Wyrok Naczelnego Sądu Administracyjnego z dnia 20 kwietnia 2021 r. III OSK 161/21
Łączenie w jednym oświadczeniu zgód na marketing własny i innych podmiotów jest niezgodne z prawem
III OSK 161/21
06/12/2021
Należy zatem przyjąć, że jeżeli, jak w niniejszej sprawie, zgoda ma dotyczyć różnych kwestii związanych z przetwarzaniem danych osobowych, to zgoda powinna być wyrażona odrębnie dla każdej z nich.
Skład orzekający
Przewodniczący: Sędzia NSA Teresa Zyglewska.
Sędziowie NSA: Zbigniew Ślusarczyk (spr.), Olga Żurawska-Matusiak.
Sentencja
Naczelny Sąd Administracyjny po rozpoznaniu w dniu 20 kwietnia 2021 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej V. Sp. z o.o. z/s w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 26 lutego 2018 r. sygn. akt II SA/Wa 943/17 w sprawie ze skargi V. Sp. z o.o. z/s w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) kwietnia 2017 r. nr (...) w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.
UZASADNIENIE
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 26 lutego 2018 r. sygn. akt II SA/Wa 943/17, na podstawie art. 151 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 z późn. zm.) dalej zwanej "p.p.s.a." oddalił skargę V. Sp. z o.o. z/s w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z (...) kwietnia nr (...) w przedmiocie przetwarzania danych osobowych.
W ocenie Sądu pierwszej instancji istota sporu dotyczyła tego, czy na gruncie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), jest dopuszczalne wyrażenie jednej zgody na dokonywanie przetwarzania danych osobowych w celu marketingu bezpośredniego produktów V. Sp. z o.o. oraz używanie telekomunikacyjnych urządzeń końcowych w celu prowadzenia tego marketingu, o której mowa w art. 172 ustawy z 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2016 r. poz. 1489, z późn. zm.). Jak wskazał Sąd pierwszej instancji, przy przetwarzaniu danych osobowych należy zapewnić maksimum ochrony prawnej osobie, której dane osobowe są wykorzystane. Oznacza to, że osoba ta powinna mieć nie tylko możliwość odmowy wykorzystania jej danych osobowych w całości, a powinna być uprawniona do wyboru, w jakiej sferze wyraża zgodę na wykorzystanie oznaczonych danych. Tymczasem przyjęte przez skarżącą rozwiązanie polegające na zawarciu w treści jednego oświadczenia kilku zgód prowadzi do sytuacji, w której osoba ta nie ma pełnej swobody w dysponowaniu swoimi danymi osobowymi. Ponadto w ocenie Sądu pierwszej instancji wyrażenie jednej zgody w zakresie dwóch niezależnych podstaw prawnych i celów przetwarzania danych może wprowadzać w błąd osobę, która wyraża zgodę na przetwarzanie jej danych osobowych. Jeżeli zatem zgoda ma dotyczyć różniących się celów przetwarzania danych osobowych, to powinna ona zostać wyrażona odrębnie dla każdego celu.
Skargę kasacyjną złożyła V. Sp. z o.o. z/s w W., zaskarżając powyższy wyrok w całości. Zarzucono naruszenie przepisów prawa materialnego przez błędną wykładnię i niewłaściwe zastosowanie, tj.:
1. art. 23 ust. 1 pkt 1 ustawy "z dnia 29 sierpnia 1007 r." o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) (dalej w treści skargi jako ustawa) "przyjmując nieprawidłowo, iż treść zgody na przetwarzanie danych w celach marketingowych nie pozwala na świadome i swobodne wyrażenie oświadczenia woli, abstrahując od faktu, iż zgoda o której mowa ma swoje zastosowanie do części wyłącznie klauzuli tj. zgody na przetwarzanie w celach marketingowych produktów spółki i w odniesieniu do tego zakresu została udzielona skutecznie",
2. art. 23 ust. 1 pkt 5 ustawy przyjmując błędnie, że przepis ten nie ma zastosowania do zapisów klauzuli przedkładanej klientom skarżącego w części: "(...) w celu marketingu bezpośredniego dotyczącego produktów i usług podmiotów należących do grupy kapitałowej (...), (...)" w szczególności, iż brzmienie art. 23 ust. 1 pkt 5 wyłącza zastosowanie tzw. "zgody legalizującej",
3. art. 23 ust. 1 pkt 3 i art. 26 ust. 1 pkt 3 ustawy przyjmując, iż przetwarzanie danych osobowych dokonywane przez skarżącego w stanie faktycznym sprawy było nieadekwatne do celu jakiemu dane miały służyć, co stoi w oczywistej sprzeczności z zakresem w jakim skarżący dane przetwarza oraz podstawą prawną prowadzonych działań w tym w szczególności do koniecznych i równoległych odniesień do przepisów szczególnych,
4. art. 172 ust. 1 Prawa telekomunikacyjnego (Dz. U. z 2014 r. poz. 243 z późn. zm.) przyjmując błędnie, iż zgoda o której mowa w tym przepisie nie ma zastosowania w sprawie niniejszej z uwagi na różny zakres regulacji ustawy oraz Prawa telekomunikacyjnego, tj. rzekomo rozbieżnego charakteru oświadczenia woli tj. przez uznanie, że przepis ten nie ma związku ze sposobem w jaki dochodzi do przetwarzania danych osobowych, podczas gdy przesyłanie treści marketingowych na adres email lub numer telefonu zidentyfikowanej osoby nierozerwalnie wiąże się z przetwarzaniem podanych przez nią swoich danych osobowych, w związku z czym nie jest możliwe wykonywanie marketingu bezpośredniego przy użyciu telekomunikacyjnych urządzeń końcowych bez jednoczesnego przetwarzania danych osobowych zidentyfikowanej osoby, wobec czego należy przyjąć, że w przypadku gdy osoba ma świadomość, że takie urządzenia będą wobec niej wykorzystywane, to nie ma potrzeby pozyskiwania kolejnej zgody na tę samą czynność, obejmującą to samo działanie w postaci przesłania komunikatu marketingowego na adres email lub nr telefonu.
W oparciu o tak sformułowane zarzuty wniesiono o uchylenie zaskarżonego wyroku w całości i o przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie. Ponadto wniesiono o zasądzenie na rzecz strony skarżącej kosztów postępowania, w tym kosztów zastępstwa radcy prawnego.
W uzasadnieniu skargi kasacyjnej wskazano, że skarżący nie ma potrzeby pozyskiwania zgody na przetwarzanie danych osobowych dla celów marketingu bezpośredniego własnych produktów i usług, jako że przetwarzanie takie dokonywane jest w oparciu o art. 23 ust. 1 pkt 5 i art. 24 ust. 4 ustawy. Jedynie w zakresie, w jakim skarżący wykonuje marketing produktów i usług innych podmiotów, jest on zobowiązany do pozyskiwania zgody od osób, których dane dotyczą. Autor skargi kasacyjnej nie zgadza się z twierdzeniem, jakoby oświadczenie woli składane przez klientów lub potencjalnych klientów skarżącego dotyczyło istotnie różniących się celów przetwarzania, w związku z czym zgoda powinna być wyrażono wyraźnie pod każdym z tych celów przetwarzania. W tym zakresie osoba wyrażająca zgodę na przetwarzanie jej danych osobowych ma pełną świadomość, że po wyrażeniu zgody będzie otrzymywać informacje dotyczące pożyczek oferowanych przez partnerów skarżącego. Z kolei rozdzielenie zgód na marketing własny oraz marketing innych podmiotów spowoduje wprowadzenie w błąd osoby wyrażającej zgodę na przetwarzanie danych osobowych. Autor skargi kasacyjnej wywodzi, że nie fakt, jakich podmiotów dotyczy zgoda, a cel przetwarzania danych determinuje zakres zgody. Ponadto zaskarżona decyzja nie uwzględnia również treści art. 172 ust. 1 ustawy Prawo telekomunikacyjne. Przesyłanie komunikatów marketingowych odbywa się wyłącznie przy wykorzystaniu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących, a zgoda, którą mogą wyrazić klienci lub potencjalni klienci skarżącego, dotyczyła więc celu w postaci wykonywania działań marketingowych przez skarżącego w określony w niej sposób.
W odpowiedzi na skargę kasacyjną Prezes Urzędu Ochrony Danych Osobowych wniósł o oddalenie skargi kasacyjnej. W ocenie organu zaskarżony wyrok odpowiada prawu.
Naczelny Sąd Administracyjny zważył, co następuje:
Zarządzeniem z 29 stycznia 2021 r. Przewodnicząca Wydziału III w Izbie Ogónoadministracyjnej Naczelnego Sądu Administracyjnego, powołując się na art. 15 zzs⁴ ust. 3 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r. poz. 1842 z późn. zm., dalej uCOVID-19), skierowała sprawę na posiedzenie niejawne, z uwagi na to, że przeprowadzenie wymaganej przez ustawę rozprawy mogłoby wywołać nadmierne zagrożenie dla zdrowia osób w niej uczestniczących i nie można jej przeprowadzić na odległość z jednoczesnym przekazem obrazu i dźwięku. W związku z tym, strony postępowania zawiadomiono o skierowaniu sprawy na posiedzenie niejawne celem rozpoznania skargi kasacyjnej. Ponadto strony pouczono, że mają prawo w terminie 7 dni od daty otrzymania zawiadomienia do pisemnego dodatkowego przedstawienia swojego stanowiska w sprawie w granicach zarzutów złożonej skargi kasacyjnej.
W związku z tym w sprawie należało rozstrzygnąć czy dopuszczalne jest, w świetle art. 15 zzs⁴ uCOVID-19, rozpoznanie sprawy na posiedzeniu niejawnym. Zdaniem Naczelnego Sądu Administracyjnego, uwzględniając zasadę jawności posiedzeń sądowych (art. 10 p.p.s.a.) i regułę rozpoznawania spraw sądowoadministracyjnych w formie rozprawy (art. 90 § 1 p.p.s.a.), przy jednoczesnym zastrzeżeniu wyjątku od nich, gdy przewiduje to "przepis szczególny", przy odpowiednim zastosowaniu rozwiązań przewidzianych w art. 15zzs4 ust. 2 i 3 uCOVID-19, na pytanie to należy odpowiedzieć pozytywnie. Z przepisów tych wynika odpowiednio, że: "W okresie obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii ogłoszonego z powodu COVID-19 oraz w ciągu roku od odwołania ostatniego z nich wojewódzkie sądy administracyjne oraz Naczelny Sąd Administracyjny przeprowadzają rozprawę przy użyciu urządzeń technicznych umożliwiających przeprowadzenie jej na odległość z jednoczesnym bezpośrednim przekazem obrazu i dźwięku, z tym że osoby w niej uczestniczące nie muszą przebywać w budynku sądu, chyba że przeprowadzenie rozprawy bez użycia powyższych urządzeń nie wywoła nadmiernego zagrożenia dla zdrowia osób w niej uczestniczących" (ust. 2) oraz "Przewodniczący może zarządzić przeprowadzenie posiedzenia niejawnego, jeżeli uzna rozpoznanie sprawy za konieczne, a przeprowadzenie wymaganej przez ustawę rozprawy mogłoby wywołać nadmierne zagrożenie dla zdrowia osób w niej uczestniczących i nie można przeprowadzić jej na odległość z jednoczesnym bezpośrednim przekazem obrazu i dźwięku. Na posiedzeniu niejawnym w tych sprawach sąd orzeka w składzie trzech sędziów" (ust. 3). Należy mieć na względzie, że w pierwotnej wersji uCOVID-19 zamieszczono przepis art. 15 zzs ust. 6, z którego treści wynikało, że w okresie stanu zagrożenia epidemicznego lub stanu epidemii ogłoszonego z powodu COVID-19 "nie przeprowadza się rozpraw ani posiedzeń jawnych", z wyjątkiem rozpraw i posiedzeń jawnych w sprawach określonych w art. 14a ust. 4 i 5 tej ustawy, określonych mianem "pilnych". Do katalogu takich spraw pilnych ustawodawca nie zaliczał niniejszej sprawy. Uchylenie przepisów art. 14a i art. 15zzs uCOVID-19 nastąpiło jednocześnie z dodaniem do tej ustawy m.in. przywołanych uprzednio regulacji zawartych w jej art. 15 zzs4 ust. 2 i 3. Sens takiego działania ustawodawcy sprowadza się zatem do tego, że istniejący stan epidemii ogłoszony z powodu COVID-19 (co jest okolicznością notoryjną) nie stanowi aktualnie przeszkody m.in. do działania przez Naczelny Sąd Administracyjny w niniejszej sprawie na posiedzeniu niejawnym. Dodanie w uCOVID-19 przepisów art. 15 zzs4 ust. 2 i 3 nakazuje rozważyć, czy tam przewidziane rozwiązania - wobec niewątpliwie utrzymującego się stanu epidemii COVID-19 powinny mieć zastosowanie w stosunku do niniejszej sprawy. W ocenie Naczelnego Sądu Administracyjnego wykładnia funkcjonalna przepisów uCOVID-19 nakazuje opowiedzieć się za dopuszczalnością zastosowania konstrukcji zawartej w art. 15zzs4 ust. 3 uCOVID-19 w niniejszej sprawie i możliwością rozpoznania skargi kasacyjnej na posiedzeniu niejawnym. Powyższy przepis należy traktować jako "szczególny" w rozumieniu art. 10 i art. 90 § 1 p.p.s.a. Prawo do publicznej rozprawy nie ma charakteru absolutnego i może podlegać ograniczeniu, w tym także ze względu na treść art. 31 ust. 3 Konstytucji RP, w którym jest mowa o ograniczeniach w zakresie korzystania z konstytucyjnych wolności i praw, gdy jest to unormowane w ustawie oraz tylko wtedy, gdy jest to konieczne w demokratycznym państwie m.in. dla ochrony zdrowia. Nie ulega wątpliwości, że celem stosowania konstrukcji przewidzianych przepisami uCOVID-19 jest m.in. ochrona życia i zdrowia ludzkiego w związku z zapobieganiem i zwalczaniem zakażenia wirusem COVID-19, a w obecnym stanie faktycznym istnieją takie okoliczności, które w zarządzonym stanie pandemii, w pełni nakazują uwzględnianie rozwiązań powyższej ustawy w praktyce działania organów wymiaru sprawiedliwości. Z perspektywy zachowania prawa do rzetelnego procesu sądowego najistotniejsze jest zachowanie uprawnienia przedstawienia przez stronę swojego stanowiska w sprawie (gwarancja prawa do obrony). Dopuszczalne przepisami szczególnymi odstępstwo od posiedzenia jawnego sądu administracyjnego na rzecz formy niejawnej winno następować z zachowaniem wymogów rzetelnego procesu sądowego. Ten standard ochrony praw stron i uczestników został zachowany, skoro wskazanym uprzednio zarządzeniem Przewodniczącej Wydziału z 29 stycznia 2021 r. strony zostały o tym powiadomione i miały możliwość zajęcia stanowiska w sprawie.
Podsumowując powyższe uwagi, skład Sądu rozpoznający niniejszą sprawę uznał, że dopuszczalne jest rozpoznanie złożonej w niej skargi kasacyjnej na posiedzeniu niejawnym na podstawie art. 15zzs4 ust. 3 uCOVID-19, albowiem przeprowadzenie wymaganej przez ustawę rozprawy mogłoby wywołać nadmierne zagrożenie dla zdrowia osób w niej uczestniczących i nie można przeprowadzić jej na odległość z jednoczesnym bezpośrednim przekazem obrazu i dźwięku.
Przechodząc do rozpoznania skargi kasacyjnej należy wskazać, że stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2019 r. poz. 2325 z późn. zm.), zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.
W skardze kasacyjnej podniesiono tylko zarzuty naruszenia prawa materialnego. Zatem Naczelny Sąd Administracyjny dokonał oceny tych zarzutów na podstawie stanu faktycznego ustalonego przez Generalnego Inspektora Ochrony Danych Osobowych i zaaprobowanego przez Sąd pierwszej instancji. Jest to stwierdzenie o tyle istotne, że autor skargi kasacyjnej część podniesionych zarzutów uzasadnia argumentami opartymi na innym niż przyjął organ i Sąd stanie faktycznym. Tymczasem ocena zasadności zarzutu naruszenia prawa materialnego może być dokonana wyłącznie na podstawie ustalonego w sprawie stanu faktycznego, nie zaś na podstawie stanu faktycznego, który skarżący uznaje za prawidłowy (por. wyrok NSA z 13 sierpnia 2013 r., sygn. akt II GSK 717/12, LEX nr 1408530; wyrok NSA z 4 lipca 2013 r., sygn. akt I GSK 934/12, LEX nr 1372091). Ponadto należy zauważyć, że w orzecznictwie NSA panuje niekwestionowany pogląd, że próba zwalczenia ustaleń faktycznych poczynionych przez sąd I instancji nie może nastąpić przez zarzut naruszenia prawa materialnego (art. 174 pkt 1). Ewentualnie może być ona skuteczna, tylko w ramach podstawy kasacyjnej wymienionej w art. 174 pkt 2 (patrz wyrok NSA z 6 lipca 2004 r., sygn. akt FSK 192/04, ONSAiWSA 2004, Nr 3, poz. 68). I odwrotnie zresztą, zarzut naruszenia prawa materialnego nie może być skutecznie uzasadniony próbą zwalczenia poczynionych w sprawie ustaleń (patrz wyrok NSA z 16 września 2004 r., sygn. akt FSK 471/04, ONSAiWSA 2005, Nr 5, poz. 96), jak to ma miejsce w skardze kasacyjnej wniesionej w niniejszej sprawie. Zatem argumenty Spółki oparte na odmiennych od zaaprobowanych przez Sąd pierwszej instancji ustaleniach nie mogły stanowić o zasadności podniesionych zarzutów.
Z przyjętych ustaleń organu wynika, że Spółka pozyskuje od potencjalnych klientów (tj. osób składających wniosek o udzielenie pożyczki) oraz klientów zgodę następującej treści: "Wyrażam zgodę na przetwarzanie moich danych osobowych przez V. Sp. z o.o. w celu marketingu bezpośredniego dotyczącego produktów i usług podmiotów należących do grupy kapitałowej "(...)", wykonywanego przy użyciu telekomunikacyjnych urządzeń końcowych oraz automatycznych systemów wywołujących zgodnie z art. 172 Prawa Telekomunikacyjnego (Dz. U. z 2014 r. poz. 234 z późn. zm.) i w tym celu udostępniam podane przeze mnie w niniejszym wniosku dane w zakresie: adres e-mail oraz numer telefonu.". Spółka należy do grupy kapitałowej "(...)". Wobec osób, które wyraziły powyższą zgodę, Spółka prowadzi działalność marketingową przez wykonywanie rozmów telefonicznych, wysyłanie wiadomości tekstowych (sms) i wiadomości e-mail. Organ ustalił, że we wskazanej klauzuli zawarto trzy różne oświadczenia woli, tj.
1) zgodę na przetwarzanie danych osobowych potencjalnych klientów i klientów Spółki w celach marketingowych produktów i usług Spółki,
2) zgodę na przetwarzanie danych osobowych potencjalnych klientów i klientów Spółki w celach marketingowych produktów i usług podmiotów należących do grupy kapitałowej "(...)", oraz
3) zgodę na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących w celu przeprowadzenia marketingu bezpośredniego.
Należy tu podkreślić, że kierowane oferty marketingowe mają dotyczyć produktów i usług podmiotów należących do grupy kapitałowej "(...)", do której należy również Spółka. Zatem zgoda ta dotyczy zarówno produktów i usług Spółki jak i innych podmiotów.
Strony są zgodne, że istota sporu co do nakazu nałożonego na Spółkę w punkcie I. 1. decyzji z (...) lutego 2017 r. sprowadza się do tego, czy na gruncie obowiązujących przepisów jest dopuszczalne wyrażenie jednej zgody na dokonywanie przetwarzania danych osobowych w celu marketingu bezpośredniego produktów V. Sp. z o.o. i innych podmiotów należących do grupy kapitałowej "(...)" oraz używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących w celu prowadzenia tego marketingu, o której mowa w art. 172 ust. 1 ustawy z 16 lipca 2004 r. Prawo telekomunikacyjne. Zgodnie z art. 23 ust. 1 pkt 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Natomiast z art. 172 ust. 1 ustawy Prawo telekomunikacyjne (Dz. U. z 2016 r. poz. 1489, z późn. zm.), wynika z kolei zakaz używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik wyrazi na to zgodę. Jak to trafnie wyjaśnił Sąd pierwszej instancji, zgoda może obejmować różne cele przetwarzania danych osobowych. Przy przetwarzaniu danych osobowych należy zapewnić osobie, której dane osobowe będą wykorzystywane, maksimum ochrony prawnej, zwłaszcza gdy dane te będą wykorzystywane w celach marketingowych. Należy takiej osobie umożliwić wyrażenie zgody nie tylko w układzie tak bądź nie, lecz "zgody rozbudowanej", odnoszącej się do poszczególnych sfer wykorzystania oznaczonych danych. Takiego wyboru nie zapewnia ujawniona w postępowaniu przed Generalnym Inspektorem Ochrony Danych Osobowych praktyka stosowana przez Spółkę, albowiem udzielający zgody nie może udzielić jej tylko w części. Z tego względu zasadnym jest zapewnienie klientowi opcjonalności w zakresie wyrażania zgody na przetwarzanie danych osobowych przez Spółkę współpracującą z innymi podmiotami. Zawarcie kilku zgód w treści jednego oświadczenia skutkuje brakiem możliwości wyboru zgody, którą zamierza się wyrazić. Oznacza to, że osoba, której dane dotyczą nie ma pełnej swobody w dysponowaniu swoimi danymi osobowymi. Wyrażenie zgody na przetwarzanie danych w celach marketingowych, zgodnie z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych stanowi przesłankę legalności przetwarzania danych osobowych przez administratora, a zgoda ta jest niezależna od środków w jaki sposób jest kierowany ten marketing i powinna być wyodrębniona od sposobu realizacji marketingu bezpośredniego. W niniejszej sprawie od wymogów wskazanych w art. 172 ust. 1 Prawa telekomunikacyjnego. Podmiot zwracający się do osoby fizycznej o wyrażenie takiej zgody musi to uczynić w sposób wyraźny, jednoznaczny, wyróżniający się spośród innych pochodzących od tego podmiotu informacji i oświadczeń. Osoba wyrażająca zgodę musi zrozumieć istotę zgody, jej cel i skutki, a zatem musi posiadać pełne rozeznanie, konkretnie przez kogo i w jakim ściśle określonym celu jej dane będą przetwarzane.
Nietrafne jest twierdzenie skarżącej, że nie ma znaczenia fakt jakich podmiotów dotyczy zgoda. W okolicznościach niniejszej sprawy jest to okoliczność równie istotna jak cele pozyskiwania danych osobowych. Klient powinien wiedzieć jakich podmiotów dotyczy zgoda i mieć możliwość wyboru w tym zakresie. Na gruncie niniejszej sprawy, konstrukcja kwestionowanej klauzuli, wprowadzająca zbędny wymóg zgody na marketing produktów i usług Spółki, może na przykład stwarzać wątpliwości po stronie klientów, co do pożądanego przez nich marketingu produktów i usług Spółki - w sytuacji niezgadzania się na marketing produktów i usług innych podmiotów należących do grupy "(...)". Nie sposób też przyjąć, że jak to twierdzi skarżąca, klienci są świadomi przedmiotu prowadzenia działalności przez podmioty należące do grupy "(...)", a w konsekwencji jakoby wiedzieli jakie będą otrzymywać informacje dotyczące produktów i usług tych podmiotów.
Nie można też zgodzić się ze stanowiskiem Spółki, z którego wynika, że analiza Rozporządzenia Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne Rozporządzenie o ochronie danych, dalej "RODO"), wskazuje, iż najważniejszy jest cel dla którego zgoda na przetwarzanie danych osobowych jest pozyskiwana a nie jest istotne wskazanie podmiotów, na rzecz których pozyskane dane będą przetwarzane. Wskazać bowiem należy, że jak słusznie podnosi organ w odpowiedzi na skargę kasacyjną, w motywie 42 preambuły RODO określone zostały warunki jakie powinny zostać spełnione, aby przetwarzanie danych mogło odbywać się na podstawie zgody. Po pierwsze, administrator danych powinien być w stanie wykazać, że osoba której dane dotyczą wyraziła zgodę na operacje przetwarzania. Po drugie, w przypadku oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba której dane dotyczą, jest świadoma wyrażenia zgody na oraz jej zakresu. Po trzecie, oświadczenie powinno mieć zrozumiałą i łatwo dostępna formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków. Po czwarte, osoba której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych aby wyrażenie zgody było świadome. Po piąte, jeżeli osoba której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru, oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji, nie można uznawać, iż zgoda została wyrażona dobrowolnie. Analizując powyższe uregulowania stwierdzić należy, że dotychczasowa doktryna i judykatura wykształciły standardy, które w zasadzie zostały powtórzone w cytowanym motywie preambuły ogólnego rozporządzenia o ochronie danych.
Konkludując, na gruncie przepisów o ochronie danych osobowych istnieje wymóg zapewnienia, aby decyzja w sprawie wyrażenia zgody na przetwarzanie danych osobowych w określonym celu była podjęta swobodnie i miała charakter samodzielny, musi ona być przejawem wolnej i nieskrępowanej woli danej osoby, to znaczy nie może być wymuszona przez konieczność złożenia innych oświadczeń woli. Wskazanych wyżej wymogów nie spełnia klauzula proponowana przez Spółkę jej klientom. Dlatego nie można zgodzić się z zarzutem, że w przedmiotowej sprawie doszło do naruszenia przez organ art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych przez uznanie, iż treść zgody na przetwarzanie danych w celach marketingowych zawarta w powołanej klauzuli nie pozwala na świadome i swobodne wyrażenie oświadczenia woli. Z przytoczonej klauzuli wynika, że proponowana zgoda nie daje możliwości wyboru pomiędzy marketingiem produktów i usług Spółki jako administratora danych oraz produktów i usług innych nieokreślonych jednostkowo podmiotów. Wbrew stanowisku skarżącej istotne jest też to, że jedna zgoda dotyczy dwóch niezależnych podstaw prawnych zawartych w różnych ustawach. W rezultacie należy uznać, że zgoda dotyczy różnych celów przetwarzania danych osobowych, tj. marketingu produktów i usług Spółki, marketingu produktów i usług innych podmiotów oraz możliwości wykorzystania do marketingu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących. Należy tu dodać, że co prawda Spółka jest zwolniona z uzyskania zgody na marketing własnych produktów i usług, to jednak z przytoczonej klauzuli wprost wynika, że zgoda ma obejmować również marketing produktów i usług Spółki. Ponadto należy zauważyć, że aby Spółka mogła prowadzić marketing bezpośredni swoich produktów i usług wykorzystując do przetwarzania danych osobowych telekomunikacyjne urządzenia końcowe i automatyczne systemy wywołujące, obowiązana jest stosownie do art. 172 ust. 1 Prawa telekomunikacyjnego, uzyskać na to zgodę klientów i potencjalnych klientów. Należy zatem przyjąć, że jeżeli, jak w niniejszej sprawie, zgoda ma dotyczyć różnych kwestii związanych z przetwarzaniem danych osobowych, to zgoda powinna być wyrażona odrębnie dla każdej z nich.
Za niezrozumiałe uznać należy wywody zawarte w uzasadnieniu skargi kasacyjnej dotyczące art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 1 ustawy o ochronie danych osobowych w zakresie marketingu bezpośredniego produktów i usług Spółki, ponieważ zarówno organ jak i Sąd nie kwestionowały możliwości prowadzenia takiego marketingu bez zgody klientów. Oczywiście za wyjątkiem marketingu z wykorzystaniem telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących.
Odnosząc się do twierdzenia skarżącej, że Sąd uznaje, iż przepis art. 172 ust. 1 Prawa telekomunikacyjnego nie ma związku ze sposobem w jaki dochodzi do przetworzenia danych osobowych, należy zdecydowanie stwierdzić, że Sąd i organ nie podnosiły takiego argumentu na żadnym etapie prowadzonych postępowań. Natomiast, organ wskazywał na to, że zgoda, o której mowa w art. 172 ust. 1 Prawa telekomunikacyjnego nie może być dorozumiana ze zgody wynikającej z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych i odwrotnie. Albowiem te dwie zgody dotyczą różnych kwestii i wynikają z różnych aktów prawnych. Co prawda można przyjąć, że marketing prowadzony przez Spółkę opiera się "na jednym i tym samym działaniu", ale wymóg jasności klauzuli (tj. świadomości klienta na co wyraża zgodę) sprawia, że zgoda przewidziana w art. 172 ust. 1 Prawa telekomunikacyjnego powinna być wyodrębniona. Wbrew twierdzeniom Spółki, ta ostatnia zgoda nie polega na tym samym, co zgoda z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Podsumowując, nie jest też trafny zarzut naruszenia art. 172 ust. 1 Prawa telekomunikacyjnego.
Nie jest też zasadny zarzut naruszenia art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, którego Spółka upatruje w tym, że Sąd błędnie przyjął, iż przepis ten nie ma zastosowania do zapisów klauzuli przedkładanej klientom w części - "w celu marketingu bezpośredniego dotyczącego produktów i usług podmiotów należących do grupy kapitałowej "(...)". Stosownie do treści art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Natomiast stosownie do art. 23 ust. 4 pkt 1 tej ustawy za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych. Z tego względu, nie budzi wątpliwości Naczelnego Sądu Administracyjnego, iż przepis art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych nie stanowi podstawy prawnej do prowadzenia przez Spółkę marketingu na rzecz innych, tj. podmiotów należących do grupy kapitałowej "(...)" bez wyraźnej zgody klientów. Przetwarzanie przez Spółkę danych osobowych w celu marketingu prowadzonego na rzecz innych podmiotów, powinno odbywać się wyłącznie za zgodą osoby, której dane dotyczą, tj. na podstawie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych.
Odnośnie do zarzutu dotyczącego nakazu zaprzestania przetwarzania danych osobowych osób wnioskujących o udzielenie pożyczki za pośrednictwem: R. SA oraz brokerów: Dom Finansowy (...), F. SA, K. oraz H. Sp. z o.o. w zakresie: nazwisko rodowe, imiona rodziców, data wydania dowodu osobistego oraz nazwa organu, który go wydał, wizerunek, wzrost, kolor oczu, miejsce urodzenia, nazwisko panieńskie matki, jako nieadekwatnych do celu, w jakim dane te są przetwarzane, tj. identyfikacji tożsamości ww. osób przed zawarciem umowy pożyczki, należy wskazać, że z zaaprobowanych przez Sąd pierwszej instancji ustaleń organu, a nie podważonych w skardze kasacyjnej, wynika, że w przypadku składania wniosku za pośrednictwem brokera czy R. SA, w proces składania wniosku zaangażowany jest agent współpracujący z brokerem, bądź pracownik placówki R. SA. Z osobami takimi wnioskodawca składający wniosek o pożyczkę kontaktuje się bezpośrednio i w związku z tym tożsamość wnioskodawcy powinna być potwierdzona na podstawie okazanego dowodu osobistego. Tym samym uznać należy, że późniejsza ponowna weryfikacja tożsamości wnioskodawcy, przez pracowników Spółki, w oparciu o przesłany skan dowodu osobistego nie znajduje uzasadnienia. Wobec niepodnoszenia w skardze kasacyjnej zarzutów naruszenia przepisów postępowania regulujących ustalanie stanu faktycznego, bez wpływu na wynik sprawy pozostają twierdzenia Spółki zawarte w uzasadnieniu skargi kasacyjnej, dotyczące innego niż ustalił to organ, celu przetwarzania przez Spółkę danych zawartych w dowodach osobistych klientów.
Należy ponadto przypomnieć, że nakaz zawarty w punkcie I. 2. decyzji z (...) lutego 2017 r. nie dotyczy braku podstawy prawnej przetwarzania przez Spółkę danych osobowych w zakresie nazwisko rodowe, imiona rodziców, data wydania dowodu osobistego oraz nazwa organu, który go wydał, wizerunek, wzrost, kolor oczu, miejsce urodzenia, nazwisko panieńskie matki, ponieważ nakaz ten odnosi się do kwestii przetwarzania ww. danych w zakresie nieadekwatnym do celu, w jakim dane te są przetwarzane, tj. w celu weryfikacji tożsamości osoby ubiegającej się o pożyczkę. Jak trafnie podnosi to organ w odpowiedzi na skargę kasacyjną, argumentacja ta znajduje również uzasadnienie w obecnie obowiązujących przepisach RODO, tj. w art. 5 ust. 1 pkt c), zgodnie z którym dane osobowe muszą być adekwatne, stosowne i ograniczone do tego, co niezbędne do realizacji celów, w których są przetwarzane ("minimalizacja danych"). Zasada minimalizacji danych została wymieniona wśród innych zasad przetwarzania danych osobowych takich jak ograniczenie celu czy prawidłowość. Zasada minimalizacji danych osobowych nierozerwalnie wiąże się z celami, w których dane osobowe mają być przetwarzane. RODO wymaga aby podmiot zbierający i przetwarzający dane (administrator danych osobowych) gromadził i wykorzystywał tylko te dane, które są rzeczywiście zgodne z celami, które chce on osiągnąć przy pomocy tych danych osobowych. Innymi słowy, administrator danych osobowych jest zobowiązany do gromadzenia tylko takich danych, jakie są niezbędne dla określonego celu przetwarzania. Ponadto, zgodnie z RODO administrator danych jest odpowiedzialny m.in. za przestrzeganie zasady minimalizacji i musi być w stanie wykazać jej przestrzeganie (art. 5 ust. 2 RODO).
W konsekwencji powyższego, za niezasadny należy uznać również zarzut naruszenia ar. 23 ust. 1 pkt 3 i art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych.
Za irrelewantne należy uznać wywody zawarte w uzasadnieniu skargi kasacyjnej związane z przepisem art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, skoro przepis ten nie został określony jako naruszony w żadnej z podstaw kasacyjnych. Ponadto, wbrew twierdzeniom autora skargi kasacyjnej, przepis ten nie był wykładany przez Sąd pierwszej instancji, tym bardziej nie mógł być błędnie wyłożony, nie był też przez ten Sąd stosowany. Sąd ten nie dokonywał także wykładni, jakoby związanych z tym przepisem, nie określonych konkretnie w skardze kasacyjnej przepisów ustawy o przeciwdziałaniu praniu brudnych pieniędzy i finansowaniu terroryzmu, ustawy o kredycie konsumenckim, ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych, ustawy Prawo bankowe oraz rozporządzenia Ministra finansów z 23 czerwca 2016 r. w sprawie szczegółowego zakresu danych podlegających wymianie pomiędzy instytucjami utworzonymi na podstawie przepisów prawa bankowego a instytucjami pożyczkowymi i innymi podmiotami.
Mając na uwadze powyższe wywody, Naczelny Sąd Administracyjny uznał, że skarga kasacyjna nie ma usprawiedliwionych podstaw, dlatego na mocy art. 184 p.p.s.a. ją oddalił.
Zbiorów orzeczeń sądów administracyjnych.