SENTENCJA
Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Małgorzata Jaśkowska (spr.), Sędzia NSA Janina Antosiewicz, Sędzia del. NSA Jacek Hyla, Protokolant starszy inspektor sądowy Kamil Wertyński, po rozpoznaniu w dniu 10 stycznia 2013 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej spółki A od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 16 maja 2011 r. sygn. akt II SA/Wa 643/11 w sprawie ze skargi spółki A na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia […] stycznia 2011 r. nr […] w przedmiocie usunięcia uchybień w przetwarzaniu danych osobowych oddala skargę kasacyjną.
UZASADNIENIE
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 16 maja 2011 r. sygn. akt II SA/Wa 643/11 oddalił skargę Spółki A na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia […] stycznia 2011 r. nr […] w przedmiocie usunięcia uchybień w przetwarzaniu danych osobowych.
Wojewódzki Sąd Administracyjny za podstawę rozstrzygnięcia przyjął następujące ustalenia.
Decyzją z dnia […] listopada 2010 r. nr […] Generalny Inspektor Ochrony Danych Osobowych (GIODO) na podstawie art. 104 § 1,art. 105 § 1 k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w zw. z art. 23 ust. 1 i art. 7 pkt 5 ustawy o ochronie danych osobowych, w pkt 1 nakazał spółce A usunięcie uchybień w procesie przetwarzania danych osobowych, poprzez: 1) zapewnienie opcjonalności w kwestii wyrażenia zgody na przetwarzanie przez klientów składających oświadczenie o wyrażeniu zgody na przetwarzanie dodatkowych danych osobowych odrębnie dla celów „statutowych, w celu świadczenia usług, w celu archiwizacji, a także sprzedaży produktów i usług oraz dla potrzeb działań marketingowych podejmowanych przez spółkę A samodzielnie” i odrębnie dla potrzeb działań marketingowych „podejmowanych we współpracy z innymi podmiotami, w szczególności takich jak: sprzedaż produktów i usług, przesyłanie informacji o nowych produktach i usługach, udział w konkursach, promocjach, akcjach promocyjnych z udziałem partnerów […] (przyp. spółki A)” w terminie jednego miesiąca od dnia, w którym decyzja stanie się ostateczna; 2) zapewnienie opcjonalności w kwestii wyrażenia zgody na przetwarzanie przez klientów składających oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych w związku z udziałem w programie lojalnościowym […], odrębnie od oświadczenia o akceptacji warunków Regulaminu programu, odrębnie na cele realizacji Programu oraz archiwizacji, odrębnie na przekazanie danych innym administratorom danych w przypadku, gdy wymaga tego rodzaj zamówionej nagrody lub udział w organizowanej wspólnie z partnerem akcji marketingowej lub akcji promocyjnej, odrębnie na otrzymywanie informacji handlowych w terminie jednego miesiąca od dnia, w którym decyzja stanie się ostateczna. W pkt 2 organ umorzył postępowanie w pozostałym zakresie obejmującym nieprawidłowości usunięte do dnia zakończenia postępowania.
W uzasadnieniu powyższej decyzji, powołując się na wyniki kontroli przeprowadzonej w dniach od 9 do 11 czerwca 2010 r. organ wskazał, że spółka jako administrator danych dokonała naruszenia przepisów o ochronie danych osobowych polegającego na: 1) nieuprawnionym przetwarzaniu danych w zakresie szerszym, niż to wynika z przepisów prawa, pozyskiwanych z kserokopii dokumentów np. wizerunek, wzrost (art. 23 ust. 1 w zw. z art. 7 pkt 5 powołanej ustawy), 2) braku możliwości swobodnego wyrażenia zgody na przetwarzanie danych w różnych celach wskazanych w regulaminie świadczeń usług telekomunikacyjnych spółki, w załączniku nr 1 do umowy dotyczącej udziału w promocji […] oraz formularzu rejestracyjnym na stronie internetowej (art. 23 ust. 1 w zw. z art. 7 pkt 5 tej ustawy), 3) braku możliwości swobodnego wyboru na jakie cele przetwarzania danych osobowych wyrażana jest zgoda w oświadczeniu klienta przystępującego do programu lojalnościowego […] wypełniającego wniosek umieszczony na stronie internetowej www.[…] (art. 23 ust. 1 w zw. z art. 7 pkt 5 ww. ustawy), 4) braku możliwości swobodnego wyrażenia zgody na przetwarzanie danych w różnych celach wskazanych w treści formularza rejestracyjnego przy zakładaniu konta w systemie informatycznym „SSO” (art. 23 ust. 1 w zw. z art. 7 pkt 5 powołanej ustawy).
W wyniku wniosku spółki sprawa została ponownie rozpatrzona. Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia […] stycznia 2011 r. nr […], na podstawie art. 138 § 1 pkt 2 k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w zw. z art. 23 ust. 1 i art. 7 pkt 5 ustawy o ochronie danych osobowych, w pkt 1 uchylił pkt 1 ppkt 1 decyzji z dnia […] listopada 2010 r. w części dotyczącej terminu jego wykonania i określił nowy termin na 6 miesięcy od dnia, w którym decyzja stanie się ostateczna, w pkt 2 uchylił pkt 1 ppkt 2 decyzji z dnia […] listopada 2010 r. w części dotyczącej terminu jego wykonania i określił nowy termin na 1 miesiąc od dnia, w którym decyzja stanie się ostateczna. W pozostałym zakresie organ utrzymał w mocy zaskarżoną decyzję (pkt 3).
Organ argumentował, że klient spółki składa oświadczenie o wyrażeniu zgody „na przetwarzanie dodatkowych danych w celach określonych w § 2 regulaminu świadczenia usług telekomunikacyjnych przez spółkę A dla abonentów. Oświadczenie jest niezależne od czasu obowiązywania umowy o świadczenie usług telekomunikacyjnych.” (Załącznik nr 3 do umowy o świadczenie usług telekomunikacyjnych). Analogiczny zapis znajduje się w Załączniku nr 1 do Umowy dotyczącej udziału w promocji […] w oświadczeniu klienta zawierającego umowę dotyczącą udziału w promocji […] oraz w formularzu zawartym na stronie internetowej sklep on-line (www.[…]). Natomiast z treści ww. regulaminów wynika m.in. że: „Dane osobowe Klientów/Abonentów są przetwarzane przez spółkę w celach statutowych, w celu świadczenia usług, w celu archiwizacji, a także sprzedaży produktów i usług oraz dla potrzeb działań marketingowych podejmowanych przez […] (przyp.: spółkę A) samodzielnie lub we współpracy z innymi podmiotami, w szczególności takich jak: sprzedaż produktów i usług, przesyłanie informacji o nowych produktach i usługach, udział w konkursach, promocjach, akcjach promocyjnych z udziałem partnerów […] (przyp.: spółki A). Dane osobowe Klientów/Abonentów mogą zostać przekazane innym administratorom danych w przypadku, gdy jest to niezbędne dla udziału w organizowanej wspólnie z partnerem akcji marketingowej”. W ocenie GIODO opisany sposób pozyskiwania zgody na przetwarzanie danych osobowych nie umożliwia osobom, których dane dotyczą dokonania wyboru oraz swobodnego wyrażenia zgody na przetwarzanie danych osobowych, bowiem osoby te nie mają możliwości podjęcia decyzji, w jakim celu udzielają zgody na przetwarzanie dotyczących ich danych. Organ wskazał, iż administrator danych jest zobowiązany do prawidłowego formułowania klauzuli zgody na przetwarzanie danych dodatkowych nie tylko pod kątem jej generalnego brzmienia (jasne określenie celu, zakresu i podmiotu, który będzie przetwarzał dane), ale też pod kątem umożliwienia osobie, której dane dotyczą dokonania swobodnego wyboru celu, w jakim dane te mają lub mogą być przetwarzane.
Zdaniem Generalnego Inspektora, dane dodatkowe, które są przedmiotem nakazu zawartego w pkt 1 ppkt 1 zakwestionowanej decyzji, stosownie do art. 161 ust. 3 ustawy Prawo telekomunikacyjne, należy traktować jako uzupełnienie bądź dopełnienie danych, o których mowa w art. 161 ust. 2 ustawy Prawo telekomunikacyjne. Wszystkie dane osobowe dotyczące użytkownika powinny być przetwarzane łącznie dla jednego celu bądź celów, których swobodny wybór powinien użytkownikowi zagwarantować dostawca publicznie dostępnych usług telekomunikacyjnych. Organ zwrócił uwagę, iż użyty przez spółkę zwrot „dla potrzeb działań marketingowych podejmowanych przez […] (przyp.: spółkę A, (…) we współpracy z innymi podmiotami, w szczególności takich jak: sprzedaż produktów i usług, przesyłanie informacji o nowych produktach i usługach, udział w konkursach, promocjach, akcjach promocyjnych z udziałem partnerów […] (przyp.: spółki A)” jest zbyt ogólny i niejasny dla wyrażającego zgodę na przetwarzanie danych osobowych. Działania marketingowe mogą, ale nie muszą być związane z przekazywaniem innemu podmiotowi danych osobowych. Natomiast sposób, w jaki spółka sformułowała zgodę na przetwarzanie danych osobowych, powoduje, że osoba zainteresowana ofertą spółki nie ma wyboru i musi zgodzić się na przetwarzanie jej danych osobowych dla celów akcji marketingowych prowadzonych z innymi podmiotami.
Generalny Inspektor wskazał także, iż zawarty w sformułowanej przez spółkę klauzuli zapis, iż „Oświadczenie jest niezależne od czasu obowiązywania umowy o świadczenie usług telekomunikacyjnych” jest niezgodny z art. 164 Prawa telekomunikacyjnego. Organ argumentował, iż istotą zakończenia czy rozwiązania umowy jest brak zainteresowania ofertą przedsiębiorcy, a nie tylko ofertą, która była przedmiotem tej umowy.
Organ wskazał ponadto, że ustawodawca w art. 32 ustawy o ochronie danych osobowych zagwarantował osobie, której dane mają być przetwarzane, szereg praw, w tym prawo wniesienia sprzeciwu, gdy administrator danych zamierza przetwarzać jej dane osobowe w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych (ust. 1 pkt 8), a także prawo żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację (ust. 1 pkt 7). Przepisy te nie mogą być traktowane przez spółkę jako zabezpieczenie dla jej działań nieczytelnych wobec osoby, której dane dotyczą. Administrator danych jest zobowiązany przetwarzać dane w sposób zgodny z przepisami ustawy o ochronie danych osobowych.
W odniesieniu do wniosku spółki o zmianę rozstrzygnięcia w zakresie objętym pkt 1 ppkt 2 kwestionowanej decyzji wobec podjęcia określonych działań naprawczych GIODO stwierdził, iż stan zgodny z prawem nie został przywrócony i z tego względu utrzymał w mocy ww. nakaz decyzji. Jednocześnie organ wskazał, iż przychylając się do wniosku spółki zmienia terminy wykonania nakazów wskazanych w pkt 1 sentencji.
W skardze skierowanej do Wojewódzkiego Sądu Administracyjnego w Warszawie spółka A wniosła o uchylenie decyzji GIODO z dnia […] stycznia 2011 r. w całości oraz poprzedzającej ją decyzji tego organu w zakresie pkt 1, wstrzymanie wykonania zaskarżonej decyzji, a także zasądzenie kosztów postępowania według norm przepisanych. Zarzuty skargi obejmowały naruszenie art. 138 §1 pkt 2 w. zw. z art. 104 § 1 i 3 k.p.a. – poprzez błędne ustalenie treści pkt 2 sentencji decyzji z dnia […] stycznia 2011 r., wskazującej na uchylenie i zmianę pkt 1 ppkt 2 sentencji decyzji z dnia […] listopada 2010 r., w sytuacji, gdy brzmienie i sens powyższych części zaskarżonych rozstrzygnięć są identyczne; art. 161 ust. 1, 2 i 3 ustawy Prawo telekomunikacyjne – poprzez błędne przyjęcie, że cel przetwarzania danych objętych ust. 2 i danych objętych ust. 3 art. 161 tej ustawy, powinien być tożsamy; art. 23 ust 1 i art 7 pkt 5 ustawy o ochronie danych osobowych – poprzez błędne przyjęcie, iż z przepisów tych wynika obowiązek uzyskiwania przez administratora danych odrębnych zgód klientów na przetwarzanie danych, o których mowa w art. 161 ust. 3 Prawa telekomunikacyjnego odrębnie „dla celów statutowych, w celu świadczenia usług, w celu archiwizacji, a także sprzedaży produktów i usług oraz dla potrzeb działań marketingowych podejmowanych przez [….] (przyp.: spółkę A) samodzielnie” oraz odrębnie „dla potrzeb działań marketingowych podejmowanych we współpracy z innymi podmiotami, w szczególności takich jak: sprzedaż produktów i usług, przesyłanie informacji o nowych produktach i usługach, udział w konkursach i promocjach, akcjach promocyjnych z udziałem partnerów […] (przyp.: spółki A)”; art. 7 pkt 5 ustawy o ochronie danych osobowych – poprzez błędne przyjęcie, że stosowany przez spółkę wzór oświadczenia o zgodzie abonenta jest niezgodny z prawem, z powodu odesłania do regulaminu świadczenia usług telekomunikacyjnych; art. 138 §1 pkt 2 k.p.a. w zw. art. 127 § 3 k.p.a., ze względu na wyłącznie pozorne ponowne rozpatrzenie sprawy, brak odniesienia się do niektórych zarzutów strony, w tym do kwestii braku podstawy prawnej dla żądania odrębnego zbierania przez spółkę zgód klientów dla poszczególnych wskazanych celów, a także do wprowadzonej zmiany treści regulaminu programu [….] oraz wyjaśnienia spółki co do stosowanej formuły wyboru nagrody w tym programie.
Generalny Inspektor Ochrony Danych Osobowych podtrzymując stanowisko przedstawione w uzasadnieniu zaskarżonej decyzji wniósł o oddalenie skargi.
Wojewódzki Sąd Administracyjny w Warszawie stwierdził, iż zaskarżona decyzja Generalnego Inspektora Ochrony Danych Osobowych nie narusza prawa w stopniu na tyle istotnym, aby należało ją wyeliminować z obrotu prawnego.
W uzasadnieniu wyroku Sąd ten zaznaczył, że nie rozpatrywał wniosku skarżącej o wstrzymanie wykonania zaskarżonej decyzji, lecz niezwłocznie skierował sprawę na rozprawę ze względu na słuszny interes strony w szybkim merytorycznym rozstrzygnięciu sporu.
Dalej Sąd wskazał, iż zgodnie art. 2 ust. 1 i art. 12 pkt 1 i 2 oraz art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych był zobowiązany do kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i wydawania decyzji w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych.
Sąd pierwszej instancji zauważył, iż kwestię świadczenia usług telekomunikacyjnych i sposób wykorzystywania danych abonentów tych usług, w tym warunki ochrony użytkowników usług reguluje ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 ze zm.). Zgodnie z art. 159 pkt 1 tej ustawy, dane dotyczące użytkownika stanowią tajemnicę telekomunikacyjną. Art. 160 ustawy nakazuje podmiotom uczestniczącym w wykonywaniu działalności telekomunikacyjnej w sieciach publicznych oraz podmiotom z nim współpracującym zachowanie tajemnicy telekomunikacyjnej. W myśl art. 161 ust. 1 powołanej ustawy, z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej „przetwarzaniem”, dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych.
Wojewódzki Sąd Administracyjny zaznaczył, że treści i dane użytkownika (abonenta), o których mowa w art. 161 ust. 2 Prawa telekomunikacyjnego dotyczące usługi świadczonej abonamentowi lub niezbędne do jej wykonania i w takiej sytuacji mogą być dokonane bez zgody użytkownika.
Sąd pierwszej instancji podzielił pogląd zaprezentowany w wyroku z dnia 26 stycznia 2009 r. sygn. akt I OSK 174/08 (publ. LEX nr 478301), zgodnie z którym przepisy Prawa telekomunikacyjnego wyłączają stosowanie ustawy o ochronie danych osobowych w zakresie, w jakim przewidują dalej idącą ochronę danych osobowych. W konsekwencji dostawca publicznie dostępnych usług telekomunikacyjnych (w rozumieniu art. 2 pkt 27 Prawa telekomunikacyjnego) jest uprawniony do przetwarzania danych osobowych usługobiorcy, jeżeli jego dane przetwarza w celu świadczenia i wykonania usługi telekomunikacyjnej. W każdym innym przypadku podejmowania działań, w szczególności realizujących cel komercyjny, marketingowy, a nie związany wprost z wykonaniem usługi telekomunikacyjnej, usługodawca będzie stosował przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Stosownie natomiast do art. 23 ust. 1 pkt 1 przetwarzanie danych osobowych jest dopuszczalne jeżeli osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych.
Według Wojewódzkiego Sądu Administracyjnego wyrażenie zgody osoby, której dane dotyczą, oznacza złożenie oświadczenia woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Zgoda ta może być odwołana w każdym czasie. WSA stwierdził, iż powołane w uzasadnieniu zaskarżonej decyzji poglądy doktryny i orzecznictwa w przedmiocie wyrażenia zgody na przetwarzanie danych osobowych uznać należy za trafne i nie zachodzi potrzeba ich ponownego przytaczania. Podkreślenia jedynie wymaga, iż podmiot zwracający się do osoby fizycznej o wyrażenie takiej zgody musi to uczynić w sposób wyraźny, jednoznaczny, wyróżniający się spośród innych pochodzących od tego podmiotu informacji i oświadczeń. Osoba wyrażająca zgodę musi zrozumieć istotę zgody, jej cel i skutki, a zatem musi posiadać pełne rozeznanie, konkretnie przez kogo i w jakim ściśle określonym celu jej dane będą przetwarzane.
W ocenie Sądu pierwszej instancji istota sporu w rozpatrywanej sprawie sprowadza się do tego, czy na gruncie obowiązujących przepisów jest dopuszczalne wyrażenie jednej zgody na dokonywanie przetwarzania danych osobowych w różnych celach i przez inne podmioty współpracujące z podmiotem ubiegającym się o zgodę, czy też zgoda powinna być wyrażana każdorazowo w zależności od celu przetwarzania danych i od tego, przez kogo dane będą przetwarzane. WSA podzielił stanowisko tych przedstawicieli doktryny, którzy przyjmują, iż możliwe i skuteczne jest udzielenie zgody na tylko niektóre działania (np. wyłącznie na zbieranie, utrwalanie i przechowywanie, lecz już nie na udostępnianie). Zdaniem Sądu Wojewódzkiego brak jest podstaw, aby taką częściową zgodę wykluczyć i pozbawić ją prawnego znaczenia. Należy ją zatem dopuścić w ramach generalnej zasady swobody dysponowania własnymi danymi osobowymi. W konsekwencji Sąd stwierdził, iż GIODO prawidłowo dokonywał wykładni art. 7 pkt 5 ustawy o ochronie danych osobowych, w sposób zapewniający osobie, której dane osobowe będą wykorzystywane, maksimum ochrony prawnej, zwłaszcza gdy dane te miałyby być wykorzystywane w celach marketingowych. Sąd podzielił pogląd organu, iż spółka powinna umożliwić wyrażenie zgody nie tylko w układzie tak bądź nie, lecz „zgody rozbudowanej”, odnoszącej się do poszczególnych sfer wykorzystania danych. Takiego wyboru nie zapewnia ujawniona w postępowaniu przed organem Ochrony Danych Osobowych praktyka spółki A. Godząc się na ofertę marketingową spółki, usługobiorca nie może uchronić się przed ofertami innych podmiotów prowadzących agresywną, a więc niejednokrotnie uciążliwą kampanię marketingową. WSA zwrócił ponadto uwagę, iż z punktu widzenia usługobiorcy jest istotne, aby jego dane osobowe były przetwarzane przez tego usługodawcę, z którym klient zawiera umowę o wykonywanie usług, w tym wypadku telekomunikacyjnych, gdyż godzi się na warunki zaproponowane przez operatora sieci i obdarza go „zaufaniem”. Tego „zaufania” niejednokrotnie usługobiorca nie będzie miał do podmiotów mu nieznanych, a współpracujących z operatorem sieci w ramach wspólnych akcji marketingowych. Odbiorca usług telekomunikacyjnych nie może mieć gwarancji, że jego dane osobowe nie będą przekazywane trzecim podmiotom w ramach prowadzenia kolejnych kampanii marketingowych. Z tego względu za zasadne uznał Sąd dążenie GIODO do zapewnienia wyboru w zakresie wyrażania zgody na przetwarzanie danych osobowych przez spółkę A oraz przez inne podmioty w ramach wspólnych kampanii marketingowych (pkt 1 ppkt 1 decyzji z dnia […] listopada 2010 r.), jak też w zakresie konkretnych celów wykorzystania danych osobowych w programie lojalnościowym [….], z uwagi na rozbudowany charakter tego programu, jak i wielość podmiotów realizujących ten program (pkt 1 ppkt 2 decyzji z dnia […] listopada 2010 r.).
Sąd pierwszej instancji podkreślił, że działanie GIODO zmierza do zagwarantowania ustawowej ochrony prawnej osobom, których dane osobowe są przetwarzane, co sprowadza się w tym przypadku do zagwarantowania swobodnej, w pełni świadomej, a nie iluzorycznej, możliwości decydowania o własnych danych. Tej gwarancji nie spełniają instrumenty prawne określone w art. 32 ust. 1 pkt 6 – 9 ustawy o ochronie danych osobowych, albowiem służą już usuwaniu nieścisłości lub nieprawidłowości w procesie przetwarzania danych osobowych.
Wojewódzki Sąd Administracyjny przyznał rację spółce skarżącej, iż Generalny Inspektor Ochrony Danych stosując art. 138 § 1 pkt 2 k.p.a. i uchylając decyzję z dnia […] listopada 2010 r. w części dotyczącej terminu (jednomiesięcznego od dnia, w którym ta decyzja staje się ostateczna) i określając ponownie termin jej wykonania na jeden miesiąc licząc od dnia, w którym decyzja stanie się ostateczna, w istocie niczego nie zmienił. Stosownie bowiem do art. 130 § 2 k.p.a., wniesienie odwołania wstrzymuje wykonanie decyzji, a zatem uchylenie w tej części decyzji z dnia […] listopada 2010 r. nie było konieczne. Jednocześnie Sąd stwierdził, iż wada ta nie miała większego wpływu na wynik sprawy.
Sąd pierwszej instancji zauważył również, że organ w komparycjach obu kwestionowanych decyzji nie podał, który z punktów art. 23 ust. 1 ustawy o ochronie danych osobowych stanowił podstawę rozstrzygnięcia. Zdaniem WSA, wskazanie w podstawie prawnej decyzji art. 7 pkt 5, jak też powołanie w uzasadnieniu art. 23 ust. 1 pkt 1 tej ustawy nie pozostawia wątpliwości, iż to właśnie te przepisy stanowią materialnoprawną podstawę zaskarżonej decyzji. Dostrzeżona wada nie jest w związku z tym uchybieniem istotnym.
Skargę kasacyjną do Naczelnego Sądu Administracyjnego wniosła spółka A reprezentowana przez pełnomocnika – radcę prawnego. Strona zaskarżyła wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie w całości, wniosła o jego uchylenie i przekazanie sprawy do ponownego rozpoznania Sądowi pierwszej instancji oraz zasądzenie zwrotu kosztów postępowania kasacyjnego według norm prawem przepisanych, ewentualnie o uchylenie zaskarżonego wyroku i orzeczenie o uchyleniu zaskarżonych decyzji zgodnie z żądaniem skargi oraz o zasądzenie zwrotu kosztów postępowania według norm prawem przepisanych.
Powołując się na podstawy z art. 174 pkt 1 i 2 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi w skardze kasacyjnej zarzucono:
I. naruszenie przepisów postępowania, które miało wpływ na wynik sprawy, tj.:
1) art. 133 §1 p.p.s.a., poprzez uchybienie obowiązkowi wydania wyroku na podstawie akt sprawy, polegające na wydaniu wyroku w oparciu o nieudowodnione ustalenia faktyczne, które nie były przedmiotem badania GIODO oraz WSA, tj. nieuzasadnione przyjęcie, że udzielenie przez abonenta zgody na przetwarzanie danych osobowych przez podmioty współpracujące ze spółką naraża abonenta na „agresywną, a niejednokrotnie uciążliwą kampanię marketingową”, prowadzi do przekazania danych osobowych abonenta podmiotom, których abonent nie może darzyć „zaufaniem”, naraża abonenta na przekazywanie jego danych osobowych podmiotom nieuprawnionym, prowadzi do zapewnienia abonentowi jedynie „iluzorycznej możliwości decydowania o własnych danych”, co nie znajduje odzwierciedlenia w zgromadzonym materiale dowodowym, stanowi ponadto naruszenie art. 145 §1 pkt 1 lit. c p.p.s.a. w zw. z art. 7 i 77 k.p.a., poprzez oddalenie skargi w sytuacji, gdy Sąd dostrzegł konieczność zbadania stanu faktycznego sprawy przez GIODO w zakresie powyższych okoliczności, a więc niekompletność postępowania administracyjnego, co powinno skutkować uchyleniem zaskarżonych decyzji administracyjnych;
2) art. 141 §4 p.p.s.a. oraz art. 151 p.p.s.a. w zw. z art. 145 §1 pkt 1 lit. c ppsa, poprzez:
a) przedstawienie stanu sprawy niezgodnie ze stanem rzeczywistym, polegające na nieodniesieniu się do działań, które skarżąca podjęła w zakresie modyfikacji procesu obsługi przetwarzania danych osobowych przed wydaniem decyzji z dnia […] stycznia 2011 r., które powinny mieć wpływ na zmianę brzmienia rozstrzygnięcia zawartego w ppkt 2 sentencji decyzji z dnia […] listopada 2010 r.;
b) oddalenie skargi pomimo naruszenia przez GIODO art. 138 §1 pkt 2 k.p.a. w zw. 127 §3 k.p.a. i art. 7 i 8 k.p.a., polegającego na nieuwzględnieniu w ostatecznej decyzji administracyjnej okoliczności opisanych w ppkt a;
3) art. 145 §1 pkt. 1 lit. c p.p.s.a. w zw. z art. 138 §1 pkt 2 k.p.a. w zw. z art. 104 §1 i 3 k.p.a., poprzez błędne uznanie, że nieprawidłowe ustalenie treści pkt 2 sentencji decyzji z dnia […] stycznia 2011 r., wskazującej na uchylenie i zmianę pkt 1 ppkt 2 sentencji decyzji z dnia […] listopada 2010 r., w sytuacji gdy brzmienie i sens powyższych części zaskarżonych rozstrzygnięć są identyczne, nie stanowi naruszenia przepisów postępowania, które miałoby wpływ na jego wynik;
4) art. 61 §3 p.p.s.a. w zw. z art. 145 §1 pkt 1 lit. c p.p.s.a. oraz art. 157 §1 i 3 p.p.s.a., poprzez błędne uznanie, że rozpoznanie wniosku skarżącej o wstrzymanie wykonania zaskarżonych decyzji administracyjnych jest nieuzasadnione;
II. naruszenie przepisów prawa materialnego, tj.:
1) art. 7 pkt 5 oraz art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – Dz. U. z 1997, Nr 133 poz. 883 ze zm. (uodo) w zw. z art. 161 ust. 1 i 3 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne – Dz. U. z 2004 r., Nr 171 poz. 1800, ze zm. (upt), poprzez błędną wykładnię, polegającą na domniemaniu istnienia podstawy prawnej obowiązku wprowadzania „opcjonalności” w zakresie wyrażenia zgody przez abonenta na przetwarzanie danych osobowych, odrębnie poprzez kryterium podmiotowe i celów przetwarzania, w sytuacji, gdy z wykładni językowej, systemowej i funkcjonalnej przepisów prawa wskazanych jako podstawa prawna zaskarżonych decyzji administracyjnych taki nakaz nie wynika;
2) art. 7 pkt 5 w zw. z art. 23 ust. 1 pkt 1 uodo, poprzez błędną wykładnię, polegającą na:
a) zastosowaniu rozszerzającej wykładni tego przepisu, w sytuacji, gdy rozstrzygnięcie GIODO dotyczy nałożenia na spółkę obowiązku;
b) przyjęciu w ślad za organem błędnego poglądu, że stosowany przez spółkę wzór oświadczenia zgody abonenta na przetwarzanie danych osobowych jest nieprawidłowy;
3) art. 2 Konstytucji RP, poprzez pominięcie oceny zgodności decyzji z zasadą proporcjonalności, nakazującą organowi administracji publicznej stosować środek ograniczający swobodę prowadzenia działalności gospodarczej i uciążliwy dla przedsiębiorcy wyłącznie wtedy, gdy dla osiągnięcia danego celu nie sposób użyć innego środka.
Motywując podniesione zarzuty wskazano, że z art. 7 pkt 5 w zw. z art. 23 ust. 1 pkt 1 uodo nie wynika nakaz umożliwienia abonentowi wyrażania zgody na przetwarzanie danych osobowych odrębnie ze względu na podmiot, który będzie przetwarzał dane i odrębnie dla każdego celu przetwarzania danych. Zdaniem strony, nakazu tego nie można wyinterpretować metodą wykładni językowej, ani systemowej, a dokonana przez Sąd pierwszej instancji wykładnia celowościowa była nieuprawniona. Wykładnia ta nie została poparta argumentami natury prawnej, a wyłącznie szeregiem nieudowodnionych twierdzeń, co do zagrożeń związanych ze stosowaną przez spółkę klauzulą zgody.
Autor skargi kasacyjnej argumentował ponadto, że w uzasadnieniu wniosku o ponowne rozpatrzenie sprawy zakończonej decyzją z dnia […] listopada 2010 r. spółka wyjaśniła, iż rozpoczęty został proces wdrażania daleko idących zmian w obsłudze przetwarzania danych osobowych w ramach programu […] polegających na: – wydzieleniu w ramach elektronicznego systemu rejestracji w programie […], który jest jedynym systemem obsługującym udział klientów spółki w tym programie, pól umożliwiających złożenie oświadczeń przez potencjalnego uczestnika programu; – zawarciu w najnowszej wersji Regulaminu programu […] postanowienia, zgodnie z którym, akceptując treść regulaminu klient wyraża zgodę na to, by w przypadku gdy dokona (odrębnego) wyboru nagrody, której dostarczenie lub z której korzystanie wiąże się z przekazaniem danych osób innemu podmiotowi – partnerowi spółki, dane te zostaną przekazane wyłącznie w tym celu, obejmującego również informację, że o każdym przypadku, gdy rodzaj nagrody lub natura akcji promocyjnej wymaga przekazania przez spółkę danych osobowych uczestnika innemu podmiotowi, zostanie poczyniona odpowiednia adnotacja przy opisie nagrody promocyjnej w materiałach publikowanych przez spółkę w ramach programu [….], tak, by umożliwić klientowi świadomy wybór zarówno co do podmiotu, któremu jego dane będą przekazane, jak i do zakresu i celu w jakim dane są przetwarzane przez spółkę. Charakter tych zmian powoduje – zdaniem strony – że nakaz zawarty w pkt 1 ppkt 2 decyzji pierwszoinstancyjnej powinien być, w wyniku ponownego rozpatrzenia sprawy, zmieniony. Tymczasem okoliczności tych nie wziął pod uwagę Wojewódzki Sąd Administracyjny, nie zostały one powołane w uzasadnieniu zaskarżonego wyroku.
Strona wnosząca skargę kasacyjną argumentowała również, że Sąd pierwszej instancji nie odniósł się do istoty zarzutu, który polega na rozbieżności części sentencji decyzji wydanej wskutek wniosku o ponowne rozpatrzenie sprawy z intencją zmiany decyzji „pierwotnej”, która przejawia się poprzez zwrot czasownikowy: „Uchylam pkt 1 ppkt 2 zaskarżonej decyzji z dnia […] listopada 2010 r., sygn. […], w części dotyczącej terminu jego wykonania i określam go na (…)” oraz przez treść uzasadnienia decyzji, w której GIODO stwierdził, że: „wydłużył termin wykonania tego nakazu przez Spółkę”. Autor skargi kasacyjnej podkreślił, iż termin wykonania obowiązku jest jednym z przedmiotowo istotnych elementów decyzji GIODO szczególnie, że spółka we wniosku o ponowne rozpatrzenie sprawy wniosła o zmianę decyzji wydanej w I instancji poprzez wydłużenie terminu na realizację nakazu. Błąd w sposobie określenia tego terminu powinien zatem być przyczyną uchylenia zaskarżonej decyzji.
W skardze kasacyjnej podniesiono ponadto, iż Sąd pierwszej instancji nie rozpatrzył wniosku spółki o wstrzymanie wykonania zaskarżonych decyzji. Kierując sprawę na termin rozprawy z pominięciem rozpatrzenia wniosku o wstrzymanie wykonania zaskarżonej decyzji, Sąd nie uwzględnił prawnych i ekonomicznych skutków wdrożenia obowiązków nałożonych na spółkę.
Wskazując na naruszenie prawa materialnego autor skargi kasacyjnej przekonywał, iż Sąd pierwszej instancji nieprawidłowo odczytuje poglądy doktryny. Komentatorzy rozważają bowiem, czy za skuteczną uznać można udzieloną administratorowi danych osobowych częściową zgodę na ich przetwarzanie. Wychodzą przy tym z założenia, że: a) Udzielenie częściowej zgody na przetwarzanie danych osobowych – co do zasady – nie wynika wprost z przepisów uodo, a zatem podzielają poglądy spółki, że skoro zastosowane przez GIODO przepisy prawa materialnego nie przewidują takiego „bezwzględnego” uprawnienia abonenta, to tym bardziej nie przewidują w tym zakresie obowiązku administratora danych osobowych; b) „częściową” zgodę można warunkowo dopuścić ‚”w ramach generalnej zasady swobody dysponowania własnymi danymi osobowymi”, jednakże brak jest wskazania, z której normy prawa materialnego taka „generalna zasada” konkretnie wynika; c) brak jest obowiązku zapewniania „opcjonalności” zgody przez administratora danych osobowych, co w konsekwencji oznacza, że administrator może, ale nie jest obowiązany do przyjęcia „częściowej” zgody na przetwarzanie danych osobowych, a skuteczność przetwarzania danych na jej podstawie wynika w istocie z porozumienia administratora danych osobowych i osoby fizycznej, o której dane chodzi. Strona zwróciła uwagę na potrzebę rozróżnienia dopuszczalnej – zdaniem niektórych przedstawicieli doktryny – możliwości uznania prawnej skuteczności częściowej zgody przez administratora danych osobowych od egzekwowalnego obowiązku w tym zakresie, którego przepisy uodo nie przewidują.
Powołując się na wykładnię systemową wnosząca skargę kasacyjna podniosła, że definicja zgody na przetwarzanie danych osobowych, zawarta w art. 7 pkt 5 uodo, znajduje się w rozdziale 1 ustawy o ochronie danych osobowych, zatytułowanym „Przepisy ogólne”. Art. 23 ust. 1 pkt 1 uodo znajduje się w rozdziale „Zasady przetwarzania danych osobowych”, który zawiera szczegółowe dyrektywy postępowania z danymi. Oznacza to, że art. 23 ust. 1 pkt 1 uodo należy interpretować przez pryzmat art. 7 pkt 5 uodo, a nie odwrotnie, zatem formę udzielenia zgody (przesłankę dopuszczalności przetwarzania danych osobowych) „narzuca” jej definicja. Skoro art. 7 pkt 5 uodo obowiązku zapewnienia „opcjonalności” zgody tj. możliwości wyrażenia zgody częściowej nie przewiduje, to oznacza, że wykładnia systemowa sprzeciwia się nałożeniu takiego obowiązku w drodze decyzji administracyjnej. Dalej zaznaczono, że również ustawa – Prawo telekomunikacyjne nie zawiera normy bezwzględnie nakazującej zapewnienie abonentowi przez administratora danych osobowych opcjonalności w zakresie wyboru sposobu przetwarzania danych.
Według autora skargi kasacyjnej, przy rozstrzyganiu sprawy zarówno GIODO jak i Wojewódzki Sąd Administracyjny uwzględniły wyłącznie interes abonenta z pominięciem interesów spółki naruszając w ten sposób konstytucyjną zasadę proporcjonalności. Zdaniem strony, decyzja GIODO nie wprowadza realnych udogodnień po stronie abonentów (jej wykonanie wpłynie na brak przejrzystości formularzy), natomiast jest wysoce uciążliwe dla przedsiębiorcy telekomunikacyjnego, gdyż sprowadza na niego wysokie koszty i ingeruje w stosunki biznesowe pomiędzy nim a partnerami, ograniczając tym samym swobodę prowadzenia działalności gospodarczej. Pełnomocnik zwrócił uwagę na szeroki zakres i dużą skalę koniecznych działań dostosowawczych do warunków określonych w decyzji GIODO. Działania te, według szacunków Spółki, generować mogą koszty rzędu setek tysięcy, a nawet milionów złotych. Zaproponowane przez Spółkę rozwiązania alternatywne (w tym model zbierania zgód na przetwarzanie danych, jako element całej oferty kierowanej do abonenta) gwarantują – jej zdaniem – zapewnienie zgodnych z prawem standardów ochrony w zakresie przetwarzania danych osobowych. Argumentowano ponadto, iż zawarcie umowy o świadczenie usług telekomunikacyjnych jest czynnością dobrowolną. Abonent może więc wybrać takiego dostawcę usług telekomunikacyjnych, który inaczej niż spółka realizuje procesy przetwarzania danych.
Pełnomocnik skarżącej zaznaczył, że spółka stosowała i nadal stosuje w formularzach zgody na przetwarzanie danych osobowych odrębną rubrykę, obejmującą zgodę na otrzymywanie informacji handlowych drogą elektroniczną, a więc zapewnia w tym zakresie opcjonalność zgody. W tych okolicznościach decyzja GIODO, poza wywołaniem negatywnych i dotkliwych konsekwencji wobec skarżącej, nie doprowadzi do rzeczywistej jakościowej zmiany procesu przetwarzania danych osobowych.
Autor skargi kasacyjnej zanegował zawarte w uzasadnieniu wyroku Sądu pierwszej instancji uwagi wskazujące, iż brzmienie stosowanych przez spółkę formularzy zgody jest niezgodne z art. 7 pkt 5 uodo wskazując, iż zaskarżona decyzja zawiera nakaz zapewnienia „opcjonalności” w zakresie wyrażenia zgody na przetwarzanie danych osobowych abonenta – dotyczy zatem formy zbierania zgód abonentów. Brzmienie formularzy nie ma znaczenia prawnego.
W nawiązaniu do argumentacji zawartej w uzasadnieniu wyroku Wojewódzkiego Sądu Administracyjnego strona wnosząca skargę kasacyjną zaznaczyła również, że gwarancję indywidualnej ochrony danych osobowych zapewniają zarówno instrumenty prawne określone w art. 32 ust. 1 pkt 6-9 ustawy o ochronie danych osobowych, jak też środki ochrony, o których mowa w pkt 1-5 tego przepisu.
W odpowiedzi na skargę kasacyjną GIODO wniósł o oddalenie tej skargi podtrzymując zaprezentowane wcześniej stanowisko, iż zgoda na przetwarzanie danych stanowi oświadczenie woli, musi być zatem wyrażona w odniesieniu do konkretnego celu. Wskazując na niezasadność zarzutu skargi kasacyjnej dotyczącego nieuwzględnienia poczynionych przez spółkę zmian w programie […] organ, argumentował, iż na etapie wniosku o ponowne rozpatrzenie sprawy spółka podała, że w treści najnowszej wersji regulaminu programu „znajdzie się postanowienie”. GIODO nakazując przywrócenie stanu zgodnego z prawem nie może natomiast opierać rozstrzygnięcia na dopiero zamierzonych działaniach podmiotu.
Strona wnosząca skargę kasacyjna przedłożyła replikę na odpowiedź na skargę kasacyjną wskazując, że GIODO nie odniósł się do zarzutu błędnej wykładni rozszerzającej art. 7 pkt 5 w zw. z art. 23 ust. 1 pkt 1 uodo, do zarzutu nieproporcjonalności i innych – w szczególności braku oparcia na materiale dowodowym, czy braku rozpatrzenia wniosku o wstrzymanie wykonania decyzji. Raz jeszcze zaznaczono, że spółka wdrożyła szereg zmian, do których się nie odniesiono.
Postanowieniem z dnia 7 października 2011 r. sygn. akt II SA/Wa 643/11 Wojewódzki Sąd Administracyjny w Warszawie oddalił wniosek spółki A z dnia 30 maja 2011 r. o uzupełnienie wyroku z dnia 16 maja 2011 r. sygn. akt II SA/Wa 643/11.
Naczelny Sąd Administracyjny zauważył, co następuje:
Skarga kasacyjna nie zasługuje na uwzględnienie.
Na wstępie należy zauważyć, iż stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi – tekst jedn. Dz.U. z 2012 r., poz. 270 ze zm. (powoływana jako: p.p.s.a.) Naczelny Sąd Administracyjny przy rozpoznawaniu sprawy na skutek wniesienia skargi kasacyjnej związany jest jej granicami. Z urzędu Sąd ten bierze pod rozwagę wyłącznie określone w § 2 powołanego artykułu przesłanki nieważności postępowania, które w niniejszej sprawie nie wystąpiły. Oznacza to, że przytoczone w skardze kasacyjnej przyczyny wadliwości prawnej zaskarżonego orzeczenia determinują zakres kontroli dokonywanej przez Naczelny Sąd Administracyjny.
Podstawy, na których można oprzeć skargę kasacyjną, zostały określone w art. 174 p.p.s.a. Przepis ten w pkt 1 przewiduje dwie postacie naruszenia prawa materialnego, a mianowicie błędną jego wykładnię lub niewłaściwe zastosowanie. Przez błędną wykładnię należy rozumieć niewłaściwe zrekonstruowanie treści normy prawnej wynikającej z konkretnego przepisu, natomiast przez niewłaściwe zastosowanie dokonanie wadliwej subsumcji przepisu do ustalonego stanu faktycznego. Również druga podstawa kasacyjna wymieniona w art. 174 pkt 2 p.p.s.a. – naruszenie przepisów postępowania – choć nie jest to wyraźnie wyartykułowane, może przejawiać się w tych samych postaciach, co naruszenie prawa materialnego, przy czym w wypadku oparcia skargi kasacyjnej na tej podstawie skarżący powinien nadto wykazać istotny wpływ wytkniętego uchybienia na wynik sprawy.
W sprawie będącej przedmiotem rozpatrzenia strona wnosząca skargę kasacyjną powołała się na obie w/w podstawy kasacyjne. W tej sytuacji rozważenia w pierwszej kolejności wymagały zarzuty naruszenia przepisów postępowania, gdyż dopiero po przesądzeniu, iż stan faktyczny sprawy został prawidłowo ustalony i nie doszło do istotnych uchybień procesowych, dokonać można oceny naruszenia prawa materialnego.
Ustosunkowując się do zarzutu dotyczącego art. 133 §1 p.p.s.a. zauważyć należy, że Naczelny Sąd Administracyjny nie dopatrzył się naruszenia tego przepisu. Wbrew twierdzeniom kasatora, okoliczności powołane w uzasadnieniu zaskarżonego wyroku, celem wskazania zagrożeń będących konsekwencją przyjętych przez spółkę i zakwestionowanych przez GIODO rozwiązań w zakresie procesu udzielania zgody na przetwarzanie danych osobowych, według których udzielenie przez abonenta spółki A zgody na przetwarzanie danych osobowych obejmuje również zgodę na przekazanie danych innym współpracującym z tą spółką podmiotom nie wymagały przeprowadzenia jakichkolwiek ustaleń faktycznych i udokumentowania w aktach sprawy. Wskazując na narażenie abonenta na „agresywną, a niejednokrotnie uciążliwą kampanię marketingową”, dopuszczenie przekazania danych osobowych abonenta podmiotom, których abonent nie może darzyć „zaufaniem”, narażenie abonenta na przekazywanie jego danych osobowych podmiotom nieuprawnionym, wskazując na iluzoryczność co do decydowania abonenta o własnych danych Sąd odniósł się do wiedzy powszechnie znanej. Faktem notoryjnym bowiem jest, iż w obecnej rzeczywistości polityka marketingowa firm działających w sektorze łączności przybiera niepokojące objawy. Istnienie oczywistych zagrożeń z tym związanych oraz potrzeba zapewnienia stosownej ochrony dostrzegana jest w życiu codziennym, omawiana przez przedstawicieli doktryny, także tych, których poglądy powołane zostały w decyzjach GIODO, stanowi ratio legis regulacji prawnych krajowych oraz unijnych. Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności w sektorze łączności elektronicznej, Dz.Urz. UE L Nr 201, poz. 37 ze zm.), nakazuje wprost zapewnić środki zabezpieczenia abonentów przed ingerencją w ich prywatność, w tym przez niezamówione komunikaty do celów marketingu bezpośredniego w szczególności przez urządzenia do wywołań automatycznych, telefaksy i wiadomości z poczty elektronicznej (e-maile), wiadomości SMS. W realiach obecnej rzeczywistości, które nie wymagają dodatkowego udokumentowania w zgromadzonym w aktach sprawy materiale dowodowym, ocenę Sądu, że – w zakwestionowanym przez GIODO zakresie – praktyka spółki powoduje, narażenie abonenta na określone negatywne konsekwencje, uznać należy za w pełni uprawnioną.
W odniesieniu do kolejnego zarzutu skargi kasacyjnej obejmującego naruszenie art. 141 §4 p.p.s.a., w ramach którego podniesione zostało, że działania w zakresie modyfikacji procesu obsługi przetwarzania danych osobowych podjęte przez spółkę przed wydaniem ostatecznej decyzji, nie zostały uwzględnione przez organ, a następnie przez Sąd pierwszej instancji przy rozpatrywaniu sprawy, Naczelny Sąd Administracyjny zauważył, iż w uzasadnieniu zaskarżonej decyzji deklaracja strony co do wspomnianych działań dostosowawczych przedstawiona została jako element stanu faktycznego sprawy, w ramach rozważań natomiast organ stwierdził, iż przeprowadzona analiza doprowadziła do wniosku, że stan zgodny z prawem nie został przywrócony. Nie można zatem zgodzić się z twierdzeniem strony wnoszącej skargę kasacyjną, iż kwestia ta została przez GIODO pominięta. Stanowisko organu w tym zakresie nie zostało w skardze bezpośrednio zakwestionowane, co więcej według wyjaśnień, których udzieliła pełnomocnik spółki podczas rozprawy przed NSA zmiany dotyczące programu […], na które wskazano w skardze kasacyjnej, a które wynikają z pism znajdujących się w aktach sprawy, do czasu orzekania w II instancji nie zostały faktycznie dokonane. We wskazanych okolicznościach, brak osobnego ustosunkowania się do omówionej kwestii w uzasadnieniu zaskarżonego wyroku – w ocenie Naczelnego Sądu Administracyjnego – nie stanowi naruszenia, które miałoby istotny wpływ na rozstrzygnięcie sprawy.
Nieskuteczny okazał się również podniesiony w skardze kasacyjnej zarzut koncentrujący się na błędnej ocenie Sądu pierwszej instancji co do nieprawidłowego – zdaniem strony skarżącej – ustalenia treści pkt 2 sentencji decyzji z dnia […] stycznia 2011 r. Podkreślenia wymaga, iż postępowanie uruchomione wnioskiem o ponowne rozpatrzenie sprawy wzorowane jest na postępowaniu odwoławczym z tą tylko różnicą, że brak w nim cechy dewolutywności. Sprawa rozpatrywana jest ponownie przez ten sam organ. Organ ten tak samo, jak organ w zwykłym postępowaniu odwoławczym, raz jeszcze przystępuje do rozpatrzenia sprawy i tak, jak poprzednio dysponuje pełnymi kompetencjami do jej rozstrzygnięcia. Może więc, w zakresie swoich uprawnień wydać takie samo, jak zakwestionowane rozstrzygnięcie. W rozpatrywanej sprawie, z treści pkt 2 zaskarżonej decyzji – wydanej w wyniku wniosku o ponowne rozpatrzenie sprawy, wynika wprost, że uchylenie dotyczyło wyłącznie terminu wykonania pkt 1 ppkt 2 decyzji z dnia […] października 2010 r.. Termin wykonania obowiązku określonego w tym punkcie decyzji został pierwotnie określony na 1 miesiąc od dnia, w którym „niniejsza” – a zatem decyzja z dnia […] października 2010 r., stanie się ostateczna. Stosownie do art. 16 §1 Kodeksu postępowania administracyjnego decyzja organu pierwszej instancji, wobec upływu terminu złożenia środka odwoławczego, nie podlega zaskarżeniu w zwykłym administracyjnym toku instancji. Ponieważ spółka w rozpatrywanej sprawie skorzystała w przewidzianym do tego terminie z przysługującego środka tj. z wniosku o ponowne rozpatrzenie sprawy, ostateczne rozstrzygnięcie stanowi w tej sprawie decyzja GIODO z dnia […] stycznia 2011 r. Określiła ona na nowo termin wykonania przez spółkę obowiązku usunięcia uchybień w procesie przetwarzania danych określając go, jako 1 miesiąc od dnia, w którym „niniejsza” decyzja – a więc decyzja z dnia […] stycznia 2011 r. stanie się ostateczna. Wydana w wyniku ponownego rozpatrzenia sprawy decyzja GIODO z dnia […] stycznia 2011 r. nie podlega dalszemu zaskarżeniu w administracyjnym toku instancji, już zatem od chwili wydania ma status ostatecznej. Ta zatem data wyznacza początek biegu terminu wykonania przez spółkę wskazanych obowiązków.
Zarzut sprowadzający się do nierozpatrzenia wniosku spółki o wstrzymanie wykonania decyzji na podstawie art. 61 §3 p.p.s.a. okazał się chybiony. Wstrzymanie wykonania decyzji na tej podstawie stanowi pozostający w dyspozycji Sądu środek ochrony tymczasowej. Jak słusznie zauważa strona wnosząca skargę kasacyjną, przy rozpatrywaniu wniosku o wstrzymanie wykonania decyzji badane są inne okoliczności, niż ocena zasadności skargi. Co do zasady, z wyjątkami przewidzianymi w przepisach szczególnych, okres obowiązywania tej ochrony kończy się wraz z chwilą wydania orzeczenia kończącego postępowanie w pierwszej instancji. Niezależnie zatem od tego, czy przystąpienie bezpośrednio do merytorycznego rozstrzygnięcia sprawy z pominięciem uruchomienia procedury rozpatrzenia wniosku o przyznanie ochrony tymczasowej, było uzasadnione z punktu widzenia interesu spółki zauważyć należy, że nierozpoznanie tego wniosku przed rozstrzygnięciem sprawy co do meritum nie może stanowić o skuteczności zarzutu skargi kasacyjnej od kończącego sprawę rozstrzygnięcia, pozostaje bowiem bez wpływu na treść tego rozstrzygnięcia.
Przystępując do oceny sformułowanych w skardze kasacyjnej zarzutów dotyczących prawa materialnego Naczelny Sąd Administracyjny zauważył, iż art. 161 ust. 3 ustawy – Prawo telekomunikacyjne stanowi, że do przetwarzania danych użytkownika będącego osobą fizyczną potrzebna jest jego zgoda. Prawo telekomunikacyjne nie definiuje pojęcia zgody, jest zatem regulacją niepełną w tym zakresie. W kwestii zgody na przetwarzanie danych zastosowanie znajduje zatem ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – w rozpatrywanej sprawie w wersji opublikowanej w Dz.U. z 2002 r. Nr 101, poz. 926 ze zm., nie zaś jak, mylnie wskazuje autor skargi kasacyjnej w Dz. U. z roku 1997. Brzmienie przepisów objętych zarzutami skargi kasacyjnej nie zostało we wskazanych wersjach zmienione, co pozwala zrozumieć istotę i merytorycznie odnieść się do sformułowanych zarzutów.
Zgodnie z powołaną ustawą, podstawowa zasada ochrony danych osobowych sprowadza się do tego, że wszelka ingerencja w prywatność osoby fizycznej odnosząca się do jej danych osobowych może być dokonana na podstawie zgody osoby, której dane dotyczą. I tak, art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych stanowi, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Według natomiast art. 7 pkt 5 tej ustawy zgodę osoby, której dane dotyczą należy rozumieć jako oświadczenie woli, którego treścią jest zgoda na przetworzenie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Na temat przesłanek, które warunkują możliwość złożenia oświadczenia woli w kwestii zgody na przetwarzanie danych osobowych wielokrotnie wypowiadały się sądy administracyjne. Pomimo pewnych różnic, które zasygnalizowane zostały w wyroku z dnia 6 czerwca 2005 r. sygn. akt I OPS 2/05 (dostępny w CBOSA pod adresem http://orzeczenia.nsa.gov.pl) w orzecznictwie istnieje zgodność co do tego, że sposób pozyskiwania zgody na przetwarzanie danych umożliwiać powinien świadome i swobodne wyrażenie woli. Zaskarżony wyrok Wojewódzkiego Sądu Administracyjnego, w którym przyjęto, iż osoba wyrażająca zgodę musi zrozumieć istotę zgody, jej cel i skutki, musi więc posiadać pełne rozeznanie, konkretnie przez kogo i w jakim celu jej dane będą przetwarzane, wpisuje się w tę linię orzeczniczą.
Dokonana przez ten Sąd wykładnia znajduje pełne umocowanie w regulacji prawnej Unii Europejskiej. Zgodnie z powołaną na wstępie dyrektywą 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej, podstawową wartością jest zapewnienie praw i wolności w zakresie przetwarzania danych osobowych, w szczególności prawa do prywatności, gwarantowanego w Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności oraz w konstytucjach Państw Członkowskich. W dyrektywie przyjmuje się, że zgoda użytkownika lub abonenta, niezależnie od tego, czy abonentem jest osoba fizyczna czy prawna powinna mieć to samo znaczenie co zgoda podmiotu danych opisana i szerzej określona w dyrektywie 94/46/WE. Zgoda może być udzielona w jakikolwiek sposób umożliwiający swobodne i świadome wyrażenie woli użytkownika, włączając zaznaczenie okna wyboru podczas przeglądania witryny internetowej. Z omówionych już względów szczególnie wtedy, gdy dane podlegać mają przetwarzaniu w celach marketingowych, prawodawca unijny przywiązuje dużą wagę, by zgoda sformułowana była w sposób jasny i wyraźny. Ta szczególna ochrona uzasadniona jest gwarancją ochrony bezpieczeństwa w publicznych sieciach łączności, pewności użytkowników, że ich prywatność nie zostanie zagrożona.
W orzecznictwie sądów administracyjnych podkreśla się, że dokonując wykładni art. 23 ust. 1 pkt 1 powołanej ustawy o ochronie danych osobowych należy uwzględnić dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.UE.L.95.281.31 ze zm.), która nakazuje w krajowych przepisach prawa dotyczących przetwarzania danych osobowych uwzględnienie podstawowych praw i wolności, szczególnie prawa do prywatności, które zostało uznane zarówno w art. 8 Europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności oraz w zasadach ogólnych prawa wspólnotowego, podkreślając, że należy w ustawodawstwie dążyć do zapewnienia jak najwyższego stopnia ochrony. Zasady ochrony praw i wolności jednostki, szczególnie prawa do prywatności, które zawarte są w tej dyrektywie, utrwalają i umacniają zasady wyrażone w Konwencji Rady Europy z 26 stycznia 1981 r. w sprawie ochrony jednostek w zakresie automatycznego przetwarzania danych osobowych. Przetwarzanie danych osobowych musi być zgodne z prawem i rzetelne wobec zainteresowanych osób; w szczególności dane muszą być adekwatne, właściwe i nie wykraczać poza cele, dla których są przetwarzane; cele takie muszą być jednoznaczne i uzasadnione oraz określone w czasie gromadzenia danych; potrzeby dalszego przetwarzania danych dla potrzeb ich gromadzenia nie mogą być niezgodne z pierwotnie określonymi celami (zob. wyrok z dnia 21 listopada 2008 r. sygn. akt I OSK 1743/07 – dostępny w CBOSA pod adresem http://orzeczenia.nsa.gov.pl).
Naczelny Sąd Administracyjny w obecnym składzie podziela pogląd zaprezentowany w wyroku Naczelnego Sądu Administracyjnego w Warszawie z dnia 11 kwietnia 2003 r. sygn. akt II SA 3942/02 (pub. Baza Lex nr 1148407), że zgoda na przetwarzanie danych nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania. Strona nie może być przy tym wprowadzona w błąd. Jeżeli zatem tak, jak w rozpatrywanej sprawie oświadczenie woli dotyczyć ma istotnie różniących się celów przetwarzania tj. działań marketingowych podejmowanych przez spółkę A samodzielnie i działań marketingowych podejmowanych we współpracy z innymi podmiotami, które zgodnie z obowiązującym regulaminem wiązać się mogą z koniecznością przekazania danych innym administratorom, zgoda powinna być wyrażona wyraźnie pod każdym z tych celów przetwarzania.
Stanowisko strony wnoszącej skargę kasacyjną, iż zgodnie z zasadą swobody kontraktów osoby, którym nie odpowiada praktyka spółki w zakresie uzyskania zgody na przetwarzanie danych osobowych mogą zrezygnować z przystąpienia do programu poddaje pod wątpliwość cały obowiązujący system prawny gwarantujący ochronę danych osobowych z uwzględnieniem procesów ich przetwarzania. W demokratycznym państwie prawa wszystkie podmioty zobowiązane są do przestrzegania prawa. Nie można więc zatem przyjąć, że klient chcąc skorzystać z oferty przedsiębiorcy musi rezygnować z przysługującej mu ochrony prawnej i godzić się na łamanie powszechnie obowiązującego prawa. Właśnie ze względu na wyrażoną w art. 2 Konstytucji Rzeczypospolitej Polskiej zasadę demokratycznego państwa prawnego klient przystępując do programu oferowanego przez dostawcę usług w sektorze telekomunikacyjnym może zakładać, iż procedury związane z przetwarzaniem jego danych osobowych są zgodne obowiązującym prawem. Jeżeli tak nie jest Generalny Inspektor Ochrony Danych Osobowych ma obowiązek interweniować korzystając z przysługujących mu uprawnień określonych przepisami ustawy o ochronie danych osobowych.
Z uwagi na powyższe Naczelny Sąd Administracyjny stwierdził, że Sąd pierwszej instancji zasadnie skargę oddalił. Stąd, na podstawie art. 184 ustawy – Prawo o postępowaniu przed sądami administracyjnymi orzeczono, jak w sentencji.
źródło: http://orzeczenia.nsa.gov.pl/
Wyroki / Interpretacje / Stanowiska dla Kadr i Płac
-
Przetwarzanie danych osobowych po zakończeniu rekrutacji – wyrok NSA z 20.2.2024 r. – III OSK 2700/22
Przetwarzanie danych osobowych (zawartych np. w CV) po zakończeniu... -
Wyrok NSA z 14.9.2023 r. – II FSK 2632/20
Podatek (przychód) a ryczałt za używanie samochodu prywatnego do... -
Wyrok NSA z 25.1.2022 r. – II FSK 1037/19
Zapłata zaległych składek ZUS za zatrudnionego (np. pracownika lub...