drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Oddalono skargę, II SA/Wa 2378/20 - Wyrok WSA w Warszawie z 2021-02-10, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

II SA/Wa 2378/20 - Wyrok WSA w Warszawie

Data orzeczenia
2021-02-10 orzeczenie nieprawomocne
Data wpływu
2020-12-03
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Kwiecińska /przewodniczący sprawozdawca/
Joanna Kube
Sławomir Antoniuk
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2019 poz 2325 art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U. 2021 poz 735 art. 107 par. 3, art. 7, art. 8 par. 1, art. 80
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - tekst jedn.
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska (spr.), Sędzia WSA Joanna Kube, Sędzia WSA Sławomir Antoniuk, po rozpoznaniu na posiedzeniu niejawnym w dniu 10 lutego 2021 r. sprawy ze skargi C. sp. z o.o. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2019 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.

Uzasadnienie

Prezes Urzędu Ochrony Danych Osobowych działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz art. 7 ust. 1 i ust. 2, art. 60, art. 101, art. 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) w związku z art. 5 ust. 1 lit. a, art. 5 ust. 2, art. 6 ust. 1, art. 7 ust. 3, art. 12 ust. 2, art. 17 ust. 1 lit. b, art. 24 ust. 1, art. 58 ust. 2 lit. d oraz lit. i, a także w związku z art. 83 ust. 3, art. 83 ust. 5 lit. a oraz lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez C. Sp. z o.o. z siedzibą w W., decyzją z dnia [...] października 2019 r. nr [...]

I. stwierdzając naruszenie przez Spółkę przepisów:

a) art. 5 ust. 1 lit. a w zw. z art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04 maja 2016 r. oraz Dz. Urz. UE L 127 z 23 maja 2018 r.) zwanego dalej rozporządzeniem 2016/679, tj. zasady zgodności z prawem, rzetelności i przejrzystości przetwarzania danych osobowych oraz art. 7 ust. 3, art. 12 ust. 2 art. 17 ust. 1 lit. b i art. 24 ust. 1 rozporządzenia 2016/679 poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą łatwe i skuteczne wycofanie zgody na przetwarzanie swoich danych osobowych oraz realizację prawa do żądania niezwłocznego usunięcia swoich danych osobowych (prawa do bycia zapomnianym),

b) art. 5 ust. 1 lit. a w zw. z art. 5 ust. 2 rozporządzenia 2016/679, tj. zasady zgodności z prawem, oraz art. 6 ust. 1 rozporządzenia 2016/679, poprzez przetwarzanie bez podstawy prawnej danych osób, które nie są klientami C. Sp. z o.o., a od których C. Sp. z o.o. otrzymała żądania zaprzestania przetwarzania danych osobowych,

nakazał C. Sp. z o.o., dostosowanie przetwarzania danych osobowych do przepisów rozporządzenia 2016/679, w terminie 14 dni, od dnia doręczenia niniejszej decyzji, poprzez:

1) zmodyfikowanie procesu obsługi wniosków o odwołanie zgody na przetwarzanie danych, w taki sposób, by osoby, których dane dotyczą mogły skutecznie skorzystać ze swojego prawa do wycofania zgody oraz prawa do bycia zapomnianym,

2) usunięcie danych osobowych osób, które nie są klientami C. Sp. z o.o., a od których C. Sp. z o.o. otrzymała żądanie zaprzestania przetwarzania danych osobowych.

II. za naruszenie ww. przepisów organ nałożył na skarżącą karę pieniężną w kwocie 201 559,50 zł, stanowiącą równowartość 47. 000 EUR, wg średniego kursu euro ogłoszonego przez NBP w tabeli kursów na dzień 28 stycznia 2019 r.

W uzasadnieniu decyzji z dnia [...] października 2019 r. Prezes UODO nadmienił, iż w toku kontroli odebrano od pracowników Spółki ustne wyjaśnienia oraz skontrolowano system informatyczny. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Prezesa Zarządu Spółki.

Z informacji zawartych w KRS wynika, że przedmiotem prowadzonej przez Spółkę działalności gospodarczej jest przetwarzanie danych, zarządzanie stronami internetowymi (hosting) i podobna działalność, działalność agencji reklamowych, działalność centrów telefonicznych, pozostałe doradztwo w zakresie prowadzenia działalności gospodarczej i zarządzania oraz działalność portali internetowych.

Organ ustalił, że w procesie przetwarzania danych osobowych Spółka, jako administrator, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegają na:

1. Niezapewnieniu osobom, których dane dotyczą łatwego skorzystania z ich uprawnienia w zakresie wycofania zgody na przetwarzanie ich danych osobowych (naruszenie art. 7 ust. 3 oraz art. 12 ust. 1 rozporządzenia 2016/679).

2. Naruszeniu zasad przejrzystości i rzetelności w procesie odwołania zgody, poprzez kierowanie do osób, których dane dotyczą sprzecznych ze sobą komunikatów, co skutkuje tym, że osoba odwołująca zgodę wprowadzana jest w błąd i nie może odwołać zgody (naruszenie art. 5 ust. 1 lit. a rozporządzenia 2016/679).

3. Naruszeniu prawa do usunięcia danych (prawo do bycia zapomnianym), poprzez stosowanie procesu odwołania zgody, który utrudnia skuteczne odwołanie zgody – naruszenie art. 17 ust. 1 lit. b rozporządzenia 2016/679.

4. Przetwarzaniu bez podstawy prawnej danych osób, które nie są klientami Spółki (naruszenie art. 6 ust. 1 rozporządzenia 2016/679 oraz naruszenie zasady zgodności przetwarzania z prawem, o której mowa w art. 5 ust. 1 lit. a rozporządzenia 2016/679).

5. Niezastosowaniu odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą skuteczne skorzystanie z jej praw (naruszenie art. 24 ust. 1 rozporządzenia 2016/679).

Pismem znak: [...] Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w zakresie stwierdzonych uchybień, w celu wyjaśnienia okoliczności sprawy.

Spółka pismem z dnia 15 lipca 2019 r. złożyła wyjaśnienia, w których wskazała m.in., że:

1. Stanowisko Prezesa Urzędu Ochrony Danych Osobowych w zakresie zastrzeżeń odnoszących się do procesu przetwarzania danych osobowych zawartych w zawiadomieniu o wszczęciu postępowania odbiega od ustaleń zawartych w protokole kontroli i w związku z tym prowadzone postępowanie powinno zakończyć się stwierdzeniem, że Spółka nie uchybiła przepisom prawa o ochronie danych osobowych.

2. Spółka nie zgadza się z zarzutem, że w procesie odwołania zgody na przetwarzanie danych osobowych uniemożliwia lub utrudnia osobom, których dane dotyczą skorzystanie z uprawnień, o których mowa art. 17 ust. 1 lit. b rozporządzenia 2016/679.

3. Spółka pozostawia bez rozpatrzenia tzw. "puste e-maile" (które nie zawierają żadnej treści, poza adresem e-mail nadawcy, daty i godziny wysłania oraz wskazanie adresata: [...]). Wiadomości tego typu nie uznaje jako wniosków o odwołanie zgody, ani też jako innej korespondencji w sprawie (np. niekompletnych wniosków o odwołanie zgody).

4. Spółka nie zgadza się ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych, że "pusty email" przesłany na adres: [...], jest niekompletnym wnioskiem o odwołanie zgody na przetwarzanie danych osobowych. W ocenie Spółki taki e-mail może stanowić np. niekompletny wniosek o sprostowanie danych lub niekompletny wniosek o informację o przetwarzaniu danych.

5. Przyjęcie koncepcji kwalifikacji prawnej pustych wiadomości e-mail jako oświadczeń woli o skorzystaniu z określonego uprawnienia nadawcy takiego "listu", w ocenie Spółki, nie znajduje oparcia w przepisach rozporządzenia 2016/679 oraz w zasadach wykładni oświadczeń woli ujętych w rozporządzeniu 2016/679 (zakaz domniemywania oświadczeń osoby, której dane dotyczą). W związku z powyższym w uznaniu Spółki "puste e-maile" nie są uznawane przez Spółkę jako korespondencja w sprawie.

6. W ocenie Spółki w zawiadomieniu o wszczęciu postępowania pominięto istotną okoliczność odnotowaną w protokole kontroli, z której wynika, że przedmiotowe "puste e-maile" pochodzą masowo z dwóch serwisów internetowych – interia.pl oraz onet.pl, które wprowadziły po swojej stronie mechanizmy zautomatyzowanego wywoływania wiadomości e-mail kierowanych na adres Spółki.

7. W ocenie Spółki duża skala tego zjawiska, pozwala uznać, że "puste e-maile" świadczą o systemowym lub przypadkowym działaniu użytkowników portali. Zasady doświadczenia życiowego wskazują, że osoby korzystające świadomie z poczty elektronicznej nie wysyłają do adresatów korespondencji niezawierającej treści.

8. Uwzględniając potencjalne ryzyka, związane z przyjętymi po stronie podmiotów trzecich serwisów internetowych świadczących usługi poczty elektronicznej na rzecz internautów i nieuzgodnionymi ze Spółką mechanizmami automatyzacji, które powodują napływ "pustej korespondencji" do Spółki, Spółka interweniowała u podmiotów prowadzących te serwisy celem wyeliminowania tego zjawiska. Na okoliczność potwierdzenia prowadzenia korespondencji w tej sprawie, do pisma stanowiącego odpowiedź na zawiadomienie o wszczęciu postępowania, zostały załączone wydruki korespondencji e-mail.

9. Spółka uznaje, że skoro nie powinno się zbierać domniemanej zgody na przetwarzanie danych, to również nie powinno się usuwać danych na podstawie domniemanego żądania, ani też domagać się by żądanie zostało określone.

10. W ocenie Spółki proces, w którym kliknięcie w link zamieszczony w treści wiadomości reklamowej, przekierowuje użytkownika do dwóch stron internetowych – do pierwszej, na której użytkownik jest pytany o przyczynę odwołania swojej zgody oraz do drugiej strony, na której informowany jest o sposobie jej odwołania – nie uchybia obowiązkom w zakresie łatwego odwołania zgody, ponieważ: cyt. "na drugiej stronie internetowej (po odpowiedzi na pytanie o przyczynę potencjalnej rezygnacji) użytkownikowi wyświetla się komunikat o sposobie odwołania zgody (zgłoszenie żądanie na adres e-mail)". Na tej podstawie Spółka uznaje, że sposób odwołania zgody nie jest mniej skomplikowany niż proces, w trakcie którego zgoda była pozyskana.

11. W ocenie Spółki niezasadny jest również zarzut, że Spółka bez podstawy prawnej pozyskuje dodatkowe informacje od osób składających wniosek o odwołanie zgody w zakresie konieczności podania przyczyny jej odwołania. Spółka potwierdza, że zapytanie o przyczynę rezygnacji z dalszego przetwarzania danych należy uznać jako zbieranie przez Spółkę dodatkowej danej, która w przypadku uznania, że odwołanie zgody byłoby skuteczne i tak zostałaby usunięta. Natomiast w przypadku jeżeli odwołanie zgody nie doszłoby do skutku, to pozyskana informacja przetwarzana byłaby przez Spółkę na podstawie art. 6 ust. 1 lit. f rozporządzenia 2016/679, tj. na podstawie prawnie uzasadnionego interesu administratora.

12. Odnosząc się do treści komunikatu: "Pani odwołanie zgody dziś 13.02.2019!. Dziękuję za odpowiedź! W takiej sytuacji informuję, że przysługuje Pani prawo dostępu do danych, ich usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu, żądania sprostowania oraz cofnięcia zgód w każdym czasie pod adresem [...], w tym również prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. (...)", który wyświetla się użytkownikowi dopiero po udzieleniu odpowiedzi na pytanie o przyczynę rezygnacji, wskazano, że po otrzymaniu zawiadomienia o wszczęciu postępowania ze strony internetowej został usunięty komunikat zawierający zapis "Pani odwołanie zgody dziś 13.02.2019". Z przekazanych informacji wynika również, że w miejsce tego komunikatu zostanie zamieszczony komunikat następującej treści: "Informacja o sposobie odwołania Pani zgody".

13. Spółka wyjaśniając kwestię, dlaczego nie stosuje modelu odwołania zgody wyłącznie poprzez jednorazowe kliknięcie w link wiadomości e-mail (zawierającej link "odwołanie zgody"), wskazuje, że zastosowanie takiego modelu mogłoby skutkować tym, że żądanie w tym zakresie mogłoby być składane nieświadomie (omyłkowo przez przypadkowe kliknięcie) oraz przez osobę nieuprawnioną lub składane przez tzw. "boty" – zautomatyzowane oprogramowanie internetowe, które bez wiedzy właściciela konta poczty elektronicznej może aktywować linki znajdujące się w treści korespondencji e-mail. Wskazano, że podobne rozwiązania stosuje się także w sektorze administracji publicznej i jako przykład wskazano, że na stronie Ministerstwa Sprawiedliwości stosuje się mechanizm tzw. captcha, który ma zapobiegać wypełnianiu formularzy i pobieraniu danych ze stron tego Ministerstwa przez tzw. boty. Jako dowód załączony został do odpowiedzi na zawiadomienie zrzut ekranu z wyszukiwarki KRS, który, w ocenie Spółki, potwierdza okoliczność stosowania w Internecie rozwiązań zapobiegających wykorzystywaniu formularzy i adresów e-mail udostępnianych w Internecie przez tzw. boty (roboty).

14. Spółka uważa, że Prezes Urzędu Ochrony Danych Osobowych błędnie zakłada, że samo kliknięcie w link "odwołanie zgody" zawarty w wiadomości marketingowej, powinno być uznane przez Spółkę jako złożenie oświadczenia woli o odwołaniu zgody. Tak nie jest, albowiem w polu, gdzie zamieszczony jest ww. link znajdują się również inne informacje dotyczące różnych uprawnień związanych z przetwarzaniem danych osobowych.

15. Spółka nie zgadza się z zarzutem, że przy realizacji obowiązku informacyjnego za każdym razem w sposób odmienny odnosi się do tych samych kwestii i wskazuje różne sposoby i możliwości złożenia przez osoby, których dane dotyczą, oświadczeń o odwołaniu zgody na przetwarzanie danych osobowych, co powoduje, że osoby te nie mogą skutecznie odwołać swojej zgody.

16. W zakresie informacji o sposobie odwołania zgody na przetwarzanie danych, Spółka niezmiennie i konsekwentnie (na gruncie aktualnego i poprzedniego stanu prawnego) informuje, że osoba, której dane dotyczą, może zgłosić żądanie pocztą tradycyjną na adres siedziby Spółki lub drogą elektroniczną na adres e-mail Spółki. Okoliczność, że Spółka po rozpoczęciu stosowania rozporządzenia 2016/679 (tj. w dniu 15 czerwca 2018 r.), wskazała dodatkowy adres e-mail na złożenie żądań, należy ocenić jako rozszerzenie uprawnień osób, których dane dotyczą. Nie jest zgodne zatem ze zgromadzonym materiałem dowodowym twierdzenie, że Spółka wskazuje różne sposoby i możliwości odwołania zgody na przetwarzanie danych osobowych – zawsze jest to zarówno korespondencja pisemna kierowana na adres siedziby Spółki oraz korespondencja e mail kierowana na adres poczty elektronicznej Spółki.

17. Spółka podkreśla, że nie jest zgodny z zebranym materiałem dowodowym w sprawie zarzut, że Spółka w dokumencie o nazwie "Informacja dla Państwa o przetwarzaniu danych osobowych przez C. Sp. z o.o." nie wskazała adresu e-mail, na który osoba, której dane dotyczą, mogłaby skutecznie złożyć oświadczenie o wycofaniu zgody na przetwarzanie danych osobowych. W pkt 1 ww. dokumentu poza wskazaniem adresu siedziby Spółki, w kolejnym akapicie wskazany został bowiem adres e-mail tj. [...].

18. Odnośnie komunikatu następującej treści: "Pani odwołanie zgody dziś 13.02.2019! Dziękuję za odpowiedź!" oraz zapis następującej treści: "informuję, że przysługuje Pani prawo dostępu do danych, ich usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu, żądania sprostowania oraz cofnięcia zgód w każdym czasie pod adresem [...] wskazano, że informacja tej treści wyświetlana jest na skutek kliknięcia w link zawarty w informacji marketingowej. Natomiast komunikat, ten nie jest przesyłany na adres e-mail, z którego nadeszła informacja o wycofaniu zgody. Ponadto organ bezpodstawnie uznaje, że kliknięcie w przedmiotowy link oznacza oświadczenie użytkownika o odwołaniu zgody na przetwarzanie danych osobowych. Informacja towarzysząca temu linkowi nie wskazuje na taką konsekwencję kliknięcia, podobnie jak nie wskazuje takiej konsekwencji żaden z dokumentów informacyjnych Spółki. Przyczyny przyjęcia dwustopniowego procesu dojścia do informacji o sposobie odwołania zgody, wynika z potrzeby ochrony przed oprogramowaniem internetowym wykonującym bez wiedzy i woli właściciela skrzynki pocztowej przypadkowych kliknięć.

19. Zdaniem Spółki w zawiadomieniu o wszczęciu postępowania nie wyjaśniono, w jaki sposób powyższy proces informowania o przysługujących użytkownikowi uprawnieniach dotyczących danych osobowych, stanowi rzekomo o nieopracowaniu odpowiednich środków technicznych i organizacyjnych w rozumieniu art. 24 ust. 1 rozporządzenia 2016/679. Organ nie przedstawia wykładni tego przepisu prawa i nie odnosi go do stanu faktycznego i zgromadzonego materiału dowodowego, co jest wymagane zwłaszcza w sytuacji, gdy zawarta na s. 9 Zawiadomienia argumentacja de facto odnosi się do wymogu zapewnienia łatwego sposobu wyrażenia zgody (art. 7 ust. 3 rozporządzenia 2016/679), a nie do obowiązku zawartego w art. 24 ust. 1 rozporządzenia 2016/679.

20. Opracowany przez Spółkę sposób informowania o odwołaniu zgody w każdej przesyłce reklamowej, zawierający dwustopniowe dojście do adresu e-mail, na który można przesłać żądanie, oznacza zastosowanie przez Spółkę ponadstandardowych środków technicznych i organizacyjnych w rozumieniu art. 24 ust. 1 rozporządzenia 2016/679.

21. W zakresie zastrzeżenia dotyczącego przetwarzania przez Spółkę danych bez podstawy prawnej, w przypadku danych otrzymanych od osób, które nie są jej klientami, a których dane Spółka pozyskuje w korespondencji otrzymywanej za pośrednictwem adresu poczty elektronicznej: [...], wskazano, że Spółka nie zgadza się z tym zarzutem, albowiem Spółka (tak jak i inne podmioty, które publikują swoje adresy e-mail w Internecie), nie ma wpływu na to, kto i w jakim celu na adres e-mail przekaże jej swoje dane. Przedmiotowe dane Spółka przetwarza jedynie w celu obsługi korespondencji, natomiast danych tych nie przetwarza w żadnych innych celach (np. w celach marketingowych).

Do pisma stanowiącego odpowiedź na zawiadomienie o wszczęciu postępowania administracyjnego, załączono sprawozdanie finansowe za okres od 1 stycznia 2017 r. do 31 grudnia 2017 r., z którego wynika, że wysokość przychodów netto ze sprzedaży i zrównanych z nimi wynosi: 1 714 451,61 PLN oraz sprawozdanie finansowe za rok obrotowy od 1 stycznia 2018 r. do 31 grudnia 2018 r., z którego wynika, że wysokość przychodów netto ze sprzedaży i zrównanych z nimi wynosi: 1 051 903,43 PLN.

W uzasadnieniu decyzji z dnia [...] października 2019 r. Prezes Urzędu Ochrony Danych Osobowych stwierdził, iż z zebranego w sprawie materiału dowodowego wynika, że: Spółka od 2012 r. posiada własną bazę danych, w której na dzień 31 stycznia 2019 r. przetwarzała dane osobowe 2.190.689 osób. W 98% dane te zostały pozyskane od uczestników konkursu o nazwie "Najszybszy – wygrywa".

Wszystkie dane osobowe do bazy Spółki pozyskane zostały drogą elektroniczną za pomocą formularzy rejestracyjnych. Do wszystkich konkursów stosowany był taki sam wzór formularza.

W trakcie wypełniania formularza rejestracyjnego użytkownik wyrażał następujące zgody: 1) zgodę na przetwarzanie danych osobowych przez C. Sp. z o.o. w celach marketingowych podmiotów trzecich również w przyszłości; 2) zgodę na udostępnianie danych kontrahentom C. Sp. z o.o. w celach marketingowych; 3) zgodę na przekazywanie informacji handlowych drogą elektroniczną przez C. Sp. z o.o., w tym na zlecenie podmiotów trzecich oraz przez kontrahentów C. Sp. z o.o.; 4) zgodę na przekazywanie informacji marketingowych drogą telefoniczną i elektroniczną przez C. Sp. z o.o., w tym na zlecenie podmiotów trzecich oraz przez kontrahentów C. Sp. z o.o.

Zdaniem PUODO Spółka obecnie wykorzystuje pozyskane dane osobowe uczestników konkursów w celu realizacji zamówień na prowadzenie marketingu na rzecz innych podmiotów.

Do zawieranych umów zleceń na prowadzenie danej kampanii marketingowej Spółka dołącza dokument o nazwie "Oświadczenie dotyczące przetwarzania danych osobowych aktualne od dnia 25 maja 2018 roku". Z treści tego dokumentu wynika, m.in., że za pośrednictwem linku umieszczonego w wysyłanych wiadomościach e-mail lub SMS, a także w rozmowach telefonicznych za pośrednictwem wskazanego w rozmowie adresu e-mail osoby, do których kierowana będzie kampania marketingowa, będą mogły w łatwy i prosty sposób odwołać udzielone zgody. Spółka niezwłocznie po otrzymaniu tego typu informacji zablokuje możliwość dalszej realizacji kampanii w stosunku do użytkownika, który wycofał zgodę lub oświadczył, że nie chce, aby kampania była do niego kierowana.

Ustalenia dokonane w toku kontroli PUODO wykazały, że Spółka nie stosuje się do zasad, które sama opracowała. Użycie odsyłacza (linku) zamieszczonego w treści informacji handlowych wbrew zapewnieniom Spółki, nie skutkuje szybkim odwołaniem zgody na przetwarzanie danych osobowych. Komunikaty przesyłane na skutek uruchomienia tego linku wprowadzają w błąd osobę, która wnosi o odwołanie zgody, co skutkuje tym, iż odwołanie zgody nie jest skuteczne.

W toku kontroli ustalono, że przykładowa oferta marketingowa wysłana przez Spółkę na zlecenie innego podmiotu zawiera w swej treści m.in. taką informację: C. Sp. z o.o. informuje, że po kliknięciu w wiadomość zostanie Pani przekierowana na stronę C. Sp. z o.o., na której będzie mogła Pani udzielić odpowiedzi na pytania. Kliknięcie w link "odwołanie zgody" skutkuje tym, że: 1) użytkownik przekierowywany jest na stronę internetową gdzie znajduje się zapytanie o przyczynę rezygnacji z otrzymywania reklam drogą e-mailową (z dwoma zdefiniowanymi odpowiedziami: "A: otrzymuję reklamy, które mnie nie interesują", "B: otrzymuję reklamy za często"); 2) po udzieleniu odpowiedzi na ww. pytania użytkownik przekierowywany jest na koleją stronę, na której pojawia się komunikat następującej treści: "Pani odwołanie zgody dziś 13.02.2019!". Pod tym komunikatem znajduje się zapis: "Dziękuję za odpowiedź! W takiej sytuacji informuję, że przysługuje Pani prawo dostępu do danych, ich usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu, żądania sprostowania oraz cofnięcia zgód w każdym czasie pod adresem [...], w tym również prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Z mojej strony to wszystko. P. M.".

Analizując proces odwołania zgody, PUODO stwierdził, że Spółka w pierwszej kolejności (bez żadnej podstawy prawnej) wymaga by osoba, która składa oświadczenie o odwołaniu zgody wskazała powód swojego żądania. Znaczenie ma fakt, że nieudzielenie odpowiedzi na to pytanie nie pozwala na kontynuację procesu odwołania zgody, co skutkuje tym, że zgoda nie jest odwołana. Po przekazaniu osobie komunikatu następującej treści "Pani odwołanie zgody dziś 13.02.2019 !", Spółka informuje daną osobę o sposobie odwołania zgody.

W ocenie Spółki, skuteczne złożenie oświadczenia woli odnośnie odwołania zgody na przetwarzanie danych może nastąpić jedynie wówczas, jeżeli osoba po zapoznaniu się z treścią ww. komunikatu, skieruje jeszcze raz swoje żądanie pod adres: [...] i dokładnie w nim określi, czego od Spółki się domaga.

Zdecydowana większość osób po zapoznaniu się z treścią tak brzmiącego komunikatu stwierdza, że oświadczenie o odwołaniu zgody zostało przyjęte przez Spółkę w dacie wskazanej w komunikacie i w związku z tym dalszych czynności w tym zakresie już nie podejmuje.

Zastosowanie przez Spółkę takiego mechanizmu skutkuje niepodjęciem przez osobę, której dane dotyczą, dalszych działań po odczytaniu tego komunikatu, co powoduje, że nie dochodzi do skutecznego odwołania zgody. Takie działania Spółki skutkują tym, że osoby, które nie mogą skutecznie zrealizować swoich praw (tj. odwołać zgody) kierują do Urzędu Ochrony Danych Osobowych skargi w tym zakresie.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych stosowany przez Spółkę sposób postępowania w procesie odwołania zgody nie spełnia kryteriów prostego i szybkiego odwołania zgody. Tym samym Spółka narusza przepis art. 7 ust. 3 rozporządzenia 2016/679.

Organ wskazał również, że zgodnie z art. 12 ust. 2 rozporządzenia 2016/679, administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22. W przypadkach, o których mowa w art. 11 ust. 2, administrator nie odmawia podjęcia działań na żądanie osoby, której dane dotyczą, pragnącej wykonać prawa przysługujące jej na mocy art. 15-22, chyba że wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych Spółka w procesie odwołania zgody narusza zasady przejrzystości i rzetelności, o których mowa w art. 5 ust. 1 lit. a rozporządzenia 2016/679, gdyż do osób odwołujących zgodę Spółka kieruje sprzeczne ze sobą komunikaty, co skutkuje tym, że osoba odwołująca zgodę, po otrzymaniu od Spółki komunikatu "Pani odwołanie zgody dziś 13.02.2019 !" jest przekonana, że zgodę swoją skutecznie odwołała. Do odwołania zgody jednak nie dochodzi, Spółka po wysłaniu ww. komunikatu, kieruje do tej samej osoby komunikat, w którym informuje o sposobie skutecznego odwołania zgody.

Spółka jako administrator nie ułatwia osobie, której dane dotyczą skorzystania z prawa do odwołania zgody (prawa do bycia zapomnianym).

W odpowiedzi na zawiadomienie o wszczęciu postępowania Spółka uznała, że zarzut Prezesa Urzędu Ochrony Danych Osobowych, w zakresie tego naruszenia jest zasadny i w związku z tym Spółka ze strony internetowej usunęła komunikat o treści: "Pani odwołanie zgody dziś 13.02.2019". Ponadto, w tym samym piśmie zadeklarowane zostało, że cyt. "wprowadza do powyższych wiadomości temat i frazę: Informacja o sposobie odwołania Pani zgody" zamiast "Pani odwołanie zgody dziś 13.02.2019". Wyjaśnienia te nie zostały jednak potwierdzone Prezesowi Urzędu Ochrony Danych Osobowych żadnymi dodatkowymi dowodami.

Z zebranego w sprawie materiału dowodowego nie wynika, w ocenie organu, by Spółka zaprzestała pozyskiwania informacji dotyczących przyczyny odwołania zgody, co niewątpliwie skutkuje tym, że brak takiej odpowiedzi nadal uniemożliwia osobie, której dane dotyczą skuteczne odwołanie zgody.

Wskazano, że informacje zawarte w zawiadomieniu o wszczęciu postępowania odnośnie nieprowadzenia przez Spółkę korespondencji w sprawie niepoprawnie złożonych wniosków oraz nieudzielanie odpowiedzi na żądania osób, których dane dotyczą, nie są zgodne z zebranym materiałem dowodowym. Odnosząc się do tego zarzutu, PUODO wskazał, że Prezes Zarządu Spółki w toku kontroli wyjaśnił, że cyt. "(...) zwrotnych informacji odnośnie sposobu rozpatrzenia danego wniosku Spółka nie wysyła do jego nadawcy, albowiem w ocenie Spółki skuteczne usunięcie danych osobowych jest jednoznaczne z ostatecznym rozpatrzeniem danego wniosku " oraz cyt. "Spółka nie prowadzi w żadnej formie korespondencji, w sprawie niepoprawnie złożonych wniosków".

Ustalenia dokonane w toku kontroli wykazały również, że Spółka od dłuższego już czasu, tj. od początku 2018 r., za pośrednictwem poczty elektronicznej, otrzymuje dziennie około 10 000 (dziesięć tysięcy) tzw. pustych wiadomości e-maili (nie zawierających treści żądania). Wiadomości te przesyłane są na adres [...] zamieszczony na stronach dwóch serwisów internetowych ([...]).

W toku kontroli ustalono, że tego typu wiadomości Spółka pozostawia bez rozpatrzenia. W odpowiedzi na zawiadomienie o wszczęciu postępowania wyjaśniono, że "puste e-maile" nie zawierają żadnych żądań, a Spółka sama nie może domniemywać, czego dany e-mail dotyczy. Spółka, wyjaśniając powyższą kwestię, wskazała, że podjęła działania by wyeliminować powyższe zjawisko. Na potwierdzenie powyższych wyjaśnień, jako dodatkowe dowody w sprawie, wraz z odpowiedzią na zawiadomienie o wszczęciu postępowania zostały przesłane do Urzędu Ochrony Danych Osobowych wydruki prowadzonej korespondencji w tej sprawie. Z treści korespondencji wynika, że Spółka sygnalizuje podmiotom prowadzącym ww. portale, konieczność wyłączenia automatycznych mechanizmów wysyłania tzw. "pustych listów" na adres [...].

Proceder otrzymywania przez Spółkę "pustych e-mail" trwa co najmniej od początku 2018 r. i jak do tej pory, w tej kwestii, nic się nie zmieniło. Spółka wskazała, że w przypadku "pustych e-mail" Spółka nie może realizować żądań osoby niezidentyfikowanej, a ponadto nie wiadomo o co adresat e-maila wnosi.

Tzw. "puste e-maile" zawierają takie informacje jak: adres e-mail nadawcy, datę i godzinę oraz wskazanie adresata: [...]. W ocenie Prezesa Urzędu Ochrony Danych Osobowych określenie adresata w taki sposób wskazuje świadome działania nadawcy takiego e-maila, tzn., że odwołuje on zgodę. Wątpliwości Spółki, co do tego jakie jest żądanie nadawcy takiej wiadomości, mogłyby zostać wyjaśnione, chociażby w drodze korespondencji zwrotnej skierowanej pod adres e-mail nadawcy z zapytaniem, czego taki e-mail dotyczy. Z zebranego w sprawie materiału dowodowego jednoznacznie wynika, że Spółka "puste emaile" przychodzące na adres [...], pozostawia bez rozpatrzenia, nie nadaje im dalszego biegu. Adresat e-maila żadnych informacji zwrotnych od Spółki nie otrzymuje.

Organ stwierdził, iż Spółka w procesie przetwarzania danych osobowych narusza art. 7 ust. 3 rozporządzenia 2016/679, albowiem stosowany proces odwołania zgody utrudnia, a wręcz uniemożliwia osobie, której dane dotyczą, skuteczne skorzystanie z przysługującego jej prawa do odwołania zgody.

Ponadto, w ocenie Prezesa Ochrony Danych Osobowych, stosowany przez Spółkę proces obsługi wniosków dotyczących odwołania zgody na przetwarzanie danych uniemożliwia osobie, której dane dotyczą, skuteczne skorzystanie z przysługującego jej prawa, o którym mowa wart. 17 ust. 1 lit. b rozporządzenia 2016/679. W konsekwencji organ stwierdził, że Spółka narusza także ten przepis rozporządzenia 2016/679.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych z zebranego w sprawie materiału dowodowego wynika bezspornie, że Spółka nie opracowała i nie wdrożyła takich środków technicznych i organizacyjnych, które powodowałyby, że osoba, której dane dotyczą, otrzymuje w formie łatwo dostępnej, zwięzłej, przejrzystej i zrozumiałej informacje na temat możliwości skutecznego odwołania drogą elektroniczną zgody na przetwarzanie danych osobowych. Osoba, której dane dotyczą, nie może skutecznie skorzystać ze swojego prawa do wycofania w dowolnym momencie udzielonej zgody oraz prawa do bycia zapomnianym.

Spółka jako administrator powinna zapewnić w procesie przetwarzania danych osobowych takie rozwiązania techniczne i organizacyjne (stosowane również przez inne podmioty biorące udział w tym procesie), których użycie zapewni, by realizacja praw osób przebiegała skutecznie. Rozwiązania przejęte przez Spółkę w procesie odwołania zgody są nieskuteczne, o czym świadczy chociażby fakt, że naruszenie polegające na wpływie do Spółki tzw. "pustych e-malii" nie zostało usunięte. Rozwiązania organizacyjne stosowane przez Spółkę są również nieskuteczne, albowiem, jak ustalono, Spółka nie prowadzi żadnej korespondencji w sprawie wniosków o odwołanie zgody.

Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny.

Na tej podstawie organ stwierdził, że nie zostały wdrożone przez Spółkę (administratora) odpowiednie środki techniczne i organizacyjne w procesie odwołania zgody, co stanowi naruszenie, o którym mowa w art. 24 ust. 1 rozporządzenia 2016/679.

Z zebranego materiału dowodowego w sprawie wynika, że od początku 2018 r. ze strony internetowych serwisów interia.pl oraz onet.pl na adres skrzynki pocztowej Spółki: [...] przesyłane są liczne wnioski o zaprzestanie przesyłania reklam. Wśród tych wniosków są również wnioski osób, które żądają zaprzestania przetwarzania ich danych przez inne podmioty niż Spółka. Osoby te posiadają konta poczty elektronicznej we wskazanych serwisach, ale nie są klientami Spółki.

W toku kontroli pozyskane zostały wydruki zrzutów ekranu wyszukania w bazie Spółki danych osobowych przykładowej osoby, od której wpłynęło do Spółki odwołanie jej zgody na przetwarzanie danych osobowych przez inny podmiot. Dowody te potwierdzają, że w tzw. "bazie produkcyjnej" Spółki dane osoby wyszukiwanej nie są przetwarzane.

Z ustaleń kontroli wynika, że Spółka żadnej korespondencji z tymi osobami nie prowadzi, w szczególności Spółka nie wysyła żadnej korespondencji zwrotnej do takich osób. Nie jest zatem zgodne ze stanem faktycznym twierdzenie Spółki, że dane tych osób Spółka przetwarza w celu obsługi korespondencji.

Prezes Urzędu Ochrony Danych Osobowych uznał, że Spółka – po ustaleniu, że żadnych informacji o danej osobie dotychczas nie posiadała – powinna pozyskane dane usunąć z uwagi na brak podstaw prawnych do dalszego ich przetwarzania (przechowywania).

Prezes Urzędu Ochrony Danych Osobowych uznał, że Spółka, w powyższym zakresie narusza art. 6 ust. 1 rozporządzenia 2016/679, a tym samym narusza zasadę legalności, która na gruncie rozporządzenia 2016/679 nazwana jest zasadą zgodności przetwarzania z prawem (art. 5 ust. 1 lit. a rozporządzenia 2016/679).

Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego we wskazanym przepisie, stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej.

Decydując o nałożeniu na Spółkę kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych – stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, poczytywane na niekorzyść Spółki oraz wpływające obciążająco na wymiar nałożonej kary finansowej:

1. Stosowany przez Spółkę proces odwołania zgody skutkuje naruszeniem art. 7 ust. 3, art. 12 ust. 2 oraz art. 17 ust. 1 lit. b rozporządzenia 2016/679, poprzez niezapewnieniu osobom, których dane dotyczą, łatwego skorzystania z ich prawa do wycofania zgody na przetwarzanie ich danych oraz prawa do usunięcia danych (prawa do bycia zapomnianym). W ocenie Prezesa naruszenie to ma charakter naruszenia umyślnego. Zgodnie ze stanowiskiem Grupy Roboczej Ds. Ochrony Danych Art. 29 (zawartym w wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia 2016/679), przyjętych w dniu 3 października 2017 r., w części odnoszącej się do umyślnego lub nieumyślnego charakteru naruszenia, "umyślność" obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego. W treści opracowanego przez Spółkę dokumentu o nazwie "Oświadczenie dotyczące przetwarzania danych osobowych aktualne od dnia 25 maja 2018 roku" wskazane jest, że osoby, do których kierowana jest kampania marketingowa, będą miały możliwość prostego i szybkiego wycofania udzielonych zgód. Z informacji tej wynika również, że Spółka niezwłocznie po otrzymaniu oświadczenia o odwołaniu zgody, zablokuje możliwość dalszej realizacji kampanii marketingowej względem danej osoby. Na tej podstawie uznać należy, że Spółka posiada wiedzę, że proces odwołania zgody powinien być łatwy, powinien przebiegać w sposób prosty i skuteczny. Niestety, ustalenia dokonane w toku kontroli wykazały bezspornie, że Spółka nie stosuje się do zasad, które sama opracowała. Wbrew zapewnieniom Spółki użycie linku zamieszczonego w treści informacji handlowych, nie skutkuje szybkim odwołaniem zgody. Po uruchomieniu przedmiotowego linku, komunikaty kierowane do osoby zainteresowanej odwołaniem zgody wprowadzają ją w błąd. Spółka po przesłaniu komunikatu o treści "Pani odwołanie zgody dziś 13.02.2019 !" utwierdza daną osobę w tym, że odwołanie zgody zostało uznane przez Spółkę, po czym wymaga od tej samej osoby dodatkowego czynności w celu skutecznego odwołania zgody. Spółka zdecydowanie komplikuje, a wręcz utrudnia odwołanie zgody. W procesie odwołania zgody wymusza konieczność podania przyczyny odwołania zgody. Brak wskazania przyczyny przerywa proces odwołania zgody. Wskazanie przyczyny również nie skutkuje odwołaniem zgody, albowiem Spółka po otrzymaniu odpowiedzi dalej kontynuuje proces odwołania zgody, przekazując osobie zainteresowanej – sprzeczne ze sobą komunikaty, co w ostateczności skutkuje tym, że – odwołanie zgody nie dochodzi do skutku. Takie działania Spółki należy, zdaniem organu, zdecydowanie uznać za działanie umyślne mające na celu utrudnianie, czy wręcz uniemożliwienie realizacji praw osób, których dane dotyczą. Deklarowany przez Spółkę zamiar podjęcia działań w celu usunięcia tego stanu rzeczy, nie stanowi podstawy do uznania, że naruszenie to zostało usunięte. Tymczasem Spółka jako administrator zobowiązana jest do działania zgodnego z prawem, zobowiązana jest ułatwiać osobom, których dane dotyczą, wykonanie ich praw (art. 12 ust. 2 rozporządzenia 2016/679), zapewnić by stosowany proces odwołania zgody pozwalał na skuteczne wycofanie zgody (art. 7 ust. 3 rozporządzenia 2016/679). Spółka swoim działaniem w procesie przetwarzania danych narusza również zasadę zgodności z prawem przetwarzania danych, zasadę przejrzystości oraz zasadę rzetelności, o których mowa art. 5 ust. 1 lit. a rozporządzenia 2016/679, a co najważniejsze wprowadza w błąd osoby, które chcą skutecznie skorzystać ze swojego prawa. Stosowany przez Spółkę proces odwołania zgody stwarza wysokie ryzyko negatywnych skutków dla bardzo dużej ilości osób (w bazie Spółki na dzień 31 stycznia 2019 r. przetwarzane były dane osobowe 2.190.689 osób). Spółka przetwarza dane w bazie od 2012 r. Z uwagi na fakt, że wszystkie dane osób pozyskane zostały na podstawie zgody, tj. na podstawie art. 6 ust. 1 lit. a rozporządzenia 2016/679, to każdej z osób, której dane dotyczą w dowolnym czasie, przysługuje prawo do wycofania (odwołania) zgody.

Spółka w procesie odwołania zgody nie zastosowała odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą, skuteczne skorzystanie z jej praw (art. 24 ust. 1 rozporządzenia 2016/679). Z zebranego w sprawie materiału dowodowego wynika, że Spółka w procesie odwołania zgody nie uwzględniła zasady zgodnie, z którą wycofanie zgody powinno być równie łatwe jak jej wyrażenie (art. 7 ust. 3 rozporządzenia 2016/679). Organ wskazał, że od wszystkich osób, których dane osobowe przetwarzane są w bazie Spółki (baza uczestników konkursów), zgoda na przetwarzanie danych pozyskiwana była zawsze w formie elektronicznej, poprzez użycie przycisku "checkboxu", zamieszczonego w formularzu rejestracyjnym. Proces odwołania zgody powinien również przebiegać w sposób łatwy, nieskomplikowany, a co najważniejsze za pomocą tego samego kanału komunikacyjnego, tj. za pomocą Internetu (np. poprzez zamieszczenie na stronie internetowej formularza odwołania zgody lub zakładki przeznaczonej do jej odwołania). Spółka jako administrator ponosi odpowiedzialność za to, że w procesie odwołania zgody stosowane jest nieskutecznie działające narzędzie, tj. przycisk: "[...]" zamieszczony w witrynach internetowych ([...]).

Efekt zastosowanych przez Spółkę rozwiązań jest taki, że osoby, które używają tego przycisku w celu odwołania zgody, nie mogą skutecznie zrealizować swojego prawa. Skala tego zjawiska jest bardzo duża (dziennie około 10 000 tzw. "pustych e-mail"). Spółka nie możne zwolnić się od odpowiedzialności w tym zakresie tylko dlatego, że przedmiotowy przycisk zamieszczony jest na stronach internetowych innych podmiotów. Wskazać bowiem należy, że to do obowiązków administratora należy zapewnienie, by w procesie przetwarzania danych stosowane były takie rozwiązania techniczne i organizacyjne (stosowane również przez inne podmioty biorące udział w tym procesie), których użycie zapewni skuteczną realizację praw osób, których dane dotyczą.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych nie uwzględnił żadnej okoliczności łagodzącej mającej wpływ na ostateczny wymiar kary. W piśmie stanowiącym odpowiedź na zawiadomienie o wszczęciu postępowania, Spółka wyjaśniła, że po otrzymaniu zawiadomienia o wszczęciu postępowania ze strony internetowej został usunięty komunikat – "Pani odwołanie zgody dziś 13.02.2019", ponadto w piśmie tym wskazano również, że Spółka zadeklarowała się zmienić komunikat "Pani odwołanie zgody dziś 13.02.2019" na komunikat "Informacja o sposobie odwołania Pani zgody". Niemniej jednak złożone wyjaśnienia nie zostały potwierdzone Prezesowi Urzędu Ochrony Danych Osobowych żadnymi dodatkowymi dowodami. Na tej podstawie Prezes Urzędu Ochrony Danych Osobowych uznał, że sam zamiar podjęcia działań przez Spółkę w celu usunięcia naruszenia nie stanowi okoliczności łagodzącej mającej wpływ na ostateczny wymiar kary.

Żadnego wpływu na fakt nałożenia, jak i sam wymiar administracyjnej kary pieniężnej nie miały okoliczności, iż:

a) Spółka nie stosuje zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679;

b) brak dowodów wskazujących na uzyskanie przez Spółkę korzyści finansowych, jak i uniknięcie strat w związku z naruszeniem;

c) miała miejsce dobra współpraca ze strony Spółki, w toku przeprowadzonej kontroli; w tym w wyznaczonym terminie Spółka przesłała do Urzędu Ochrony Danych Osobowych odpowiedź na zawiadomienie o wszczęciu postępowania;

d) w zebranym materiale dowodowym brak jest dowodów, które potwierdzałyby, że osoby, których dane dotyczą doznały szkody majątkowej;

e) brak jest dowodów wskazujących na uzyskanie przez Spółkę korzyści finansowych, jak i uniknięcie strat w związku z naruszeniem;

f) nie zostało stwierdzone, żeby Spółka uprzednio dopuściła się naruszenia przepisów rozporządzenia 2016/679, które miałoby istotne znaczenie dla niniejszego postępowania.

Prezes Urzędu Ochrony Danych Osobowych stanął na stanowisku, iż nałożenie administracyjnej kary pieniężnej na Spółkę jest konieczne i uzasadnione wagą oraz charakterem zarzucanych Spółce naruszeń. Zastosowanie wobec Spółki jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Spółka w przyszłości nie dopuści się podobnych praktyk naruszających prawa osób, których dane dotyczą.

Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uznał, że w ustalonych okolicznościach niniejszej sprawy, tj. wobec stwierdzenia naruszenia przez Spółkę prawa do usunięcia danych (prawo do bycia zapomnianym), o którym mowa w art. 17 ust. 1 lit. b rozporządzenia 2016/679 oraz naruszenie zasady zgodności z prawem przetwarzania danych, zasady przejrzystości i zasady rzetelności wyrażonych art. 5 ust. 1 lit. a rozporządzenia 2016/679 (a odzwierciedlonych w postaci obowiązków określonych w art. 7 ust. 3, art. 12 ust. 2 oraz art. 24 ust. 1 rozporządzenia 2016/679), a także przetwarzanie bez podstawy prawnej danych osób, które nie są klientami Spółki (tj. naruszenie art. 6 ust. 1 rozporządzenia 2016/679), poprzez stosowanie skomplikowanych rozwiązań organizacyjnych i technicznych w procesie odwołania zgody, zastosowanie znajdzie art. 83 ust. 5 lit. a i lit. b rozporządzenia 2016/679. Zgodnie z tymi przepisami naruszenia podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa m.in. w art. 5, art. 6, art. 7 tego rozporządzenia oraz naruszenia praw osób, których dane dotyczą, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Wobec stwierdzenia przez Spółkę naruszenia w ramach tych samych lub powiązanych operacji przetwarzania kilku przepisów niniejszego rozporządzenia, stosownie do treści art. 83 ust. 3 rozporządzenia 2016/679, Prezes Urzędu Ochrony Danych Osobowych określił całkowitą wysokość administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze naruszenie.

W przedstawionym stanie faktycznym za najpoważniejsze należy uznać naruszenie przez Spółkę prawa do usunięcia danych (prawo do bycia zapomnianym), o którym mowa w art. 17 ust. 1 lit. b rozporządzenia 2016/679 oraz naruszenie zasad przejrzystości i rzetelności, o których mowa w art. 5 ust. 1 lit. a rozporządzenia 2016/679. Przemawia za tym poważny charakter tych naruszeń oraz krąg osób nim dotkniętych (w bazie Spółki na dzień 31 stycznia 2019 r. przetwarzane były dane osobowe 2.190.689 osób). Z uwagi na fakt, że wszystkie dane osób pozyskane zostały na podstawie zgody (tj. na podstawie art. 6 ust. 1 lit. a rozporządzenia 2016/679) to każdej z tych osób w dowolnym czasie, przysługuje prawo do wycofania (odwołania) zgody.

Dopuszczenie przez Spółkę w procesie przetwarzania danych osobowych nieodpowiednich środków technicznych i organizacyjnych, o których mowa w art. 24 ust. 1 rozporządzenia 2016/679, doprowadziło do naruszenia zasady zgodności z prawem przetwarzania danych, o której mowa w art. 5 ust. 1 lit. a rozporządzenia 2016/679, albowiem Spółka weszła w posiadanie danych osobowych do przetwarzania, których nie jest uprawniona, gdyż nie spełnia żadnego warunku wskazanego w art. 6 ust. 1 rozporządzenia 2016/679.

Organ wziął pod uwagę okoliczność, że naruszenie to dotyczy tylko osób, które omyłkowo skierowały do Spółki oświadczenia o wycofaniu zgody na przetwarzanie danych (pomimo, że nie są klientami Spółki), naruszenie to w niewielkim zakresie wpływa na decyzję o nałożeniu kary i jej wysokość.

Organ stwierdził, że stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, z późn. zm.) równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 3 i art. 83 ust. 5 lit. a rozporządzenia 2016/679, w związku z art. 103 ustawy o ochronie danych osobowych z dnia 2018 r., za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro z dnia 28 stycznia 2019 r. (1 EUR = 4.2885 PLN) – administracyjną karę pieniężną w kwocie 201 559,50 PLN (co stanowi równowartość 47.000 EUR), według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2019 r.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Nałożona na Spółkę kara ma na celu doprowadzić do stanu, w którym Spółka zastosuje w procesie przetwarzania danych (tj. w procesie odwołania zgody) takie środki techniczne i organizacyjne, które zapewnią osobom, których dane dotyczą, skuteczne skorzystanie z ich praw.

Zastosowana kara pieniężna jest również proporcjonalna do stwierdzonych naruszeń, w tym zwłaszcza ich wagi, kręgu dotkniętych nim osób fizycznych oraz ryzyka, jakie w związku z naruszeniami osoby te ponoszą. Wysokość kary została określona na takim poziomie, aby stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora.

Wymierzona administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679, ale i prewencyjną, jako że sama Spółka, jak i inni administratorzy będą skutecznie zniechęceni do naruszania przepisów o ochrony danych osobowych w przyszłości.

Zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679.

C. Sp. z o.o. w W. wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2019 r. nr [...].

Skarżąca zarzuciła decyzji naruszenie:

1. art. 7 k.p.a., art. 8 § 1 k.p.a., art. 77 § 1 k.pa., art. 80 k.p.a., art. 107 § 3 k.p.a. – w zw. z art. 87 i art. 88 ust. 2 pkt 6 u.o.d.o. oraz w zw. z art. 5 ust. 1 lit. a i art. 5 ust. 2, art. 7 ust. 3, art. 12 ust. 2, art. 17 ust. 1 lit. b i art. 24 ust. 1 RODO, poprzez błędne ustalenie stanu faktycznego, będące następstwem:

i) pominięcia w decyzji ustaleń faktycznych zawartych w protokole z kontroli przetwarzania danych z dnia [...] lutego 2019 r. i w załączonym do niego materiale dowodowym oraz;

ii) sprzeczności tego stanu faktycznego z ustaleniami zawartymi w protokole i załączonych do niego dowodach, bez przeprowadzenia dodatkowych czynności dowodowych uzasadniających taką zmianę ustaleń faktycznych,

– co dotyczy zwłaszcza następujących okoliczności, których ocena wpłynęła na treść zawartych w decyzji rozstrzygnięć:

- w decyzji pominięto ustalenia protokołu, iż Spółka oferuje proste i skuteczne sposoby odwołania zgody na przetwarzanie danych, tj. wysłanie prośby na adres e-mail lub adres siedziby Spółki, a ponadto w decyzji błędnie zakwalifikowano mechanizm oceniany na s. 9 decyzji jako "proces odwołania zgody" oraz błędnie uznano, że Spółka nie stosuje żadnych sposobów odwołania zgody na przetwarzanie danych oprócz tego "mechanizmu" – wpływ na pkt I.a, I.1 oraz II decyzji;

- w decyzji pominięto ustalenia z Protokołu, że osoby, których dane dotyczą, zostały co najmniej dwukrotnie poinformowane o stosowanych przez Spółkę sposobach odwołania zgody – wpływ na pkt I.a, I.1 oraz II decyzji;

- organ pominął protokół w zakresie, w którym zawiera on dowody na stosowane przez Spółkę sposoby łatwego i skutecznego odwołania zgody na przetwarzanie danych, przyjmując wybiórczo, że Spółka stosuje tylko jeden sposób odwołania zgody, który organ ustalił błędnie zwłaszcza w oparciu o fragment umowy na kampanię reklamową, zawartej pomiędzy Spółką i reklamodawcą (jej kontrahentem) – wpływ na pkt I.a, I.1 oraz II decyzji;

- organ ustalił, że Spółka nie oferuje możliwości odwołania zgody przez Internet, podczas gdy Organ w protokole stwierdził, że Spółka taką możliwość oferuje i z załączonych do Protokołu dowodów wynika, że użytkownicy skutecznie z tej możliwości korzystają – wpływ na pkt I.a, I.1 oraz II decyzji;

- organ ustalił, że badany na s. 8-9 decyzji, pojedynczy e-mail reklamowy wysłany przez Spółkę inicjuje "proces odwołania zgody", podczas gdy w protokole Prezes UODO ustalił, że e-mail ten ma cel informacyjny oraz nie stwierdził, aby zamykał on drogę do odwołania zgody na przetwarzanie danych osobowych – wpływ na pkt I.a, I.1 oraz II decyzji;

- organ ustalił, że Spółka jest rzekomo odpowiedzialna za to, iż trafiają do niej z serwisów pocztowych interia.pl oraz onet.pl "puste" wiadomości e-mail, zaś w Protokole stwierdził przeciwnie, że:

- za wysyłkę tych wiadomości odpowiedzialne są wyłącznie powyższe serwisy interia.pl oraz onet.pl,

• "puste e-maile" od serwisów interia.pl oraz onet.pl są niezamówione przez Spółkę,

• Spółka interweniowała, aby powyższe serwisy zrezygnowały z godzących w Spółkę praktyk – wpływ na pkt I. b, I.2 oraz II decyzji;

- organ ustalił, że Spółka nie kasuje "pustych" e-maili z serwisów pocztowych onet.pl oraz interia.pl, podczas gdy taka okoliczność nie tylko nie wynika z materiału dowodowego, ale też jest z nim sprzeczna, skoro w Protokole stwierdzono, że Spółka nie posiada w skrzynce odbiorczej wiadomości z tych serwisów starszych niż otrzymane w dniu kontroli – wpływ na pkt l. b, I.2 oraz II decyzji;

2. art. 7 k.p.a., art. 77 § 1 k.p.a. oraz art. 80 k.p.a. w zw. z art. 7 ust. 3 RODO, poprzez błędną i dowolną ocenę materiału dowodowego, w tym w oderwaniu od oceny przedstawionej w protokole, polegającą na uznaniu, że nota informacyjna zawarta w przykładowej reklamowej wiadomości e-mail (k. 156) stanowi rzekomo etap stosowanego przez Spółkę "procesu odwołania zgody" polegającego na polegającego na wycofaniu zgody przez kliknięcie w link oraz że stosowanie tej noty i powiązanej z nią strony internetowej rzekomo uniemożliwia odwołanie zgody na przetwarzanie danych osobowych;

3. art. 7 ust. 3, art. 12 ust. 1-2, art. 17 ust. 1 lit. b RODO poprzez błędną wykładnię, polegającą na przyjęciu, że:

a) zaoferowanie przez administratora danych dwóch sposobów odwołania zgody na przetwarzanie danych, tj. wysłanie prośby na dedykowany adres e-mail lub wysłanie prośby na adres korespondencyjny, których skuteczność potwierdzono w protokole, a także co najmniej dwukrotne poinformowanie o tych sposobach odwołania zgody, co także potwierdzono w protokole, nie stoi na przeszkodzie uznaniu przez organ, że skarżąca nie wykonała obowiązku do zapewnienia przez administratora łatwego i skutecznego sposobu odwołania zgody na przetwarzanie danych osobowych;

b) w sytuacji, gdy administrator zebrał zgodę na przetwarzanie danych przez internetowy formularz, odwołanie tej zgody przez przesłanie do administratora wiadomości e-mail nie jest zapewnieniem internetowego środka odwołania zgody;

4. art. 4 pkt 1 RODO, poprzez bezpodstawne przyjęcie, że adres e-mail nadawcy "pustego listu" wysłanego do skarżącej jest "daną osobową", tj. dotyczy "możliwej do zidentyfikowania przez Skarżącą osoby fizycznej", w sytuacji, gdy Organ stwierdził, że skarżąca nie posiada żadnych dodatkowych informacji o osobie, której "list" trafia do skrzynki odbiorczej skarżącej i skarżąca nie podejmuje żadnych czynności w celu ustalenia, do kogo odnosi się taki adres e-mail;

5. art. 58 ust. 2 lit. d RODO, art. 104 § 2 k.p.a. i art. 107 § 1 pkt 5 k.p.a. w zw. z art. 7 ust. 3, art. 12 ust. 2, art. 17 ust. 1 lit. b i art. 24 ust. 1 RODO poprzez nierozstrzygnięcie w sentencji decyzji (w pkt l.a i I.1), jaki sprecyzowany czyn Spółki rzekomo narusza wskazane w pkt I.a przepisy prawa materialnego dotyczącego ochrony danych osobowych, w tym sformułowanie tego punktu decyzji w sposób wieloznaczny i niewynikający z uzasadnienia Decyzji, tj. poprzez ogólnikowe opisane czynu jako: "niewdrożenie odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą, łatwe i skuteczne wycofanie zgody na przetwarzanie swoich danych osobowych oraz realizację prawa do żądania niezwłocznego usunięcia swoich danych osobowych (prawa do bycia zapomnianym)" oraz nieskonkretyzowanie nakazu związanego z tak określonym czynem, tj. nakazu: "zmodyfikowania procesu obsługi wniosków o odwołanie zgody na przetwarzanie danych, w taki sposób, by osoby, których dane dotyczą mogły skutecznie skorzystać ze swojego prawa do wycofania zgody oraz prawa do bycia zapomnianym";

6. art. 58 ust. 2 lit. d RODO, art. 104 § 2 i art. 107 § 1 pkt 5 k.p.a. oraz art. 8 § 1 i art. 11 k.p.a. poprzez sformułowanie sentencji decyzji w pkt l.b oraz I.2 z użyciem potocznych pojęć (odnoszenie się do danych osób, które "nie są klientami" Spółki), co nie pozwala ustalić jednoznacznie działań, które powinny być podjęte przez Spółkę na podstawie tak błędnie sformułowanego rozstrzygnięcia;

7. art. 107 § 1 pkt 6 i art. 107 § 3 k.pa. poprzez zawarcie w uzasadnieniu decyzji nadmiarowych ustaleń i ocen dotyczących tego, czy "pusty list" trafiający na adres Spółki jest żądaniem usunięcia danych osobowych, w sytuacji, gdy rozstrzygnięcie (pkt l.b oraz I.2 decyzji) dotyczące przedmiotowych "pustych listów" związane jest z oceną zupełnie innego zagadnienia prawnego, tj. weryfikacji, czy adres e-mail nadawcy takiego listu jest daną osobową oraz czy Spółka przetwarza przedmiotowe dane;

8. art. 58 ust. 2 lit. d RODO, art. 104 § 2 i art. 107 § 1 pkt 5 i 6 k.p.a. poprzez nakazanie skarżącej zmodyfikowania procesu odwołania zgody, na taki, który skarżąca już realizuje, co zostało potwierdzone w protokole – tj. poprzez zapewnienie możliwości odwołana zgody na przetwarzanie danych przez Internet (k. 103-106, k. 155);

9. art. 83 ust. 1, ust, 2, ust. 3 i ust.5 RODO w zw. z art. 6 ust. 1 i 2 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności zawartej w Rzymie 4 listopada 1950 r. dalej jako "EKPC") oraz art. 47 i 48 Karty Praw Podstawowych Unii Europejskiej (dalej "KPP UE") i w zw. z art. 101 u.o.d.o. oraz art. 7, art. 8 § 1 i art. 107 § 3 k.p.a. w zw. z art. 72 u.o.d.o. oraz w zw. z art. 5 ust. 1 lit. a) RODO, art. 6 ust. 1 RODO, art. 7 ust. 3 RODO, art. 12 ust. 2 RODO, art. 17 ust. 1 lit. b) RODO oraz art. 24 ust. 1 RODO, poprzez brak określenia wysokości kary pieniężnej nałożonej na Skarżącą w odniesieniu do poszczególnych rzekomych naruszeń (czynów) wskazanych w pkt. l.a) i l.b) Decyzji, co jest równoznaczne z niewskazaniem przez Prezesa UODO przesłanek do nałożenia owej kary i prawidłowego wymierzenia jej wysokości i co jednocześnie uniemożliwia stwierdzenie adekwatności i proporcjonalności wymierzonej kary do rzekomych naruszeń (czynów) Skarżącej podlegających karze i świadczy tym samym o naruszeniu standardów postępowania w sprawach nałożenia na przedsiębiorcę sankcji administracyjnej analogicznych do standardów obowiązujących w sprawie karnej;

10. art. 83 ust. 1, ust. 2, ust. 3 i ust. 5 RODO oraz art. 6 EKPC i art. 47 i 48 KPP UE w zw. z art. 101 u.o.d.o., jak również art. 7, art. 8 § 1, art. 77 § 1, art. 78, art. 80 i art. 107 § 3 k.p.a. w zw. z art. 72 u.o.d.o. oraz w zw. z art. 5 ust. 1 lit. a) RODO, art. 6 ust. 1 RODO, art. 7 ust. 3 RODO, art. 12 ust. 2 RODO, art. 17 ust. 1 lit. b) RODO oraz art. 24 ust. 1 RODO, poprzez:

- nałożenie na skarżącą kary pieniężnej w braku ustalenia okoliczności świadczących o zaistnieniu przesłanek uzasadniających jej nałożenie;

- błędne określenie wysokości kary pieniężnej nałożonej na skarżącą w związku z wadliwym uwzględnieniem rzekomych okoliczności wpływających obciążająco na wymiar nałożonej kary, przy jednoczesnym błędnym pominięciu szeregu okoliczności łagodzących, które powinny mieć wpływ na wymiar kary, a także poprzez

- brak prawidłowego uzasadnienia rozstrzygnięcia o nałożeniu kary pieniężnej oraz jej wysokości,

a to zwłaszcza w związku z:

a) nałożeniem kary pieniężnej za niedookreślone (niesprecyzowane) naruszenia (czyny);

b) niewskazaniem oraz brakiem rzeczowego uzasadnienia, czy i dlaczego Prezes uznał, iż nałożenie administracyjnej kary pieniężnej było w każdym indywidualnym przypadku (w odniesieniu do każdego z zarzucanych skarżącej rzekomych naruszeń - czynów, o których mowa w pkt. I. a) i b) Decyzji) "skuteczne, proporcjonalne i odstraszające" oraz dlaczego okoliczności każdego z zarzucanych Skarżącej naruszeń rzekomo przesądzały o konieczności nałożenia takiej kary;

c) brakiem ustalenia i rozważenia przesłanek nałożenia kary (okoliczności obciążających i łagodzących), o których mowa w art. 83 ust. 2 RODO, odrębnie w odniesieniu do poszczególnych rzekomych (naruszeń) skarżącej wskazanych w pkt. I. a) i b) Decyzji;

d) pominięciem milczeniem w ramach decyzji o nałożeniu kary oraz o określeniu jej wysokości: .

i) czasu trwania rzekomych naruszeń (czynów) Skarżącej;

ii) kategorii danych osobowych, których dotyczyły rzekome naruszenia;

iii) charakteru, zakresu i celu danego przetwarzania;

(iv) stopnia odpowiedzialności Skarżącej jako administratora z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;

e) bezpodstawnym pominięciem okoliczności łagodzących, świadczących zarówno o braku podstaw do nałożenia na Skarżącą kary co do zasady, jak i o nadmiernym wymiarze nałożonej kary, to jest okoliczności, iż:

i) brak jest dowodów wskazujących na uzyskanie przez Skarżącą jakichkolwiek korzyści finansowych, jak i uniknięcie strat w związku z rzekomym naruszeniem lub naruszeniami;

ii) w toku przeprowadzonej kontroli i w toku dalszego postępowania miała miejsce "dobra współpraca [z Prezesem UODO] ze strony Spółki";

iii) brak jest dowodów, aby osoby, których dane dotyczą, doznały jakichkolwiek szkód majątkowych, w związku z domniemanym naruszeniem lub naruszeniami;

iv) nie zostało stwierdzone, aby Skarżąca uprzednio dopuściła się jakichkolwiek naruszeń przepisów RODO;

f) błędnym uznaniem, iż o rzekomej "umyślności" domniemanego naruszenia, polegającego na niezapewnieniu osobom, których dane dotyczą, łatwego skorzystania z ich prawa do wycofania zgody na przetwarzani! danych oraz prawa do usunięcia danych, świadczy fakt, że "Spółka posiada wiedzę, że proces odwołania zgody powinien być łatwy, powinien przebiegać w sposób prosty i skuteczny";

g) bezpodstawnym i w żaden sposób nieuzasadnionym przez Prezesa UODO stwierdzeniem, iż krąg osób dotkniętych rzekomym naruszeniem przez Skarżącą prawa do usunięcia danych (prawa do bycia zapomnianym) obejmuje "dane osobowe 2.190.689 osób" (tj. wszystkich osób znajdujących się w bazie danych Skarżącej), podczas gdy nawet gdyby przyjąć, że takie hipotetyczne naruszenie miało miejsce (czemu skarżąca przeczy), to w świetle ustaleń samego Organu mogłoby ono dotyczyć co najwyżej osób, do których skierowano korespondencję w ramach listu reklamowego poddanego ocenie Organu;

h) nieuzasadnionym arbitralnym przyjęciem, że do rzekomych naruszeń (czynów) doszło "w ramach tych samych lub powiązanych operacji przetwarzania" w rozumieniu art. 83 ust. 3 RODO, bez wskazania, jakie operacje przetwarzania Prezes UODO ma na myśli, jak również bez określenia, czy Organ uznaje, że są to "te same", czy też, że są to "powiązane" operacje przetwarzania oraz z jakich względów tak przyjmuje.

11. art. 83 ust. 1, ust. 2, ust. 3 i ust. 5 RODO w zw. z art. 101 u.o.d.o. oraz art. 107 § 3 k.p.a. w zw. z art. 72 u.o.d.o., poprzez nałożenie administracyjnej kary pieniężnej w wysokości rażąco wygórowanej, nieadekwatnej i nieproporcjonalnej do stwierdzonych rzekomych naruszeń, tj. kary pieniężnej o równowartości blisko 20% przychodów netto Spółki za poprzedni rok obrotowy za rzekome uchybienia dotyczące pobocznych okoliczności, których znaczenie i skala w kontekście działalności Skarżącej jest marginalna, a także poprzez zaniechanie jakiegokolwiek rzeczowego uzasadnienia dla nałożenia kary pieniężnej w takiej wysokości.

Skarżąca Spółka wniosła o uchylenie zaskarżonej decyzji w całości oraz orzeczenie o kosztach postępowania sądowego.

W odpowiedzi na skargę organ wniósł o jej oddalenie.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz.U. z 2021 r., poz. 137, dalej: "P.u.s.a" oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2019 r., poz. 2325), dalej "P.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej.

W myśl art. 134 § 1 P.p.s.a., sąd rozstrzyga w granicach danej sprawy, nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawa prawną, z zastrzeżeniem art. 57a. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba, że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności (§ 2).

Skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie.

Przedmiotem kontroli Sądu jest decyzja Prezesa UODO z dnia [...] października 2019 r. nr [...] stwierdzająca naruszenie przez C. Sp. z o.o. z siedzibą w W. wskazanych w części historycznej przepisów rozporządzenia 2016/679 poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą, łatwe i skuteczne wycofanie zgody na przetwarzanie swoich danych osobowych oraz realizacje prawa do żądania niezwłocznego usunięcia swoich danych osobowych, a także przetwarzanie bez podstawy prawnej danych osób, które nie są klientem Spółki, a od których Spółka otrzymała żądanie zaprzestania przetwarzania danych osobowych, a ponadto nakazująca Spółce zmodyfikowanie procesu obsługi wniosków odwołanie zgody na przetwarzanie danych i usunięcia danych osobowych osób, które nie są klientami Spółki, a od których Spółka otrzymała żądanie zaprzestania przetwarzania danych osobowych i wymierzająca Spółce administracyjną karę pieniężną w kwocie 201.559,50 PLN.

Podstawę prawną zaskarżonej decyzji stanowiły w szczególności przepisy ogólnego rozporządzenia o ochronie danych, w tym art. 57 ust. 1 , zgodnie z którym bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a) prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (lit. h).

Instrumentem do realizacji zadań określonych w art. 57 ww. rozporządzenia są w szczególności uprawnienia naprawcze, o których mowa w art. 58 ust. 2, w tym nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu (lit. d) oraz uprawnienia do zastosowania, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy (lit. i).

Przepis art. 5 ogólnego rozporządzenia o ochronie danych statuuje katalog podstawowych zasad dotyczących przetwarzania danych osobowych. Jak podkreśla się w piśmiennictwie, zasady te mają charakter dyrektyw interpretacyjnych, zgodnie z którymi należy dokonywać wykładni poszczególnych przepisów. Z tego względu przypisuje się im moc nadrzędną w stosunku do pozostałych przepisów o ochronie danych osobowych. Zasady te określają obowiązki skierowane do administratorów danych. Koleratem nałożonych na administratorów obowiązków, zaliczanych do zasad przetwarzania danych, są określone przez prawodawcę unijnego sankcje za ich naruszenie, przede wszystkim w postaci administracyjnych kar pieniężnych.

Podstawową zasadą przetwarzania danych osobowych jest zasada rozliczalności określona w art. 5 ust. 2 rozporządzenia. Przepis ten stanowi, że administrator danych jest odpowiedzialny za przestrzeganie wszystkich zasad przy przetwarzaniu danych osobowych (wymienionych w art. 5 ust. 1) i musi być w stanie wykazać ich przestrzeganie. Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych.

Realizacji zasady rozliczalności służy zasada rzetelności i legalności oraz zasada przejrzystości wyrażone w art. 5 ust. 1 lit. a) rozporządzenia. Zgodnie z treścią tego przepisu dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Wymóg przetwarzania danych zgodnie z prawem oznacza zarówno konieczność spełnienia przesłanek legalności przetwarzania danych, jak również zapewnienie zgodności z pozostałymi przepisami o ochronie danych osobowych. Wymóg rzetelności odnosi się natomiast do wartości moralnych oraz do kryterium społecznej akceptacji operacji przetwarzania danych.

Przechodząc do kolejnych przepisów rozporządzenia wskazanych przez organ jako podstawa rozstrzygnięcia, wyjaśnić należy, iż przepis art. 7 ust. 3 rozporządzenia stanowi o prawie do wycofania udzielonej wcześniej zgody na przetwarzanie danych. Uprawnienie to wynika z istoty i charakteru prawnego zgody, ponieważ prawo do ochrony danych osobowych jest prawem o charakterze osobistym, ściśle związanym z osobą, której przysługuje. Nierozerwalny związek tego prawa z konkretną osobą skutkuje tym, że zgoda nie może przybrać charakteru rozporządzenia, które spowodowałoby trwałe przeniesienie lub wygaśnięcie tego prawa (por. P. Fajgielski, "Podstawy prawne dopuszczalności przetwarzania danych osobowych" [w:] Studia z prawa publicznego , t. 1, Współczesne problemy prawa publicznego, red. S. Fundowicz, Lublin 1999, s. 116; szerzej także P. Fajgielski, "Zgoda na przetwarzanie danych osobowych" [w:] Ochrona danych osobowych. Aktualne problemy i nowe wyzwania, red. G. Sibiga, X. Konarski, Warszawa 2007, s.41-60). Wycofanie zgody nie ma mocy wstecznej i – jak stanowi ust. 7 ust. 3 zd. drugie UODO nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Oświadczenie o odwołaniu zgody odnosi skutek ex nunc, a więc na przyszłość, od momentu złożenia go administratorowi.

Nowym wymogiem, jaki odnośnie do zgody na przetwarzanie danych osobowych wprowadzają przepisy rozporządzenia, jest obowiązek poinformowania osoby, której dane dotyczą, o prawie do wycofania zgody, zanim ją wyrazi Jak wyjaśniają komentatorzy wymóg taki został wprowadzony, aby zwiększyć świadomość osób, których dane dotyczą, co do przysługujących im uprawnień związanych z ochroną danych W praktyce osoby, których dane dotyczą, dotychczas stosunkowo rzadko korzystały z możliwości odwołania wcześniej wyrażonej zgody, nie wiedząc o tym, że tego rodzaju uprawnienie im przysługuje.

Nowy wymóg oznacza rozszerzenie obowiązku informacyjnego i konieczność podania wśród innych informacji, wymaganych na podstawie art. 13 rozporządzenia, również informacji dotyczących możliwości wycofania zgody na przetwarzanie danych. (tak Paweł Fajgielski "Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych Ustawa o ochronie danych osobowych. Komentarz" WKP 2018, stan prawny 1 lipca 2018 r. LEX Omega jak, komentarz do art. 7 tezy 9 i 10).

Kolejnym wymogiem dotyczącym zgody jest nałożony na administratorów obowiązek zapewnienia osobie, której dane dotyczą, możliwości wycofania zgody w sposób równie łatwy jak jej wyrażenie. Oznacza to, że jeżeli oświadczenie o zgodzie zostało złożone z wykorzystaniem papierowego formularza, to administrator powinien zapewnić możliwość wycofania zgody także przy użyciu formularza papierowego. Zawarte w komentowanym przepisie sformułowanie "równie łatwe" pozwala przyjąć, iż administrator ma tu swobodę wyboru sposobu, w jaki zapewni osobie, której dane dotyczą, możliwość realizacji cofnięcia zgody, może przewidzieć łatwiejszy sposób jej wycofania niż wyrażenia, natomiast nie może ograniczać tego uprawnienia, przyjmując rozwiązania, które utrudniałyby złożenie oświadczenia o wycofaniu zgody, gdyby złożenie oświadczenia o wycofaniu zgody byłoby trudniejsze niż złożenie oświadczenia o wyrażeniu zgody.

Wskazane tu rozwiązania prawne (informowanie o prawie do wycofania zgody oraz wymóg, aby wycofanie było równie łatwe co wyrażenie zgody) muszą pociągnąć za sobą zmiany w praktyce przetwarzania danych. Administratorzy, którzy uzyskiwali zgodę przed rozpoczęciem stosowania rozporządzenia, zazwyczaj nie informowali podmiotów danych o prawie do wycofania zgody ani nie stwarzali możliwości łatwego wycofania zgody, gdyż obowiązujące wówczas przepisy nie przewidywały takich wymogów. Pociąga to za sobą konieczność poinformowania osób, których dane dotyczą, o tych nowych uprawnieniach, które zostały im przyznane na mocy przepisów komentowanego rozporządzenia (tak. P. Fajgielski, op. cit, Komentarz do art. 7 teza 11).

Z kolei art. 12 ust. 2 rozporządzenia nakłada na administratora danych obowiązek ułatwienia osobie, której dane dotyczą, wykonywania uprawnień określonych w przepisach art. 15-22 w tym prawa do usunięcia danych (art. 17 rozporządzenia). Prawodawca nie precyzuje, na czym konkretnie miałoby polegać to ułatwienie, dlatego można przyjąć, iż sposób realizacji tego wymogu pozostawiony został administratorowi, choć pewnych wskazówek w tym zakresie dostarcza dalsza treść tego przepisu, jak również kolejne przepisy odnoszące się do realizacji poszczególnych uprawnień. Bez wątpienia taka konstrukcja wskazuje również na to, że administrator nie może utrudniać realizacji uprawnień podmiotom danych. (tak P. Fajgielski, op.cit., Komentarz do art. 12 teza 7).

Wypada wreszcie zauważyć, iż w motywie 59 preambuły wyjaśniono "Należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania – i gdy ma to zastosowanie bezpłatnego uzyskiwania – w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki – najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania – podać tego przyczyny".

Należy także podkreślić, iż przesłanką, wskazaną w art. 17 ust. 1 lit. b rozporządzenia, która uprawnia podmiot danych do żądania od administratora usunięcia danych, jest wycofanie zgody na przetwarzanie danych, w sytuacji gdy administrator nie ma innej podstawy prawnej, na której mógłby oprzeć przetwarzanie danych. Jeżeli osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych , to ma prawo w dowolnym momencie wycofać zgodę jak stanowi art. 7 ust. 3 rozporządzenia. Wycofanie zgody powinno skutkować zaprzestaniem przetwarzania danych w zakresie, w jakim przetwarzanie opiera się na zgodzie. Jeżeli administrator, pomimo wycofania zgody, nie zaprzestał przetwarzania danych, to osoba, której dane dotyczą, może żądać dopełnienia tego obowiązku, a administrator ma obowiązek niezwłocznie usunąć dane.

Przenosząc powyższe rozważanie na grunt rozpatrywanej sprawy, stwierdzić należy, iż Prezes Urzędu Ochrony Danych Osobowych zasadnie uznał, iż stosowany przez skarżącą Spółkę proces odwoływania zgody skutkuje naruszeniem art. 7 ust. 3, art. 12 ust. 2 i art. 17 ust. 1 lit. b rozporządzenia 2016/679.

Zdaniem Sąd stosowany przez skarżącą Spółkę sposób postępowania w procesie odwołania zgody na przetwarzanie uprzednio pozyskanych przez Spółkę danych osobowych nie spełnia kryteriów prostego i szybkiego odwołania zgody i stanowi naruszenie art. 7 ust. 3, a także art. 12 ust. 2 oraz art. 17 ust. 1 lit. b rozporządzenia 2016/679.

Do osób odwołujących zgodę Spółka kieruje sprzeczne ze sobą komunikaty, jak wykazało postępowanie administracyjne prowadzone w tej sprawie. Osoba odwołująca zgodę, po otrzymaniu od skarżącej Spółki komunikatu "Pani odwołanie zgody dziś 13.02.2019 r.!" ma pełne podstawy by sądzić, że zgodę swoją skutecznie odwołała. Do odwołania zgody jednak nie dochodzi. Spółka po wysłaniu ww. komunikatu, kieruje do tej samej osoby komunikat, w którym informuje o sposobie skutecznego odwołania zgody.

Takie działanie administratora danych trafnie zostało uznane przez organ za mylące i wprowadzające w błąd osoby zamierzające skorzystać z prawa do odwołania zgody, a w rezultacie naruszające zasady przejrzystości i rzetelności, o których mowa w art. 5 ust. 1 lit. a rozporządzenia 2016/679.

Ponadto jak wykazało postępowanie dowodowe, Spółka w procesie odwoływania zgody pozyskuje informacje dotyczące przyczyny odwołania zgody. Brak odpowiedzi na pytanie o przyczyny odwołania zgody uniemożliwia osobie, której dane dotyczą, skuteczne odwołanie zgody, gdyż przerywa proces odwołania zgody.

Co więcej, wskazanie przyczyny również nie skutkuje odwołaniem zgody. Spółka po otrzymaniu odpowiedzi co do przyczyny odwołania zgody dalej kontynuuje proces odwołania zgody, przekazując osobie zainteresowanej sprzeczne komunikaty. Działanie skarżącej Spółki w tym zakresie przebiega według następującego schematu: kliknięcie w link "odwołanie zgody" skutkuje tym, że 1) użytkownik przekierowywany jest na stronę internetową gdzie znajduje się za pytanie o przyczynę rezygnacji z otrzymywanie reklam drogą e-mailową (z dwoma zdefiniowanymi odpowiedziami: "A: otrzymuję reklamy, które mnie nie interesują", "B: otrzymuję reklamy za często"); 2) po udzieleniu odpowiedzi na ww. pytania użytkownik przekierowywany jest na kolejną stronę, na której pojawia się komunikat następującej treści: "Pani odwołanie zgody dziś 13.02.2019!". Pod tym komunikatem znajduje się zapis: "dziękuję za odpowiedź! W takiej sytuacji informuje, że przysługuje pani prawo dostępu do danych, ich usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu, żądania sprostowania oraz cofnięcia zgód w każdym czasie pod adresem [...]; W tym również prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Z mojej strony to wszystko. P. M.".

Nie ulega wątpliwości, zdaniem Sądu, iż pytanie osoby, której dane dotyczą, o przyczyny wycofania zgody jest pozbawione jakiejkolwiek podstawy prawnej i jest działaniem umyślnym mającym na celu utrudnienie czy wręcz uniemożliwienie realizacji praw osób, których dane dotyczą. Takie działanie stanowi jednocześnie naruszenie zasady zgodności z prawem, przejrzystości i rzetelności przetwarzania danych, o których mowa w art. 5 ust. 1 lit. a rozporządzenia 2016/679.

Skarżąca Spółka nie wypełnia też obowiązku wynikającego z art.12 ust. 2 rozporządzenia 2016/679, gdyż nie tylko nie ułatwia, a wręcz utrudnia osobom, których dane dotyczą, skorzystanie z prawa do usunięcia danych osobowych uregulowanego w art. 17 ust. 1 lit. b tegoż rozporządzenia, co potwierdza opisany powyżej schemat działania. Z tego też powodu zarzuty naruszenia art. 5 ust. 1 lit. a, art. 5 ust. 2, art. 7 ust. 3, art. 12 ust. 2 i art. 17 ust. 1 lit. b rozporządzenia 2016/679 nie mogą odnieść zamierzonego skutku. Sąd nie podzielił też poglądu strony skarżącej co do błędnej wykładni art. 7 ust. 3, art. 12 ust. 1-2 i art. 17 ust. 1 lit. b rozporządzenia 2016/679 zawartego w zarzucie 3 skargi. W istocie zarzut ten dotyczy błędu subsumpcji a nie błędnej wykładni prawa. Skarżąca nie wskazuje zresztą, formując ten zarzut, jaka winna być – w jej ocenie – prawidłowa wykładnia tych przepisów. Dlatego też zarzut ten nie zasługuje na uwzględnienie.

Należy również podzielić pogląd organu, iż Spółka nie zastosowała odpowiednich środków technicznych i organizacyjnych, które umożliwiłyby osobom, których dane dotyczą, skuteczne skorzystanie z ich praw, jak stanowi art. 24 ust. 1 rozporządzenia 2016/679. W procesie odwołania zgody skarżąca nie uwzględniła zasady stanowiącej, że wycofanie zgody powinno być równie łatwe jak jej wyrażenie, stosownie do art. 7 ust. 3 rozporządzenia 2016/679.

Podkreślić raz jeszcze należy, iż proces odwołania zgody powinien przebiegać w sposób łatwy, nieskomplikowany i za pomocą tego samego kanału w informacyjnego, za pomocą którego pozyskano zgodę (w tym przypadku za pomocą Internetu). To Skarżąca jako administrator danych ponosi odpowiedzialność za to, że w procesie cofnięcia zgody stosowane jest nieskutecznie działające narzędzie, tj. przycisk: "[...]" zamieszczony w witrynach internetowych. To nieskuteczne narzędzie doprowadza do zjawiska około 10 000 dziennie tzw. "pustych e-mail", ponieważ osoby, które używają tego przycisku w celu odwołania zgody, nie mogą zrealizować skutecznie prawa do bycia zapomnianym.

Zdaniem Sądu organ trafnie również ocenił działania Spółki co do wniosków osób, nie będących jej klientami, a dotyczących zaprzestania przetwarzania ich danych osobowych przez inne niż Spółka podmioty.

Skoro Spółka nie prowadzi – jak ustalono w toku postępowania z tymi osobami – żadnej korespondencji, to nie sposób uznać za zgodne ze stanem faktycznym twierdzenie skarżącej, że dane tych osób przetwarza w celu obsługi korespondencji. Dlatego też Spółka – po ustaleniu, że żadnych informacji o danej osobie dotychczas nie posiadała – winna te dane usunąć z uwagi na brak podstaw prawnych do dalszego ich przetwarzania. Rozstrzygnięcie zawarte w pkt. I. 2) decyzji odpowiada zatem prawu.

Zgodnie z art. 83 ust.1 rozporządzenia o ochronie danych, każdy organ nadzorczy zapewnia by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. W myśl art. 83 ust. 2 rozporządzenia, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których w art. 58 ust. 2 lit. a)-h) oraz lit. j). Decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, należy zwrócić w każdym indywidualnym przypadku należytą uwagę na: stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych na mocy art. 25 i 32 (lit. d); wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, tak jak np. osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Z treści zaskarżonej decyzji wynika, że Prezes UODO rozważył przesłanki określone w wyżej wymienionych przepisie i uzasadnił w sposób wystarczający przyjęte stanowisko. Organ wskazał okoliczności decydujące o nałożeniu administracyjnej kary pieniężnej oraz przesłanki mające wpływ na jej wysokość, a mianowicie elementy związane z działaniami stanowiącymi naruszenie ogólnego rozporządzenia o ochronie danych, zachowanie strony skarżącej jako administratora danych przed oraz po ocenianym naruszeniu, skutki naruszenia, a także jego umyślny charakter. W konsekwencji określił wysokość kary na takim poziomie, aby stanowiła ona adekwatną reakcję organu nadzorczego na stopień naruszenia.

W ocenie Sądu organ w sposób należyty wyważył dyrektywy nałożenia oraz wysokości administracyjnej kary pieniężnej w analizowanym przypadku. Brak jest zatem podstaw do uznania, że kara jest rażąco wygórowana, czy też nieadekwatna do stopnia przewinienia.

Należy zauważyć, iż Prezes UODO ustalając wysokość kary pieniężnej, przyjął trafnie, w ocenie Sądu, że naruszenia prawa jakich dopuściła się Spółka, miały charakter umyślny, a jednocześnie nie wystąpiły żadne okoliczności łagodzące mogące mieć wpływ na ostateczny wymiar kary. Deklaracja skarżącej o zmianie komunikatu "Pani odwołanie zgody dziś 13.02.2019" na komunikat "Informacja o sposobie odwołania Pani zgody" nie została potwierdzona żadnymi dodatkowymi dowodami. Sam zamiar podjęcia dodatkowych działań przez skarżącą w celu usunięcia naruszenia prawa nie stanowi, jak słusznie stwierdził organ, okoliczności łagodzącej.

W świetle powyższego nie może odnieść zamierzonego skutku zarzut skargi naruszenia art. 83 ust. 1 ust. 2 i ust. 5 rozporządzenia 2016/679 oraz art. 6 EKPC poprzez nałożenie kary pieniężnej w sytuacji braku ustalenia okoliczności świadczącej o zaistnienia przesłanek uzasadniających jej nałożenie, błędne określenie wysokości kary pieniężnej w związku z wadliwym ustaleniem okoliczności obciążających i pominięciem okoliczności łagodzących, brak prawidłowego uzasadnienie rozstrzygnięcia o nałożeniu kary pieniężnej oraz jej wysokości, a także o nałożeniu administracyjnej kary pieniężnej w wysokości rażąco wygórowanej i nieproporcjonalnej do stwierdzonych uchybień. Uchybienia, których dopuściła się Spółka, nie są uchybieniami drobnymi i dotyczą działalności Spółki polegającej na realizacji zamówień na prowadzenie marketingu i kampanii reklamowych na rzecz innych podmiotów. Skarżąca Spółka zawiera umowy zlecenia z podmiotami trzecimi na prowadzenie kampanii marketingowych i wykorzystuje przy realizacji takiej umowy dane osobowe, które sama wcześniej pozyskała od uczestników organizowanych przez siebie konkursów, w tym głównie o nazwie "Najszybszy – wygrywa", i jest zobligowana podczas takiej działalności brać pod uwagę przywołane powyżej przepisy rozporządzenia 2016/679.

Nieprzestrzeganie podstawowych zasad zawartych w rozporządzeniu 2016/679, w tym prawa do usunięcia danych, o którym mowa w art. 17 ust. 1 lit. b rozporządzenia oraz zasady przejrzystości i rzetelności uregulowanej w art. 5 ust. 1 lit. a rozporządzenia, a także krąg osób dotkniętych naruszeniem (ponad 2 mln osób) przemawiają za oceną poważnego charakteru naruszeń, a co za tym idzie, za uznaniem, że zastosowana administracyjna kara pieniężna spełnia funkcje, o których mowa w art. 83 ust. 1 rozporządzenia.

Dodać też należy, iż Sąd nie dopatrzył się takich naruszeń przepisów postępowania, które mogłyby mieć istotny wpływ na wynik sprawy. Dlatego też Sąd nie uwzględnił podniesionych w skardze zarzutów naruszenia art. 7, art. 8 § 1, art. 80, art. 107 § 3, art. 104 § 2, art. 107 § 1 pkt 5, art. 104 § 2, art. 11, art. 107 § 1 pkt 6 oraz art. 78 k.p.a. Postępowanie administracyjne, zdaniem Sądu, było prowadzone rzetelnie, a strona miała możliwość złożenia obszernych wyjaśnień. Uzasadnienie decyzji z kolei zawiera wszelkie wymagane prawem elementy, a w szczególności wyjaśniona została w sposób obszerny podstawa prawna rozstrzygnięcia, przytoczone zostały kluczowe dla sprawy przepisy, przedstawiono stan faktyczny sprawy oraz dokonano subsumcji tego stanu faktycznego pod określone normy prawne. Także rozstrzygnięcie zawarte w zaskarżonej decyzji jest zrozumiałe, jasne i odpowiada wymaganiom prawa, wbrew zarzutom skargi.

Mając na względzie powyższe, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w sentencji.



Powered by SoftProdukt