Aktualny

(I SA/WA 857/09)

Dodano: 21 października 2009
Wyrok
Wojewódzkiego Sądu Administracyjnego
w Warszawie
z dnia 21 października 2009 r.
I SA/WA 857/09

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym:

Przewodniczący:
Sędzia WSA Iwona Dąbrowska
Sprawozdawca:
Sędzia WSA Eugeniusz Wasilewski
Sędzia WSA Sławomir Antoniuk
Protokolant:
Monika Michnik - Misterek

 

po rozpoznaniu na rozprawie w dniu 21 października 2009 r. sprawy ze skargi S. (Spółka Akcyjna) [...] z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2009 r. nr [...] w przedmiocie przetwarzania danych osobowych

 

oddala skargę

Uzasadnienie

L. R. zwrócił się do Generalnego Inspektora Ochrony Danych osobowych ze skargą na przetwarzanie przez S. S.A. Oddział w Polsce z siedzibą w W., jego danych osobowych w celach marketingowych. Generalny Inspektor Ochrony Danych Osobowych wszczął w sprawie postępowanie administracyjne i w jego toku dokonał następujących ustaleń: Bank pozyskał dane osobowe L. R. w dniu [...] września 2006 r. Skarżący wypełnił wniosek o wydanie karty kredytowej i we wniosku tym wyraził zgodę na przetwarzanie jego danych osobowych w celu wykonania umowy oraz w celach związanych z marketingiem usług oferowanych przez Bank oraz podmioty współpracujące z Bankiem. W tym samym dniu została zawarta umowa o kartę kredytową między Bankiem a skarżącym.

Pismem z dnia 8 stycznia 2008 r. skarżący poinformował Bank, że nie wyraża zgody na przetwarzanie jego danych osobowych w celach marketingowych. Bank w wyjaśnieniach z dnia 10 czerwca 2008 r. potwierdził otrzymanie ww. pisma wskazując, że na jego podstawie zaprzestał przetwarzania danych osobowych skarżącego w celach marketingowych z dniem 18 stycznia 2008 r. Poinformował natomiast, że w związku z wykonywaniem umowy kredytowej do skarżącego są wysyłane "comiesięczne zestawienia transakcji wraz z ofertami dotyczącymi umowy". Po tej dacie skarżący w dalszym ciągu otrzymywał oferty reklamowe Banku. Na dowód powyższego skarżący przesłał do akt sprawy skierowaną do niego ofertę z dnia 11 lipca 2008 r. reklamującą możliwość uzyskania "[...]" na wydatki wakacyjne. Pismo skierowane do skarżącego nosi podpis Kierownika ds. marketingu Banku i stwierdza: "Lipiec w pełni, lato kusi do wyjazdu. Pozwólmy sobie na odrobinę szaleństwa (...) warto wykorzystać możliwość [...] z wygodną ofertą wypłaty z konta karty w pełni! (...). By szybko uzyskać dodatkową gotówkę na wakacyjne wydatki, wystarczy jeden telefon i minimum [...] zł zostanie przekazane przelewem na wskazane konto lub przekazem pocztowym pod wskazany adres".

W tym stanie faktycznym sprawy, decyzją z dnia [...] września 2008 r. znak: [...] Generalny Inspektor Ochrony Danych Osobowych nakazał Bankowi przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych L. R. poprzez zaprzestanie ich przetwarzania w celach marketingowych. Organ, powołując jako podstawę rozstrzygnięcia art. 32 ust. 1 pkt 8 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 ze zm.), wskazał, iż Bank po otrzymaniu sprzeciwu skarżącego powinien był zaprzestać przetwarzania danych osobowych w celach marketingowych.

Tymczasem Bank, wbrew wyjaśnieniom, że od dnia 18 stycznia nie przetwarza danych skarżącego w celach marketingowych, a jedynie w związku z wykonywaniem umowy kredytowej, przesyła comiesięczne zestawienia transakcji wraz z fakturami dotyczącymi umowy, przesyła również oferty reklamujące inne produkty Banku, jak przykładowo oferta pożyczki na wydatki wakacyjne tzw. "[...]".

We wniosku o ponowne rozpatrzenie sprawy Bank zarzucił powyższej decyzji: naruszenie art. 23 ust 1 pkt 1 i art. 7 pkt 5 ustawy o ochronie danych osobowych w związku z art. 61 § 1 Kodeksu cywilnego poprzez pominięcie okoliczności, iż skarżący wyraził zgodę na przetwarzanie danych osobowych w celu marketingowym, zaś dane osobowe skarżącego, w zakresie objętym zaskarżoną decyzją, przetwarzane są na podstawie zgody wyrażonej przez skarżącego we wniosku kredytowym oraz naruszenie art. 7, art. 77 § 1 i art. 80 Kodeku postępowania administracyjnego, wyrażające się w błędnym ustaleniu stanu faktycznego poprzez stwierdzenie, iż korespondencja dotycząca "[...]" dotyczy innego produktu Banku niż ten, którego dotyczy umowa o kartę kredytową zawarta przez Bank i skarżącego, oraz że ma charakter marketingowy, podczas gdy jest to korespondencja związana z wykonywaniem umowy o kartę kredytową przez Bank. Ponadto zarzucił naruszenie art. 23 ust 1 pkt 3 ustawy o ochronie danych osobowych poprzez niezastosowanie tego przepisu i art. 23 ust. 1 pkt 5 poprzez jego błędne zastosowanie, wyrażające się w stwierdzeniu, iż podstawą przetwarzania danych jest uzasadniony interes administratora danych osobowych (marketing bezpośredni produktów Banku), podczas gdy przetwarzanie danych następuje w zakresie koniecznym do wykonywania umowy o kartę kredytową zawartej przez Bank i skarżącego.

Po ponownym rozpatrzeniu sprawy Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] marca 2009 r. nr [...] utrzymał w mocy swoje rozstrzygnięcie. Organ podkreślił, iż podstawową kwestią konieczną dla rozstrzygnięcia sprawy jest ustalenie, czy korespondencja, której ona dotyczy, miała charakter marketingowy, a co za tym idzie, czy dane osobowe skarżącego były przetwarzane przez Bank w celach marketingowych. W tym zakresie Generalny Inspektor podtrzymał swoje stanowisko zawarte w poprzednio wydanej decyzji.

W ocenie Generalnego Inspektora Ochrony Danych Osobowych kierowane do skarżącego przesyłki dotyczące "[...]" posiadały charakter marketingowy. Fakt, iż powyższa korespondencja miała związek z posiadaną przez skarżącego kartą kredytową, co podnosi Bank w swoich wyjaśnieniach, nie może mieć wpływu na zmianę oceny jej charakteru. W przeciwnym wypadku prowadziłoby to do nieuzasadnionego wniosku, że nie jest możliwe reklamowanie nowych usług, związanych ze sprzedanym już produktem.

Celem ofert wysyłanych do skarżącego było nakłonienie do korzystania z kredytu dostępnego w karcie kredytowej. Na reklamowy charakter otrzymywanych przez skarżącego przesyłek wskazuje sugestywny, łatwy do zapamiętania komunikat, uatrakcyjniony dodatkowo elementami graficznymi. Według organu korespondencja, której przesłania dotyczy niniejsza sprawa, była uznawana za korespondencję o charakterze marketingowym, również przez Bank. Wskazuje na to widniejący na niej podpis Kierownika ds. Marketingu Banku, przesłanie jej w kopercie z oznaczeniem przesyłka reklamowa (pismo z dnia 11 lipca 2008 r.) oraz fakt, iż przepisy Regulaminu korzystania z karty kredytowej (art. 15 ust 3), z którego Bank wywodzi dopuszczalność przesyłania tej korespondencji stanowi, że do takiej korespondencji stosuje się zasady dotyczące oferty promocyjnej.

W ocenie Generalnego Inspektora Ochrony Danych Osobowych przesyłanie skarżącemu przez Bank korespondencji "[...]" nie znajdowało uzasadnienia w art. 23 ust 1 pkt 3 ustawy, tzn. nie było konieczne do realizacji umowy o kartę kredytową. Przeciwnie oznaczałoby, że przedmiotem umowy jest również przetwarzanie danych osobowych skarżącego w celach marketingowych, co byłoby sprzecznym z zasadą celowości przetwarzania danych osobowych, o której mówi art. 26 ust 1 pkt 2 ustawy, stanowiący, że administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest zobowiązany zapewnić, aby dane te były zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnie z celami. Organ wskazał, że cel, dla którego Bank zebrał dane osobowe skarżącego, jest inny niż cele marketingowe. Dane te zostały zebrane w celu zawarcia umowy o kartę kredytową, zgodnie z którą "Bank oddaje do dyspozycji Kredytobiorcy środki pieniężne (kredyt) w ramach odnawialnego limitu kredytowego przyznanego kredytobiorcy do wysokości wskazanej powyżej. Bank wyda i doręczy Kredytobiorcy kartę kredytową umożliwiającą korzystanie z kredytu". Dane osobowe mogąbyć przetwarzane w celu innym niż ten, dla którego zostały zebrane tylko wtedy, gdy istnieją do tego odrębne przesłanki.

Generalny Inspektor Ochrony Danych Osobowych uznał, że powoływane przez Bank przepisy Regulaminu wbrew temu, co stwierdza on we wniosku o ponowne rozpatrzenie sprawy, iż przekazanie klientowi informacji dotyczących zasad korzystania z "[...]" następuje w wykonaniu zobowiązań Banku wynikających z umowy o kartę kredytową i jest konieczne dla realizacji umowy, nie nakładają na Bank zobowiązania do przesyłania informacji, lecz sugerują, iż podpisując umowę o kartę kredytową skarżący wyraził zgodę na przetwarzanie swoich danych osobowych w celach marketingowych. Zdaniem Generalnego Inspektora Ochrony Danych Osobowych stoi to w sprzeczności z art. 7 pkt 5 ustawy, zgodnie z którym zgoda nie może być domniemywana lub dorozumiana z oświadczenia woli o innej treści. Oznacza to, że oświadczenie woli osoby której dane dotyczą nie może budzić wątpliwości.

Osoba ta powinna być świadoma dobrowolności bądź konieczności złożenia oświadczenia, którego treścią jest taka zgoda, a klauzula zgody powinna być skonstruowana w taki sposób, aby dysponent danych podejmował świadomą decyzję co do udostępnienia swoich danych osobowych dla jednoznacznie wskazanych celów. Organ wskazał, iż powyższe zostało potwierdzone w orzecznictwie Naczelnego Sądu Administracyjnego, który w wyroku z dnia 4 kwietnia 2003 r. w sprawie o sygn. akt II SA 2135/2002 stwierdził, że "zgoda (...) musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania".

W ocenie Generalnego Inspektora Ochrony Danych Osobowych w sprawie konieczne było zbadanie możliwości przetwarzania danych osobowych skarżącego w oparciu o przesłankę wynikającą z art. 23 ust. 1 pkt 5 ustawy, tzn. ze względu na fakt, iż jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych. Jest to bowiem podstawowa przesłanka umożliwiająca przetwarzanie danych w celach marketingowych. Generalny Inspektor potwierdził wcześniej dokonane ustalenia, że przetwarzanie przez Bank danych skarżącego w celach marketingowych, w oparciu o powyższą przesłankę, nie było dopuszczalne ze względu na wniesione przez niego pismo z dnia 8 stycznia 2008 r., będące również bez wątpienia sprzeciwem, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
W stanie faktycznym ustalonym przez Generalnego Inspektora Ochrony Danych Osobowych, działanie Banku polegające na przesyłaniu skarżącemu ofert skorzystania z "[...]" - po otrzymaniu pisma skarżącego z dnia 8 stycznia 2008 r. - było pozbawione podstaw prawnych, w szczególności zaś nie znajdowało uzasadnienia w art. 23 ust 1 pkt 3 ustawy. W związku z powyższym, w ocenie organu rozstrzygnięcie zawarte w decyzji z dnia [...] września 2008 r. było prawidłowe.

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie, S. S.A. Oddział w Polsce z siedzibą w W. zarzuciła powyższej decyzji: naruszenie art. 23 ust 1 pkt 1 i art. 7 pkt 5 ustawy o ochronie danych osobowych w związku z art. 61 § 1 Kodeksu cywilnego poprzez błędne przyjęcie, iż zgoda na przetwarzanie danych osobowych może zostać odwołana przez osobę, która jej udzieliła, bez akceptacji osoby, której złożono oświadczenie o wyrażeniu zgody; naruszenie art. 7, art. 77 § 1 i art. 80 Kpa, wyrażające się w błędnym ustaleniu stanu faktycznego poprzez stwierdzenie, iż korespondencja dotycząca "[...]" odnosi się do innego produktu Banku niż ten, którego dotyczy umowa o kartę kredytową zawarta przez Bank i L. R., oraz że ma charakter marketingowy, podczas gdy jest to korespondencja związana z wykonywaniem tej umowy o kartę kredytową przez Bank; naruszenie art. 23 ust 1 pkt 3 ustawy o ochronie danych osobowych poprzez niezastosowanie tego przepisu i art. 23 ust 1 pkt 5 ustawy o ochronie danych osobowych poprzez jego błędne zastosowanie, wyrażające się w stwierdzeniu, iż podstawą przetwarzania danych jest uzasadniony interes administratora danych osobowych (marketing bezpośredni produktów Banku), podczas gdy przetwarzanie danych następuje w zakresie koniecznym do wykonywania umowy o kartę kredytową zawartej przez Bank i L. R.; naruszenie art. 7, art. 77 § 1 i art. 80 Kpa poprzez stwierdzenie, że dane osobowe L. R. nie zostały zebrane przez Bank w celu marketingowym, podczas gdy cel ten wynika z treści formularza wniosku o kartę kredytową złożonego przez L. R.

Wskazując na powyższe strona skarżąca wniosła o uchylenie zaskarżonej decyzji oraz poprzedzającej jej decyzji z dnia [...] września 2008 r. oraz o zasądzenie kosztów postępowania.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz podtrzymał argumentację przedstawioną w uzasadnieniu zaskarżonej decyzji. Uczestnik postępowania L. R. w piśmie z dnia 8 października 2009 r., nie zgadzając się z twierdzeniami zawartymi w skardze, wyraził oczekiwanie, że "Sąd wyda sprawiedliwy wyrok, który przyczyni się do zaniechania w przyszłości przez S. działań niezgodnych z pisemnie wyrażonym oświadczeniem woli klienta".

Skarżący w piśmie z dnia 30 września 2009 r., odnosząc się do argumentacji GIODO przedstawionych w odpowiedzi na skargę stwierdził, że skoro organ uznał wiarygodność wyjaśnień Banku, z których wynika, że z dniem 18 stycznia 2008 r. Bank zaprzestał przetwarzania danych w celach marketingowych, to wydane decyzje są niewykonalne i bezprzedmiotowe. Powinno to skutkować uchyleniem tych decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Skarga nie zasługuje na uwzględnienie.

Podstawy przetwarzania danych osobowych określa art. 23 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W przedmiotowej sprawie skarżący S. przetwarzał dane osobowe L. R. na podstawie wyrażonej we wniosku o wydanie karty kredytowej zgodzie na przetwarzanie jego danych osobowych w celu wykonania umowy oraz w celach związanych z marketingiem usług oferowanych przez Bank oraz podmioty z nim współpracujące.

W sprawie jest bezspornym, iż w dniu 17 stycznia 2008 r. wpłynął do Banku sprzeciw L. R. wobec przetwarzania jego danych osobowych w celach marketingowych. Spór dotyczy zatem kwestii, czy wycofanie zgody było skuteczne oraz charakteru korespondencji kierowanej przez Bank do L. R., po wycofaniu jego zgody.

W ocenie Sądu, Generalny Inspektor Ochrony Danych Osobowych trafnie przyjmuje, że Bank akceptował wycofanie zgody na przetwarzanie danych osobowych L. R. w celach marketingowych, czemu dał wyraz w skierowanym do niego piśmie z dnia 17 stycznia 2008 r., w którym: "Bank oświadcza, że z dniem 2008 - 01 - 18 zaprzestaje przetwarzać dane dla celów marketingowych".

Twierdzenie skarżącego, iż oświadczenie to wyraziła osoba nieupoważniona do dokonywania w imieniu Banku tego rodzaju oświadczeń, nie może odnieść skutku jeśli uwzględnić, iż uczynił to pracownik Banku uprawniony do obsługi klientów. Wobec powyższego GIODO słusznie wskazuje, że rozważania co do możliwości odwołania zgody na przetwarzanie danych w niniejszej sprawie mają charakter rozważań jedynie teoretycznych. Niemniej nie można podzielić stanowiska skarżącego, że oświadczenie woli wyrażające zgodę na przetwarzanie danych osobowych nie może zostać skutecznie odwołanie od chwili dojścia oświadczenia woli do adresata.

Zgodnie z art. 7 ust 5 ustawy o ochronie danych osobowych ilekroć jest w niej mowa o zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie, zgoda ta nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Z powyższego wynika, iż ustawodawca wprowadził bardziej rygorystyczne wymogi w odniesieniu do zgody na przetwarzanie danych osobowych (por. wyrok Naczelnego Sądu Administracyjnego z dnia 4 kwietnia 2003 r., sygn. akt II SA 2135/02).

Zgoda na przetwarzanie danych ma swoje źródło w ustawie o ochronie danych osobowych i ocena prawna oświadczenia woli w tym przedmiocie powinna mieć na względzie cel ustawy jakim bez wątpienia jest ochrona danych osobowych. Zatem podmiot danych ma prawo kształtować swoją sytuację prawną w sferze własnych danych osobowych, a zatem i wycofać zgodę na przetwarzanie danych. Nie można więc podzielić poglądu skarżącego, że zgoda jest oświadczeniem woli nieeodwoływalnym.

W ocenie Sądu GIODO właściwie ocenił charakter korespondencji kierowanej do L. R. przez Bank, po 18 stycznia 2008 r. prawidłowo przyjmując, że miała ona charakter marketingowy, mający zachęcić adresata do skorzystania z oferty Banku.
Twierdzenia skarżącego, że jest ona wysyłana w wykonaniu umowy o kartę kredytową, nie można podzielić. Bank nie może na uzasadnienie charakteru tej korespondencji powoływać się na Regulamin Korzystania z Karty Kredytowej, który zgodnie z § 5 II pkt 5 umowy o kartę kredytową stanowi część tej umowy. Zgoda na przetwarzanie danych osobowych została wyrażona, jak już wyżej podano, w poprzedzającym umowę wniosku o wydanie karty kredytowej. Z wniosku tego nie wynika, że wypełniając wniosek L. R. znał treść Regulaminu korzystania z karty kredytowej.

Wbrew twierdzeniom skarżącego Banku w sprawie nie zachodziły przesłanki do umorzenia postępowania. Organ nie przyjął, jak sugeruje to skarżący, iż z dniem 18 stycznia 2008 r. Bank zaprzestał przetwarzania danych osobowych w celach marketingowych. W stanie faktycznym ustalonym przez Generalnego Inspektora Ochrony Danych Osobowych właśnie działanie Banku polegające na przesyłaniu L. R. ofert skorzystania z: "[...]" po otrzymaniu jego pisma z dnia 17 stycznia 2008 r. zostało ocenione jako pozbawione podstaw prawnych, w szczególności zaś nie znajdowało uzasadnienia w art. 23 ust 1 pkt 3 ustawy o ochronie danych osobowych.

Z tych więc względów, zarzuty skargi naruszenia wskazanych przepisów ustawy oraz Kodeksu postępowania administracyjnego nie są uzasadnione. Wojewódzki Sąd Administracyjny w Warszawie nie dopatrzył się w zaskarżonej decyzji naruszenia prawa i dlatego, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł, jak w wyroku.

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x