądu Administracyjnego podstawami i granicami zaskarżenia, wskazanymi w skardze kasacyjnej. Przytoczone w tym środku prawnym przyczyny wadliwości kwestionowanego orzeczenia determinują zatem zakres kontroli dokonywanej w ramach nadzoru judykacyjnego. Do podjęcia działań z urzędu Naczelny Sąd Administracyjny uprawniony i zobowiązany jest jedynie w sytuacjach określonych w art. 183 § 2 p.p.s.a., które w tej sprawie nie występują.

W skardze kasacyjnej zaskarżonemu orzeczeniu zarzucono naruszenie zarówno przepisów prawa procesowego, jak i materialnego. W takiej sytuacji w pierwszej kolejności Naczelny Sąd Administracyjny poddaje stosownej analizie zasadność podnoszonych zarzutów naruszenia przepisów postępowania. Co do zasady bowiem weryfikacja prawidłowości wykładni lub zastosowania przepisów prawa materialnego jest możliwa jedynie w przypadku stwierdzenia braku uchybień natury procesowej, mogących mieć istotny wpływ na wynik sprawy. W warunkach niniejszej sprawy zarzut naruszenia prawa procesowego, tj. art. 135, art. 145 § 1 ust. 1 pkt 1 lit. "a" p.p.s.a. w związku z art. 268a k.p.a. oraz w związku z art. 12a ustawy o ochronie danych osobowych łączy się jednak z podniesionym w ramach uchybień prawa materialnego zarzutem dotyczącym art. 12 i art. 12a ustawy o ochronie danych osobowych w sposób uzasadniający łączne merytoryczne ich rozpoznanie. Oba te zarzuty nakierowano bowiem w istocie na kwestionowanie stosownego upoważnienia Zastępcy GIODO do wydania decyzji z dnia 4 września 2014 r.

Odnosząc się zatem w pierwszej kolejności do zarzutu naruszenia przez Sąd I instancji przepisów art. 135, art. 145 § 1 ust. 1 pkt 1 lit. "a" p.p.s.a. w związku z art. 268a k.p.a. oraz art. 12a ustawy o ochronie danych osobowych poprzez nieusunięcie z obrotu prawnego nieważnej decyzji administracyjnej, jako podpisanej przez nieupoważnioną do tego osobę, Naczelny Sąd Administracyjny wskazuje, że decyzja z dnia [...] wydana w niniejszej sprawie w I instancji została podpisana z upoważnienia organu przez zastępcę Generalnego Inspektora Ochrony Danych Osobowych A. L. Dział on na podstawie upoważnienia udzielonego w dniu 6 grudnia 2006 r. przez ówczesnego Generalnego Inspektora M. S. (karta nr 95 akt sądowych). Obejmowało ono m.in. upoważnienie do wydawania w imieniu organu decyzji administracyjnych. Co prawda w dniu [...] Generalnym Inspektorem był W, którego kadencja rozpoczęła się w dniu 4 sierpnia 2010 r., a zakończyła w dniu 18 grudnia 2014 r. (po wyrażeniu przez Senat RP zgody na odwołanie go przez Sejm RP uchwałą z dnia 3 grudnia 2014 r.), niemniej jednak nie można uznać za usprawiedliwione twierdzenia wnoszącego skargę kasacyjną, że w dacie wydania decyzji administracyjnej osoba ją podpisująca w imieniu GIODO nie miała do tego stosownego upoważnienia. W doktrynie prawa administracyjnego, jak i orzecznictwie sądowoadministracyjnym przyjmuje się bowiem organizacyjno - przedmiotową, a nie podmiotową (personalną) koncepcję organów administracji publicznej. Od organu jako wyodrębnionej części aparatu państwowego (jednostki organizacyjnej), powołanej do wykonywania określonych przez prawo kompetencji publicznoprawnych, wynikających z przysługującej państwu zwierzchniej władzy (imperium), należy odróżnić konkretną osobę wykonującą kompetencje organu, będącą piastunem określonego stanowiska, urzędu lub funkcji publicznej. Należy przy tym podkreślić, że w imieniu Państwa jako takiego działają jego organy, a nie osoby fizyczne stanowiące jedynie obsadę personalną określonych urzędów publicznych. W związku z tym Naczelny Sąd Administracyjny wskazuje, że upoważnienia udzielone przez GIODO jego Zastępcy bądź podległym mu urzędnikom są bezterminowe i nie tracą mocy prawnej z chwilą zakończenia piastowania stanowiska przez określoną osobę. Innymi słowy, pełnomocnictwo czy też upoważnienie, takie jak to z dnia 6 grudnia 2006 r., udzielone przez organ administracji publicznej, jest ważne do chwili jego odwołania przez ten organ, działający poprzez tę samą osobę bądź też przez jej następcę. Sama zmiana na stanowisku piastuna organu administracji nie wywołuje bowiem automatycznie skutku w postaci wygaszenia wszystkich udzielonych przez niego pełnomocnictw dla pracowników (por. wyrok NSA z dnia 9 maja 2008 r., sygn. akt II OSK 531/07, www.orzeczenia.nsa.gov.pl). W tym świetle niezasadny jest zarzut naruszenia przez Sąd I instancji w zaskarżonym wyroku przepisów prawa procesowego, a więc art. 135 i art. 145 ust. 1 pkt 1 lit. "a" p.p.s.a. w związku z art. 12a ustawy o ochronie danych osobowych i art. 268a Kodeksu postępowania administracyjnego poprzez nieusunięcie przez Sąd I instancji z obrotu prawnego nieważnej decyzji administracyjnej.

Z tej samej przyczyny nie może zostać uwzględniony, podniesiony w ramach uchybień prawa materialnego, zarzut naruszenia art. 12 i art. 12a ustawy o ochronie danych osobowych. W uzasadnieniu skargi kasacyjnej wskazywano, że decyzja z dnia 4 września 2014 r. została wydana przez A. L., z upoważnienia Zastępcy Generalnego Inspektora (podpis nieczytelny), a w aktach sprawy nie znajduje się ani zakres zadań Zastępcy GIODO ani jego upoważnienie do działania w imieniu organu. Tymczasem Naczelny Sąd Administracyjny podkreśla, że decyzja z dnia 4 września 2014 r. została podpisana z upoważnienia GIODO przez jego Zastępcę A. L. Jak wspomniano, był on do tego stosownie umocowany w upoważnieniu z dnia 6 grudnia 2006 r., w którym wyraźnie wskazano m.in. na wykonywanie zadań polegających na wydawaniu decyzji administracyjnych.

Przechodząc kolejno do oceny zarzutu naruszenia przez Sąd I instancji prawa materialnego, polegającego na niewłaściwym zastosowaniu art. 7 ustawy o ochronie danych osobowych poprzez uznanie, że wnoszący skargę kasacyjną przetwarzał dane uczestnika w systemie bankowości internetowej z naruszeniem przepisów tej ustawy oraz z naruszeniem wyrażonego przez niego sprzeciwu, Naczelny Sąd Administracyjny przede wszystkim wskazuje, że zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych. Zalicza się do nich m.in. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych. Każde zatem działania podejmowane przez administratora, dotyczące konkretnych danych osobowych, stanowią ich przetwarzanie. Może mieć ono przy tym charakter uprawniony lub nieuprawniony. W rozpatrywanej sprawie zainteresowany skorzystał z uprawnienia, o którym mowa w art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych. Zgodnie z tym unormowaniem każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. W myśl art. 32 ust. 3 ustawy o ochronie danych osobowych, w razie wniesienia sprzeciwu dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Korzystając ze wspomnianego uprawnienia zainteresowany złożył w dniu 12 kwietnia 2013 r. do S.A. reklamację dotyczącą przetwarzania jego danych osobowych w celach marketingowych, która została zresztą potraktowana przez S.A. jako wspomniany sprzeciw dotyczący przetwarzania danych osobowych. Pomimo tego, po dacie złożenia reklamacji, zainteresowany otrzymywał za pośrednictwem internetowego serwisu transakcyjnego kierowane na jego imię i nazwisko wiadomości zatytułowane "zamów kartę kredytową "C." i wstąp do świata korzyści" oraz "dzięki karcie kredytowej lub debetowej teraz produkty "S." w atrakcyjnych cenach". Te niekwestionowane w toku całego postępowania zarówno administracyjnego, jak i przed sądem administracyjnym pierwszej instancji okoliczności zostały potraktowane przez GIODO jako uzasadniające nakazanie S.A. i przywrócenie stanu zgodnego z prawem poprzez zaprzestanie przetwarzania danych osobowych zainteresowanego w celach marketingowych produktów lub usług własnych oraz innych podmiotów poprzez kierowanie do niego informacji handlowych w internetowym serwisie transakcyjnym. Spór prawny powstały na gruncie rozpatrywanej sprawy dotyczy jednak tego, czy materiały, które pojawiły się na osobistym koncie internetowym zainteresowanego, stanowią informację marketingową i czy tym samym naruszono zakaz przetwarzania jego danych, czy też to on sam przeszukuje serwis internetowy i odnajduje w nim oferty przeznaczone dla wszystkich użytkowników serwisu, tak jak ma to miejsce w przypadku zapoznawania się z ofertą handlową banku podczas wizyty w jego oddziale.

W ocenie Naczelnego Sądu Administracyjnego prawidłowe jest stanowisko zawarte w decyzjach obu instancji, jak i zaakceptowane w zaskarżonym wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie. Przede wszystkim należy wskazać, że po zalogowaniu się przez zainteresowanego na jego osobiste konto internetowe żaden inny użytkownik poza nim nie widzi udostępnionych przez S.A. informacji. Udostępnione poprzez wcześniejsze przesłanie na osobiste konto internetowe zainteresowanego treści handlowe nie wynikają z wykonywania przez S.A. umów wiążących go z klientem, a stanowią informację o nowych produktach handlowych zarówno własnych (karta kredytowa "C"), jak i innego podmiotu gospodarczego (produkty "S" w atrakcyjnych cenach). Naczelny Sąd Administracyjny nie ma wątpliwości, że udostępnione zainteresowanemu treści odpowiadają klasycznemu rozumieniu pojęcia treści reklamowych (marketingowych). Są one proste, zwięzłe, sugestywne i odwołują się do interesów ekonomicznych odbiorcy. Ich celem jest niewątpliwie zaprezentowanie zainteresowanemu określonych produktów handlowych, podkreślenie ich rynkowej atrakcyjności i w konsekwencji nakłonienie adresata do skorzystania z oferty. Należy przy tym zaznaczyć, że z chwilą zalogowania się przez zainteresowanego do serwisu bankowości internetowej przy użyciu chronionego, tylko jemu znanego, loginu i hasła przestaje on być anonimowym odbiorcą treści reklamowej, a staje się spersonalizowanym i znanym S.A. klientem. Może on wówczas oczekiwać, że informacje, z jakimi się zapozna po zalogowaniu, będą kierowane personalnie do niego i że będą one uwzględniały jego osobiste preferencje, w tym m.in. dotyczące braku zgody na kierowanie do niego reklam. Prawidłowe jest stanowisko Sądu I instancji, zgodnie z którym należy odróżnić sytuację, gdy klient odwiedza ogólnodostępną stronę internetową danego S.A. lub jego tradycyjny oddział, w którym może znaleźć informacje dotyczące wszystkich ofert S.A. i może spotkać się z zachętami do skorzystania z określonych produktów od sytuacji, gdy klient S.A., przy użyciu swojego indywidualnego loginu i hasła, loguje się do internetowego serwisu S.A. Po takim zalogowaniu powinien mieć bowiem dostęp do spersonalizowanych informacji, tj. takich, które m.in. będą uwzględniały jego sprzeciw wobec emisji do niego reklam. W tych okolicznościach nie budzi wątpliwości Naczelnego Sądu Administracyjnego, że jeżeli po zalogowaniu do indywidualnego (przypisanego konkretnej osobie) konta w bankowym serwisie internetowym, klient ma możliwość zapoznania się z reklamą S.A. lub jakiegokolwiek innego podmiotu, to świadczy to o dokonywaniu na jego danych personalnych operacji przetwarzania w celach marketingowych, co w okolicznościach niniejszej sprawy, a więc wobec złożenia przez zainteresowanego stosownego sprzeciwu w tym zakresie, jest niedopuszczalne. Z tych względów za chybiony należało zatem uznać zarzut naruszenia przez Sąd I instancji prawa materialnego w postaci art. 7 ustawy o ochronie danych osobowych. W tych okolicznościach sprawy orzeczono na podstawie art. 184 p.p.s.a., jak w sentencji wyroku.

O kosztach postępowania kasacyjnego orzeczono na podstawie art. 204 pkt 1 p.p.s.a. w związku z § 14 ust. pkt 2 lit. a rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności radców prawnych oraz ponoszenia przez Skarb Państwa kosztów pomocy prawnej udzielonej przez radcę prawnego ustanowionego z urzędu (tekst jedn. Dz. U. z 2013 r., poz. 490 ze zm.).