Sąd Okręgowy w Warszawie w opublikowanym w maju 2021 r. wyroku wskazał bardzo ciekawe zapatrywanie w zakresie powiązania naruszenia ochrony danych z odpowiedzialnością administratora danych wynikającą z art. 82 RODO.

Jednak zanim przejdę do wskazania poglądu Sądu w przedmiotowym zakresie warto wskazać od czego sprawa się zaczęła. Miała ona swój początek w publikacji albumu ze zdjęciami aut. Wydawca wykorzystał na okładce albumu zdjęcia auta Powoda bez jego wiedzy, a tym samym bez jego zgody oraz dołączył do wydania prototyp tegoż auta do samodzielnego składania.

Powód wniósł o:

nakazanie (…) S.A., aby publicznie przeprosił powoda za naruszenie jego dóbr osobistych w postaci prawa do wizerunku poprzez zamieszczenie bez jego wiedzy i zgody w książce wydanej przez pozwanego w serii (…) wraz z załączoną do książki kopią samochodu (w formie plastikowego prototypu) zdjęcia pojazdu osobowego marki F. – B. (…), rok produkcji (…), wraz z widoczną tablicą rejestracyjną (…), której właścicielem jest powód, co do których mają zastosowanie przepisy RODO oraz art. 23, 24, 445 i 448 k.c. Ponadto powód żądał zasądzenia kwoty 50.000 zł tytułem odszkodowania za szkody wyrządzone przez pozwanego z tytułu utraconych korzyści, uzyskanych ze sprzedaży spornego numeru książki i kopii prototypu samochodu wraz z odsetkami ustawowymi od dnia uprawomocnienia się wyroku oraz kwoty 26.000 zł tytułem zadośćuczynienia za doznaną krzywdę moralną (…).

uzasadniając swoje żądanie:

zdjęcie pojazdu z tablicą rejestracyjną opublikowano bez jego wiedzy i zgody, na podstawie tego zdjęcia można zaś zidentyfikować osobę, dane w postaci marki, modelu i numerów rejestracyjnych stanowią dane osobowe, co do których zastosowanie mają przepisy RODO. Powód podkreślił, że jego pojazd jest charakterystyczny, wyremontowany został jego nakładem sił. Publikacja została wydana i była rozprowadzana w księgarniach, kioskach, stacjach benzynowych. Skoro pozwany zarobił na jej wydaniu, to powinien zapłacić powodowi kwotę 50.000 zł z tytułu utraconych korzyści

Pozwany w odpowiedzi na pozew wniósł o oddalenie powództwa, gdyż:

zakwestionował, że poprzez publikację zdjęcia pojazdu mogło dojść do naruszenia prawa powoda do wizerunku, albowiem ten dotyczy wyłącznie prezencji osoby fizycznej. Ani samochód, ani tablice rejestracyjne nie składają się na rozpoznawalny wizerunek powoda. Zaprzeczył, by numery rejestracyjne stanowiły dane osobowe w rozumieniu RODO. Zakwestionował żądanie zasądzenia zadośćuczynienia i odszkodowania, podnosząc, że powód nie poniósł szkody ani nie doznał krzywdy wskutek publikacji (…).

Sąd uznał za ustalone następujące okoliczności:

P. B. jest właścicielem pojazdu osobowego marki S. (…), wyprodukowanego w (…). Pojazd nabył za własne środki i samodzielnie go odrestaurował, dodając takie szczególne elementy wyposażenia jak napis boczny oraz taśmę izolacyjną jako uszczelkę pod tylnym prawym oknem. Od 2013 r. do czerwca 2018 r. pojazd był zarejestrowany pod numerem (…). Samochód ten był rozpoznawalny wśród znajomych P. B., jako właściciela pojazdu rozpoznawali go również sąsiedzi. P. B. uczestniczy w zlotach miłośników klasycznej motoryzacji odbywających się na Ś. oraz w okolicach S. w Z..

oraz

W dniu 5 lipca 2018 r. (…) S.A. opublikowało album z serii (…) przedstawiający (…). Na okładce albumu znajdowało się zdjęcie (…) należącej do P. B. wraz z numerami rejestracyjnymi pojazdu, które w chwili publikacji zdjęcia były już nieaktualne. Zdjęcie tego pojazdu znajdowało się również we wnętrzu albumu, obok zdjęć innych takich pojazdów. Do albumu została dołączona miniaturka pojazdu (…), wzorowana na pojeździe P. B..

Istotne jest też to, że zanim Sąd oceni czy w przedmiotowej sprawie mamy w ogóle do czynienia z danymi osobowymi Powód wskazał, że:

Publikacja albumu spowodowała oddźwięk wśród znajomych P. B., którzy rozpoznali jego pojazd. Otrzymał kilkanaście telefonów. Generalnie jego otoczenie zareagowało zazdrością i zawiścią na publikację zdjęć, uznając, że otrzymał wynagrodzenie za udzielenie zgody na ich użycie. Z tego powodu P. B. odczuwał dyskomfort.

Sąd podkreślił, że:

Zarzucane naruszenie polegało bowiem na publikacji zdjęcia przedmiotu należącego do powoda, nie zaś jego podobizny. Wiedza o powodzie, jako właścicielu pojazdu (…) przedstawionego na zdjęciu jest wiedzą niszową, ograniczoną do kręgu osób znających powoda osobiście. Przedmiot ten nie ma takiej siły identyfikacyjnej, która pozwalałaby utożsamić powszechnie, przez każdego przeciętnego odbiorcę powoda i jego pojazd, tak aby przez publikację obrazu tego pojazdu „przebijała” podobizna powoda.

W takim stanie faktycznym Sąd wskazał:

Kwestia możliwości zaliczenia publicznej prezentacji przez pozwanego pojazdu wraz z numerami rejestracyjnymi do operacji przetworzenia danych osobowych powoda uzależniona jest od rozstrzygnięcia problemu, czy dane te umożliwiały pozwanemu lub odbiorcy zdjęcia zidentyfikowanie powoda w sposób bezpośredni lub pośredni.

i

W motywie 26 preambuły rozporządzenia RODO wskazano, że aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (ang. reasonably likely, niem. nach allgemeinem E. wahrscheinlich), w stosunku do których istnieje uzasadnione prawdopodobieństwo (ang. reasonably likely, niem. nach allgemeinem Ermessen wahrscheinlich), iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

i

W literaturze (por. W. Chomiczewski, RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, system informacji prawnej LEX, komentarz do art. 4, uwaga 14) wskazuje się, że prawodawca europejski konstruując pojęcie danych osobowych odwołał się do stanowiska Trybunału Sprawiedliwości UE wyrażonego w wyroku z dnia 19 października 2016 r. (C – 582/14) w sprawie B., zgodnie z którym przy ocenie możliwych do zastosowania sposobów aktywności administratora zmierzających do identyfikacji danej osoby fizycznej, nie bierze się pod uwagę dowolnych środków, lecz jedynie te, którymi „może się [racjonalnie rzecz biorąc] posłużyć”, a także osoby trzecie, do których, również racjonalnie rzecz biorąc, może odwołać się administrator starający się uzyskać dane dodatkowe w celu identyfikacji.

I przyjął pogląd wyrażony w wyroku NSA odnoszącym się do numerów rejestracyjnych auta:

(…) nie stracił na aktualności pogląd Naczelnego Sądu Administracyjnego wypowiedziany na kanwie art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2016 r., poz. 922 ze zm.) w wyroku z dnia 28 czerwca 2019 r. (I OSK 2063/17), którego tezę, ze względu na relewantność dla sprawy, należy przytoczyć in extenso: „Brak możliwości powiązania numerów rejestracyjnych pojazdów, bez nadmiernego wysiłku i kosztów, z osobami fizycznymi, które dają się zidentyfikować, sprawia, że numer rejestracyjny pojazdu nie ma statusu danych osobowych.

Temat zakresu pojęcia danych osobowych był niedawno poruszany na łamach Judykatura.pl w zakresie numerów telefonów komórkowych:

Kwietniowy wyrok WSA – sam numer telefonu nie jest daną osobową

Sąd Okręgowy stwierdził nadto, że:

Pozwany niewątpliwie takiej możliwości identyfikacyjnej, bez zasięgnięcia informacji w organie prowadzącym Centralną Ewidencję Pojazdów i Kierowców, niedostępnej bez szczególnego uzasadnienia prawnego, nie miał. Nie miał jej również odbiorca danych – czytelnik. Nie należy w tym miejscu mylić wiedzy osób postronnych nie znających powoda osobiście i nie mogących zidentyfikować powoda jako właściciela pojazdu, ze względu na numery jego tablic rejestracyjnych, bez podjęcia nadzwyczajnych starań, z wiedzą osób, znających powoda osobiście, ze względu na jego osobiste powiązanie z samochodem i mogących zidentyfikować pojazd jako będący własnością powoda na podstawie osobistej z nim znajomości lub styczności. Tego typu wiedza wynika bądź z samej zgody powoda, ze względu na swobodnie dobierany krąg znajomych, lub ze względu na szczególne cechy pozwalające rozpoznać pojazd w najbliższym sąsiedztwie bądź na imprezach zlotowych. Zdawał sobie zresztą z tego sprawę powód wskazując, że identyfikuje go oprócz tablic również pojazd. W istocie dla osób znających powoda, to właśnie zdjęcie samego pojazdu pozwalało rozpoznać ten przedmiot i powoda jako jego właściciela. Podstawą tej wiedzy nie było zaś pośrednie źródło informacji, jakim były numery tablicy rejestracyjnej. Informacja o powodzie jako właścicielu pojazdu pochodziła zatem z faktu osobistej znajomości powoda, nie była zaś zapośredniczona przetwarzaniem danych osobowych. Sam pojazd zaś nie może być traktowany jako informacja o osobie powoda, a publikacja jego zdjęcia nie nosi znamion przetwarzania danych osobowych powoda.

Kończąc warto wskazać bardzo ciekawy wywód Sądu w zakresie podstaw odpowiedzialności wynikającej z art. 82 RODO:

Nawet jednak gdyby uznać, że numery rejestracyjne pojazdu stanowią dane osobowe powoda, to bezzasadnym były żądanie odszkodowania i zadośćuczynienia, oparte na naruszeniu zasad przetwarzania danych osobowych, wynikające z art. 82 Rozporządzenia RODO oraz art. 92 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j. z 2019 r., poz. 1781).

i

W zakresie ochrony majątkowej powód nie wykazał, aby z faktem publikacji numeru rejestracyjnego pojazdu (…), mającego stanowić ujawnienie tych danych, wiązał się dla niego uszczerbek majątkowy. Zdefiniowanie przez powoda uszczerbku, jako utraty korzyści należnych w związku z publikacją nie odpowiada kryteriom szkody. W istocie bowiem publikacja nie doprowadziła do utraty dochodu, który powód osiągnąłby, gdyby jej nie dokonano (art. 361 § 2 k.c.). Powód operował w tym względzie pojęciem korzyści, które uzyskała z tytułu publikacji pozwana, a którą winna mu wydać. Innymi słowy publikacja nie spowodowała u powoda uszczerbku majątkowego, lecz nie doprowadziła do przysporzenia, którego oczekiwałby od pozwanej, gdyby zwróciła się do niego o zezwolenie na publikację zdjęcia. Jest to jednak inna postać odpowiedzialności niż odpowiedzialność odszkodowawcza, nie jest ona związana bynajmniej z publikacją wyżej określonych danych osobowych powoda, lecz z publikacją samą w sobie i użyciem samego przedmiotu powoda, nie zaś informacji o nim. W konsekwencji takiego określenia szkody powód nie wykazał zaistnienia uszczerbku w jego majątku, związanego z publikacją danych osobowych.

i

Innymi słowy z samego naruszenia zasad przetwarzania danych osobowych nie wynika skutek w postaci naruszenia dobra osobistego. Jeżeli źródłem roszczenia o ochronę dóbr niemajątkowych jest czyn polegający na naruszeniu zasad przetwarzania danych osobowych, to na powodzie, oprócz wykazania zajścia takiego naruszenia, spoczywał obowiązek wskazania dobra osobistego naruszonego tym czynem oraz wykazania tego naruszenia. W sprawie powód jako dobro to wskazał swoje zdrowie. Publikacja miała się bowiem przełożyć na jego pogorszenie W istocie ustalenia w sprawie nie pozwalają przyjąć, że powód takiego, obiektywnie rozumianego pogorszenia stanu zdrowia doznał.

Jak widać wyrok ten wpisuje się w coraz to liczniejsze oczenia Sądów wskazujących konieczność racjonalnego badania dostępnych środków prawnych w celu zidentyfikowania osoby fizycznej.

Wojewódzki Sąd Administracyjny rozpoznając skargę obywatela na decyzję Prezesa UODO uchylił ją wskazując naruszenie przepisów procedury administracyjnej. Organ nadzorczy błędnie przyjął, że udostępnienie danych osobowych skarżącej na Facebooku było dokonane, przez inną osobę, w ramach jej działalności o czysto osobistym lub domowym charakterze. 

Sprawa zaczęła się od skargi obywatela, złożonej do UODO w maju 2019 r., w której wskazano na niezgodne z prawem przetwarzanie jej danych osobowych przez inną osobę fizyczną w następujących okolicznościach:

W treści skargi skarżąca wskazała, że P.L. w okresie od dnia […] września 2018 r. do dnia […] września 2018 r. na portalu […] publikował wyrok nakazowy Sądu Rejonowego w W. z dnia […] listopada 2017 r., wydany w sprawie sygn. akt […], zawierający dane osobowe skarżącej, a ponadto, że w dniach co najmniej od dnia […] września 2018 r. do dnia […] września 2018 r. P.L. wystawił na widok publiczny, za szybą swojego samochodu, wskazany wyżej wyrok nakazowy, który – według zapewnień skarżącej – zawierał jej dane osobowe w zakresie imienia, nazwiska, daty i miejsca urodzenia, imion rodziców oraz nazwiska rodowego matki skarżącej

Skarżąca, w lipcu 2019 r., wskazała, że “obecnie jej prawo do ochrony danych osobowych nie jest naruszane przez P.L.”. 

Takie stanowisko mogłoby doprowadzić do umorzenia postępowania przez Prezesa UODO ze względu na jego dalszą bezprzedmiotowość. 

Jednakże zostało ono umorzone na zupełnie innej podstawie – Prezes UODO jako podstawę umorzenia wskazał “art. 105 § 1 k.p.a. oraz art. 7 i art. 60 u.o.d.o. w związku z art. 1, art. 2 ust. 2 oraz art. 57 ust. 1 lit. a) oraz f) RODO”. 

W uzasadnieniu decyzji organ nadzorczy przywołała art. 2 ust. 2 lit. c RODO, gdyż  wyszedł z założenia, że w przedmiotowej sprawie RODO nie znajdzie zastosowania, a to dlatego, że dotyczy ona przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.

Prezes UODO uznał zatem, że:

udostępnienie przez P.L. na Facebooku, a także ewentualnie za szybą samochodu, danych osobowych skarżącej miało charakter czysto osobisty, o którym mowa w art. 2 ust. 2 lit. c RODO

oraz

do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej – tak jak ma to miejsce w niniejszej sprawie – nie stosuje się przepisów RODO, uznać należy, że rozpatrywanie przedmiotowej sprawy na podstawie przepisów RODO jest bezpodstawne

Sąd badając sprawę wskazał, że skarga zasługuje na uwzględnienie, gdyż Prezes UODO błędnie przyjął możliwość zastosowania wyłączenia RODO w tym przypadku i naruszył w sposób istotny obowiązujące przepisy prawa.

Sąd doszedł do wniosku, że:

organ nadzorczy, wydając przedmiotową decyzję z dnia […] stycznia 2020 r., dopuścił się przede wszystkim istotnego naruszenia przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., w szczególności art. 2 ust. 2 lit. c) RODO – poprzez jego niewłaściwą wykładnię, a w konsekwencji wadliwe przyjęcie, że P.L., umieszczając na portalu społecznościowym wyrok nakazowy Sądu Rejonowego w W. z dnia […] listopada 2017 r., sygn. akt […], zawierający dane osobowe skarżącej – przetwarzał te dane w ramach czynności o czysto osobistym lub domowym charakterze, i tym samym nieuzasadnione stwierdzenie przez organ nadzorczy, że w niniejszej sprawie przepisy RODO nie miały zastosowania

Wskazał także, że:

(…) przedmiotem sporu była zarówno kwestia prawidłowości ustaleń organu nadzorczego w zakresie samego zakwalifikowania przetwarzanych przez P.L. danych osobowych skarżącej, jako czynności o charakterze czysto osobistym i niepodlegających tym samym regulacjom zawartym w RODO, jak również – w konsekwencji tego naruszenia – kwestia prawidłowości zastosowania w niniejszej sprawie art. 105 § 1 k.p.a. i umorzenia postępowania z uwagi na rzekomy brak podstaw do podjęcia wobec P.L. prawnie wiążącego środka naprawczego, o którym mowa w art. 58 RODO, czy też nałożenia na niego kary pieniężnej, o której mowa w art. 83 RODO

WSA odniósł się do znanych w judykaturze stanowisk zaprezentowanych przez Trybunał Sprawiedliwości Unii Europejskiej w sprawie:

LINDQVIST (C-101/01):

 

 

Oy (C-73/07):

 

Ryneš (C-212/13):

Co pozwoliło Sądowi wskazać końcowe argumenty:

Warto zauważyć, że problematykę związaną z wykładnią pojęcia czynności o czysto osobistym lub domowym charakterze na gruncie dyrektywy 95/46/WE poruszała również Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, powołana na mocy art. 29 cyt. dyrektywy 95/46/WE, która w opinii w sprawie portali społecznościowych uznała m.in., że co do zasady przetwarzanie danych osobowych odbywające się w ramach portali społecznościowych przez ich użytkowników mieści się w ramach czynności o czysto osobistym lub domowym charakterze, chyba że np. dostęp do danych mają inne osoby niż kontakty samodzielnie wybrane przez użytkownika (por. D. Lubasz /w:/ E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, WKP 2018)

oraz

O ile nie ulega wątpliwości, że w motywie 18 Preambuły RODO, jako objętą wyłączeniem, wskazuje się działalność internetową, w tym wykorzystanie sieci społecznościowych, o tyle jednak – zdaniem Sądu – nie należy interpretować tego, jako przykład wyłączenia absolutnego, następującego w każdej sytuacji i w przypadku dowolnej aktywności niekomercyjnej użytkownika w Internecie, lecz z zawężeniem do tych stanów faktycznych, w których przetwarzanie danych, w szczególności ich udostępnianie poprzez Internet, nie następuje na rzecz nieograniczonego kręgu odbiorców (por. D. Lubasz /w:/ E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, WKP 2018, który przyjmuje, że wskazany dorobek orzeczniczy Trybunału Sprawiedliwości dotyczący interpretacji analogicznego wyłączenia z art. 3 ust. 2 tiret drugie dyrektywy 95/46/WE, w szczególności wyartykułowany przez Trybunał Sprawiedliwości w sprawie C-101/01 Lindqvist oraz C-73/07 Satamedia, zachowuje aktualność również na gruncie RODO)

i

Mając na względzie powyższe, Wojewódzki Sąd Administracyjny w Warszawie w składzie orzekającym w niniejszej sprawie uznał, że dla zastosowania wyłączenia, o którym mowa jest w art. 2 ust. 2 lit. c RODO niezbędne jest, by przetwarzanie o charakterze osobistym lub domowym miało wyłącznie taki charakter, a zatem powinno być interpretowane, jako obejmujące wyłącznie działania wchodzące w zakres życia prywatnego lub rodzinnego jednostki. Innymi słowy, poza wspomnianym wyłączeniem będą znajdowały się te sytuacje, w których – jak w niniejszej sprawie – przetwarzanie polegało na udostępnieniu wyroku sądowego zawierającego dane osobowe skarżącej na portalu społecznościowym Facebook, a więc w przypadku możliwości ich dalszego udostępniania przez członków tej sieci społecznościowej

I tutaj kluczowy pogląd Sądu:

W ocenie Sądu, stwierdzić należy zatem, że o ile owszem istnieje możliwość uznania za działania w ramach czynności o czysto osobistym lub domowym charakterze również publikowanie danych w serwisach społecznościowych, o tyle uznać należy jednak, że przetwarzanie danych na portalu społecznościowym Facebook, gdzie dostęp do tych danych mają lub mogą mieć również inne osoby, niż te, które zostały wybrane samodzielnie przez użytkownika, nie sposób uznać za objęte wyłączeniem, o którym mowa w art. 2 ust. 2 lit. c RODO

Analizowane działanie Prezesa UODO w sposób istotny naruszało także zasadę zaufania obywateli do organów praworządnego państwa i stosowanego przez nie prawa, wyrażonej w art. 8 § 1 k.p.a. Nie ulega bowiem wątpliwości, że zasada zaufania wyrażona w przepisie art. 8 § 1 k.p.a. ma kontekst konstytucyjny i unijny, zaś organy administracji publicznej są obowiązane, w ramach wykładni zgodnej z prawem UE i Konstytucją RP, uwzględniać, że zasada zaufania, również w aspekcie procesowym, jest zasadniczym elementem zasady demokratycznego państwa prawa i jako taka ma swoje umocowanie i źródło w art. 2 Konstytucji RP

Ciekaw jestem czy Prezes UODO zdecyduje się na zweryfikowanie powyższego stanowiska poprzez skargę kasacyjną do NSA.

W wyroku WSA z 13.04.2021 r. Sąd uchylił decyzję Prezesa UODO wydaną w lipcu 2020 r.

 

 

We wskazanej decyzji Prezes UODO udzielił Spółce upomnienia za naruszenie art. 15 ust. 1 lit. g i art. 15 ust. 3 RODO, polegające na odmowie realizacji żądania Wnioskodawcy – udzielenia mu wszelkich dostępnych informacji o źródle pozyskania danych osobowych oraz kopii jego danych osobowych.

Prezes UODO przyjął, iż takimi danymi osobowymi jest sam numer telefonu komórkowego.

Innego zdania była upomniana Spółka, która na etapie postępowania administracyjnego wskazała, że:

pozyskała numer telefonu Wnioskodawcy w związku z nabyciem pakietu danych (numerów telefonu, wytypowanych w oparciu o kryterium geograficzne) od […] z siedzibą w […] ([…]) – zwanej dalej “Spółką II” – tak: wyjaśnienia Spółki z […] marca 2020 r.

Przedmiotowa sprawa rozpoczęła się od tego, że:

Wnioskodawca zwrócił się do Spółki […] października 2019 r. – drogą elektroniczną – z żądaniem dostarczenia kopii jego danych, przetwarzanych przez Spółkę oraz udzielenia informacji o źródle ich pozyskania – tak: kopia korespondencji – w aktach sprawy oraz pismo Spółki z […] czerwca 2020 r.

a Spółka stanęła na stanowisku, że:

odmówiła realizacji żądań Wnioskodawcy; wedle niej numer telefonu nie stanowi danej osobowej – tak: pismo Wnioskodawcy z […] października 2019 r. i Spółki z […] czerwca 2020 r.

I właśnie odpowiedź na to zagadnienie było przedmiotem kwietniowego wyroku WSA. W orzeczeniu tym Sąd wskazał, że:

Skarga zasługuje na uwzględnienie, gdyż trafne są zarzuty Spółki gdzie podniesiono, że orzekając w sprawie naruszono przepisy prawa materialnego zakreślające, co należy traktować jako dane osobowe, których przetwarzanie podlega regułom RODO. Mylna konstatacja organu, jakoby Spółka przetwarza dane osobowe Wnioskodawcy, prowadziła do bezpodstawnego wydania orzeczenia, którym udzielono Spółce upomnienia oraz zobowiązano ją do podjęcia określonych czynności

Powyższe stanowisko Sądu został oparte na następującej argumentacji:

Trafnie jednak wywiedziono w skardze, że organ – prowadząc postępowanie oraz przywołując określone okoliczności formalne sprawy – nie wykazał w istocie, aby Spółka – dysponując wyłącznie zbiorem określonych numerów telefonów (jest to niesporne, w kontekście posiadanych danych Wnioskodawcy) przetwarzała dane osobowe – w rozumieniu art. 4 pkt 1 RODO”

Zasadnie zauważa organ, że danymi takimi mogą być informacje, które nie identyfikują konkretnej osoby lecz jest możliwe – przy ich pomocy i wykorzystaniu nieznacznych środków – zidentyfikowanie konkretnej osoby. Organ nie wywiódł jednak, aby tego rodzaju charakter miał sam numer telefonu – nieprzypisany do konkretnej osoby, w ramach zbioru informacji posiadanych przez podmiot dysponujący tymi danymi, bądź w łatwy sposób pozyskiwalnymi.

Co trafnie zauważa Spółka stanowisko, że sam numer telefonu nie stanowi danej osobowej, jest także podzielone w doktrynie (patrz przywołany wcześniej pogląd)”;

I co najciekawsze:

Jak trafnie wywiedziono w skardze, sam numer telefonu nie pozwala na identyfikację konkretnej osoby. Może być wyłącznie podstawą dla podjęcia określonych czynności w celu identyfikacji posiadacze numeru – abonenta lub osoby, która faktycznie używa danego numeru. Skoro nabyty przez Spółkę od Spółki II zbiór danych (baza numerów telefonów) identyfikuje wyłącznie osoby zamieszkujące pewien teren (tak powołane przez Spółkę kryteria zasobu nabytej bazy – geograficzne) to sam numer telefonu nie jest wystarczający do identyfikacji konkretnej osoby, jako jednostki o przypisanych jej cechach indywidualnych. Nie sposób więc uznać, aby Spółka dysponowała danymi osobowymi Wnioskodawcy i je przetwarzała”

Skoro zaś Spółka nie przetwarzała danych osobowych Wnioskodawcy, nie znajdą do niej zastosowania wymagania określone RODO. Nie mogła być też wydana wobec niej decyzja w następstwie naruszenie stosownych reguł, wynikających z tego aktu”

Odnosząc się do argumentacji organu, że rzeczywistym celem Spółki – przy nabyciu praw do bazy danych, obejmującej numery telefonów – jest zgromadzenie informacje o potencjalnych odbiorcach usług przez nią oferowanych, należy wskazać, że – w takim razie – także w ocenie organu posiadane informacje mogą być wyłącznie przydatne do utworzenia w przyszłości określonego zasobu informacji o danych osobowych, a więc ich przetwarzania. Tylko jeżeli określone działania Spółki przyniosą zakładane przez nią skutki będzie ona obowiązana wobec pewnych abonentów – osób, których dane osobowe zgromadzi – do zachowania reguł określonych w RODO. Ich naruszenie uzasadni zastosowanie przez organ przypisanych mu środków dyscyplinujących”

Nie wydaje mi się, aby Prezes UODO w tak doniosłej sprawie nie skorzystał z możliwości wniesienia skargi kasacyjnego do NSA od wskazanego wyroku.

W opublikowanej dziś decyzji Prezesa UODO z 22.04.2021 r. widzimy, że zarządzanie seriami naruszeń ochrony danych osobowych ma swoją cenę.

W tym przypadku wynosi ona 1 136 975 zł (250 000 euro).

 

 

Głównymi motywami decyzji Prezesa UODO jest:

  • brak terminowości raportowania naruszeń ochrony danych u podmiotu przetwarzającego
  • przekazywanie zawiadomień o wysokim ryzyku naruszenia w średnim terminie 60 dni od daty zdarzenia
  • brak sprawowania odpowiedniego nadzoru w obszarze przetwarzania danych za pośrednictwem podmiotu świadczącego usługi kurierskie
  • identyfikowanie naruszenia ochrony danych osobowych po 120 dniach od ich wystąpienia
  • zgodnie z Wytycznymi, w zależności od konkretnej sytuacji administrator może uznać przypadkowego odbiorcę, osobę trzecią za „zaufanego”, zaś fakt, że odbiorca jest zaufany może spowodować, że skutki naruszenia nie będą poważne, ale nie znaczy to, że naruszenie nie miało miejsca
  • wskazać należy, że uznanie osoby, która faktycznie odebrała dokumentację zawierającą dane osobowe klienta Spółki, za zaufanego odbiorcę wymagałoby jednak, aby w każdym przypadku Spółka zbadała relacje łączące takiego odbiorcę z klientem, np. czy nie są w konflikcie oraz czy rzeczywiście dysponowała już ona wszystkimi danymi osobowymi klienta. Należy też podkreślić, że podnoszone przez Spółkę konsekwencje w zakresie prawa cywilnego przekładają się też na naruszenie praw lub wolności osób fizycznych, o którym mowa w rozporządzeniu 2016/679
  • ta kwestia, jak wynika z dokumentacji przedłożonej przez Spółkę, nie została jednak również wzięta pod uwagę przez Spółkę przy dokonywaniu oceny ryzyka związanego z naruszeniem ochrony danych osobowych
  • objęte niniejszym postępowaniem zgłoszenia naruszeń ochrony danych osobowych dotyczyły nieprawidłowości w dostarczaniu przesyłek zawierających dane osobowe w zakresie: imię, nazwisko, adres zamieszkania lub pobytu, numer identyfikacyjny PESEL, często adres e-mail, seria i numer dowodu osobistego bądź innego dokumentu tożsamości, numer telefonu oraz inne kategorie danych dotyczące łączących strony umów (np. ID kontraktu, numer umowy, numer dokumentu, numer sprzętowy, numer i kwota faktury VAT, numer konta do wpłat).
  • tak szeroki zakres danych osobowych ujawnianych osobom nieupoważnionym i pozostających w posiadaniu tych osób przez dłuższy czas – w konsekwencji naruszenia stwierdzonego niniejszą decyzją – bez wiedzy i bez możliwości jakiejkolwiek reakcji podmiotu tych danych, musi wpływać obciążająco na ocenę stwierdzonego naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

Jak widać zagadnienie naruszeń ochrony danych osobowych oraz zarządzanie naruszeniami u podmiotowo przetwarzających jeszcze długo będzie spędzać sen z powiek niektórych administratorów.

Sprawa rozpoznawana przez NSA miała swój początek w kontroli przeprowadzonej przez Inspektorów Generalnego Inspektora Ochrony Danych Osobowych we wrześniu 2015 roku (!).  Kontrola ta doprowadziła do wszczęcie z urzędu przez GIODO postępowania administracyjnego w sprawie przetwarzania danych osobowych przez spółkę w zakresie przetwarzania przez spółkę danych osobowych potencjalnych klientów i klientów w celach marketingowych oraz w celach windykacyjnych.

Po zakończeniu kontroli stwierdzono następujące uchybienia w procesie przetwarzania danych osobowych:

Uniemożliwienie potencjalnym klientom oraz klientom spółki podjęcia swobodnej decyzji co do wyrażenia:

  • zgody na przetwarzanie danych osobowych w celach marketingowych produktów spółki,
  • zgody na przetwarzanie danych osobowych w celach marketingu produktów lub usług innych podmiotów,

poprzez zastosowanie przez spółkę jednej klauzuli, zamieszczonej we wnioskach o udzielenie pożyczki, obejmującej łącznie ww. zgody oraz zgodę, o której mowa w art. 172 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243, z późn. zm.), zgodnie z którym zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę (art. 23 ust. 1 pkt 1 w związku z art. 7 pkt 5 ustawy).

Przetwarzanie danych osobowych osób wnioskujących o udzielenie pożyczki (potencjalnych klientów) w zakresie: nazwisko rodowe, imiona rodziców, data wydania dowodu osobistego oraz nazwa organu, który go wydał, wizerunek, wzrost, kolor oczu, miejsce urodzenia, nazwisko panieńskie matki, jako nieadekwatnych do celu, w jakim te dane są przetwarzane, tj. identyfikacji tożsamości klienta przed zawarciem umowy pożyczki (art. 26 ust. 1 pkt 3 ustawy).

Niezawarcie w dokumentacji opisującej sposób przetwarzania danych oraz środki, o których mowa w art. 36 ust. 1 ustawy, informacji dotyczących systemu informatycznego o nazwie “[…]”, wykorzystywanego do wysyłania wiadomości pocztowych do klientów, wobec których prowadzona jest windykacja (art. 36 ust. 1 pkt 2 ustawy).

W lutym 2017 r. GIODO wydał decyzję, którą:

  • nakazał spółce przywrócenie stanu zgodnego z prawem poprzez:
  • zapewnienie swobody w przedmiocie złożenia przez potencjalnych klientów i klientów spółki zgody na przetwarzanie danych osobowych w celach marketingu produktów i usług innych podmiotów, w terminie 30 dni od dnia, w którym decyzja stanie się ostateczna;
  • zaprzestanie przetwarzania danych osobowych osób wnioskujących o udzielenie pożyczki za pośrednictwem: […] z siedzibą w W. przy ul. […],[…] Sp. z o.o. z siedzibą w G. przy ul. […], […] S.A. z siedzibą w S. przy ul. […],[…] z siedzibą w W. przy ul. […] oraz […] Sp. z o.o. z siedzibą w M. przy ul. […], w zakresie: nazwisko rodowe, imiona rodziców, data wydania dowodu osobistego oraz nazwa organu, który go wydał, wizerunek, wzrost, kolor oczu, miejsce urodzenia, nazwisko panieńskie matki, jako nieadekwatnych do celu, w jakim dane te są przetwarzane, tj. identyfikacji tożsamości ww. osób przed zawarciem pożyczki, w terminie 30 dni od dnia, w którym decyzja stanie się ostateczna.
  • w pozostałym zakresie postępowanie administracyjne umorzył w związku z usunięciem uchybień w procesie przetwarzania danych.

Wojewódzki Sądy Administracyjny w lutym 2018 r. oddalił skargę pełnomocnika kontrolowanej spółki wskazując, że istotą sporu w przedmiotowej sprawie jest:

 

 

czy na gruncie obowiązujących przepisów jest dopuszczalne wrażenie jednej zgody na dokonywanie przetwarzania danych osobowych w celu marketingu bezpośredniego produktów […] Sp. z o. o oraz używanie telekomunikacyjnych urządzeń końcowych w celu prowadzenia tego marketingu, o której mowa w art. 172 ustawy Prawo telekomunikacyjne.

I odpowiedział następująco:

Na wstępie podkreślić należy, że zgoda może obejmować różne cele przetwarzania danych osobowy.

Przy przetwarzaniu danych osobowych należy zapewnić osobie, której dane osobowe będą wykorzystywane, maksimum ochrony prawnej, zwłaszcza gdy dane te będą wykorzystywane w celach marketingowych. Należy takiej osobie umożliwić wyrażenie zgody nie tylko w układzie tak bądź nie, lecz “zgody rozbudowanej”, odnoszącej się do poszczególnych sfer wykorzystania oznaczonych danych. Takiego wyboru nie zapewnia jednak ujawniona w postępowaniu przed Generalnym Inspektorem Ochrony Danych Osobowych praktyka stosowana przez spółkę, albowiem udzielający zgody nie może udzielić jej tylko w części. Z tego względu zasadnym jest zapewnienie klientowi opcjonalności w zakresie wyrażania zgody na przetwarzanie danych osobowych przez spółkę współpracującą z innymi podmiotami.

Zawarcie kilku zgód w treści jednego oświadczenia skutkuje brakiem możliwości wyboru zgody, którą zamierza się wyrazić. Oznacza to, że osoba, której dane dotyczą nie ma pełnej swobody w dysponowaniu swoimi danymi osobowymi. Wyrażenie zgody na przetwarzanie danych w celach marketingowych, zgodnie z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych stanowi przesłankę legalności przetwarzania danych osobowych przez administratora, a zgoda ta jest niezależna od środków w jaki sposób jest kierowany ten marketing i powinna być wyodrębniona od sposobu realizacji marketingu bezpośredniego.

oraz

Wyrażenie jednej zgody odnośnie dwóch niezależnych podstaw prawnych i celów przetwarzania danych niewątpliwie może wprowadzać w błąd osobę, która taką zgodę wyraziła.

Jeżeli, jak w niniejszej sprawie, zgoda ma dotyczyć istotnie różniących się celów przetwarzania, wynikających z rożnych podstaw prawnych, to zgoda powinna być wyrażona odrębnie dla każdego z nich.

I zakończył to stwierdzeniem, że:

Sąd podziela stanowisko organu, że Spółka może realizować obowiązek wynikający z powyżej przytoczonego przepisu w różny sposób, jednakże z całą pewnością przetwarzanie w tym celu wszystkich danych osobowych zawartych w skanach lub kserokopiach dowodów osobisty nie stanowi realizacji obowiązku wynikającego z art. 36 ust. 1 ustawy o ochronie danych osobowych.

I po takim wprowadzeniu możemy przejść do kwietniowego wyroku NSA, w którym Sąd ten oddalił skargę kasacyjną spółki.

 

 

Ten Sąd wskazał, że:

Spółka pozyskuje od potencjalnych klientów (tj. osób składających wniosek o udzielenie pożyczki) oraz klientów zgodę następującej treści: “Wyrażam zgodę na przetwarzanie moich danych osobowych przez V. Sp. z o.o. w celu marketingu bezpośredniego dotyczącego produktów i usług podmiotów należących do grupy kapitałowej “[…]”, wykonywanego przy użyciu telekomunikacyjnych urządzeń końcowych oraz automatycznych systemów wywołujących zgodnie z art. 172 Prawa Telekomunikacyjnego (Dz. U. z 2014 r. poz. 234 ze zm.) i w tym celu udostępniam podane przeze mnie w niniejszym wniosku dane w zakresie: adres e-mail oraz numer telefonu.”.

oraz doszedł do istotnych wniosków:

Nietrafne jest twierdzenie skarżącej, że nie ma znaczenia fakt jakich podmiotów dotyczy zgoda. W okolicznościach niniejszej sprawy jest to okoliczność równie istotna jak cele pozyskiwania danych osobowych. Klient powinien wiedzieć jakich podmiotów dotyczy zgoda i mieć możliwość wyboru w tym zakresie. Na gruncie niniejszej sprawy, konstrukcja kwestionowanej klauzuli, wprowadzająca zbędny wymóg zgody na marketing produktów i usług Spółki, może na przykład stwarzać wątpliwości po stronie klientów, co do pożądanego przez nich marketingu produktów i usług Spółki – w sytuacji niezgadzania się na marketing produktów i usług innych podmiotów należących do grupy “[…]”. Nie sposób też przyjąć, że jak to twierdzi skarżąca, klienci są świadomi przedmiotu prowadzenia działalności przez podmioty należące do grupy “[…]”, a w konsekwencji jakoby wiedzieli jakie będą otrzymywać informacje dotyczące produktów i usług tych podmiotów.

Konkludując, na gruncie przepisów o ochronie danych osobowych istnieje wymóg zapewnienia, aby decyzja w sprawie wyrażenia zgody na przetwarzanie danych osobowych w określonym celu była podjęta swobodnie i miała charakter samodzielny, musi ona być przejawem wolnej i nieskrępowanej woli danej osoby, to znaczy nie może być wymuszona przez konieczność złożenia innych oświadczeń woli.

Z przytoczonej klauzuli wynika, że proponowana zgoda nie daje możliwości wyboru pomiędzy marketingiem produktów i usług Spółki jako administratora danych oraz produktów i usług innych nieokreślonych jednostkowo podmiotów.

Wbrew stanowisku skarżącej istotne jest też to, że jedna zgoda dotyczy dwóch niezależnych podstaw prawnych zawartych w różnych ustawach. W rezultacie należy uznać, że zgoda dotyczy różnych celów przetwarzania danych osobowych, tj. marketingu produktów i usług Spółki, marketingu produktów i usług innych podmiotów oraz możliwości wykorzystania do marketingu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących.

Należy tu dodać, że co prawda Spółka jest zwolniona z uzyskania zgody na marketing własnych produktów i usług, to jednak z przytoczonej klauzuli wprost wynika, że zgoda ma obejmować również marketing produktów i usług Spółki. Ponadto należy zauważyć, że aby Spółka mogła prowadzić marketing bezpośredni swoich produktów i usług wykorzystując do przetwarzania danych osobowych telekomunikacyjne urządzenia końcowe i automatyczne systemy wywołujące, obowiązana jest stosownie do art. 172 ust. 1 Prawa telekomunikacyjnego, uzyskać na to zgodę klientów i potencjalnych klientów. Należy zatem przyjąć, że jeżeli, jak w niniejszej sprawie, zgoda ma dotyczyć różnych kwestii związanych z przetwarzaniem danych osobowych, to zgoda powinna być wyrażona odrębnie dla każdej z nich.

Za niezrozumiałe uznać należy wywody zawarte w uzasadnieniu skargi kasacyjnej dotyczące art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 1 ustawy o ochronie danych osobowych w zakresie marketingu bezpośredniego produktów i usług Spółki, ponieważ zarówno organ jak i Sąd nie kwestionowały możliwości prowadzenia takiego marketingu bez zgody klientów.

Natomiast, organ wskazywał na to, że zgoda, o której mowa w art. 172 ust. 1 Prawa telekomunikacyjnego nie może być dorozumiana ze zgody wynikającej z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych i odwrotnie.

Z tego względu, nie budzi wątpliwości Naczelnego Sądu Administracyjnego, iż przepis art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych nie stanowi podstawy prawnej do prowadzenia przez Spółkę marketingu na rzecz innych, tj. podmiotów należących do grupy kapitałowej “[…]” bez wyraźnej zgody klientów.

Powyższe wnioski mają nie tylko istotne znaczenie dla spełnienia obecnych regulacji związanych z uzyskiwaniem zgody na szeroko rozumiane działania marketingowe, ale także przyszłych wymagań projektowanego obecnie Prawa komunikacji elektronicznej. To właśnie regulacje zawarte w projektowanych przepisach będą wymagać od

Osoby interesujące się zagadnieniem marketingu bezpośredniego na pewno kojarzą komunikat Prezesa Urzędu Komunikacji Elektronicznej z listopada 2018 r. dotyczący nałożenia na Orange S.A. administracyjnej kary pieniężnej w wysokości 9,1 mln zł za “wysyłanie smsów marketingowych bez posiadania zgody klientów”.

 

Przedmiotową decyzję mocno prześwietliłem na blogu w styczniu 2019 r. omawiając stan faktyczny oraz argumenty obydwóch stron postępowania:

 

Decyzja Prezesa UKE w sprawie Orange

 

Teraz możemy się zapoznać z wyrokiem Sądu Okręgowego w Warszawie, XVII Wydział Sąd Ochrony Konkurencji i Konsumentów (SOKiK) oddalającym odwołanie Orange S.A. od przedmiotowej decyzji.

Wyrok zapadł w dniu 4.02.2021 r., a w dniu 26.04.2021 r. został opublikowany wraz z uzasadnieniem w serwisie Judykatura.pl:

XVII AmT 81/19

 

Jaki pogląd na sprawę miał Sąd? 

Zacznę od tego, że od samej akcji wysyłania smsów doszło ponad 6 lat temu:

W okresie od 1 października 2015 r. do 29 lutego 2016 r. (…) S.A. przeprowadzała działania marketingu bezpośredniego w formie przesyłania do swoich klientów bezpośrednich komunikatów SMS.

Zmierzając do wskazania argumentów Sądu to są one bardzo istotne dla wszystkich niezależnie od tego, czy to my zlecamy takie działania czy też jesteśmy ich odbiorcami. Sąd wskazał, że:

Natomiast nieprzedstawienie przez spółkę dowodów, że posiadała w dacie wysyłki SMS-ów zgody abonentów, musi zostać potraktowane jako brak takich zgód.

Ważnym argumentem Sądu przemawiającym za oddaleniem odwołania była kwestia braku możliwości po stronie Prezesa UKE pozyskania dowód potwierdzających zebranie przez Orange S.A. odpowiednich zgód:

Należy bowiem mieć na uwadze fakt, że w sytuacji jak opisana w stanie faktycznym, Prezes UKE nie może samodzielnie pozyskać dowodów na okoliczność posiadania przez (…) zgód abonentów, gdyż wiedzę w tym zakresie posiada tylko przedsiębiorca.

Przy czym nie sposób przy ustalaniu stanu faktycznego abstrahować od faktu, ze powód jest liderem rynku telekomunikacyjnego, a więc posiada odpowiednie zasoby finansowe i osobowe do zdiagnozowania zagrożeń dla praw abonentów i ich właściwego zabezpieczenia. Zatem (…) jako profesjonalny uczestnik rynku miał również możliwość prawidłowego określenia ryzyka prawnego przy podejmowania decyzji dotyczących strategii akcji reklamowej SMS przy wykorzystaniu automatycznych systemów wywołujących, w szczególności decyzji o niearchiwizowaniu nr (…) do których SMS został wysłany i przyporządkowania im stosowanych zgód.

Sąd odniósł się do tego, czy działa Orange z 2015 r. i 2016 r. dotyczyły automatycznych systemów wywołujących:

W ocenie Sądu wysłanie przez powoda wiadomości SMS1 i SMS2 zostało dokonane przy użyciu automatycznych systemów wywołujących. Pojęcie automatycznych systemów wywołujących nie zostało zdefiniowane w prawie telekomunikacyjnym. Jednak powszechnie przyjmuje się w literaturze, że odnosi się do systemów technicznych służących do przekazywania treści indywidualnym odbiorcom, bez bezpośredniego udziału człowieka. Wskazuje się, że automatycznymi systemami wywołującymi mogą być zarówno systemy głosowe, faksowe, oparte na poczcie elektronicznej, generatory SMS i MMS itp. (tak komentarz do prawa telekomunikacyjnego pod redakcją M. Rogalskiego jak i pod redakcją S. Piątka). Cechą charakterystyczną tych systemów jest automatyczność związana z inicjowaniem, realizowaniem przekazu treści, za pomocą odpowiednio zaprogramowanych urządzeń przyłączonych do sieci telekomunikacyjnej. Po stronie nadawcy treści jest więc brak bezpośredniego udziału człowieka w inicjowaniu komunikowania się z odbiorcą, pomimo że programowania urządzeń technicznych dokonuje człowiek. Jednak to nie indywidualny człowiek odpowiada za zainicjowanie przesłania poszczególnego komunikatu, każdemu z odbiorców.

Wbrew stanowisku powoda automatycznych systemów wywołujących, o jakich mowa w art. 172 p.t., nie można ograniczyć jedynie do systemu głosowego.

oraz czy przesłane treści stanowiły marketing bezpośredni:

Każdy bowiem komunikat marketingowy, niezależnie od sposobu jego przekazania, z uwagi na automatyczność wywoływania, może być w równym stopniu uciążliwy i powodować u abonenta tożsamy dyskomfort związany z masowością takiej wysyłki, ale także z jej częstotliwością, szczególnie jeśli abonent nie wyraził zgody na taki sposób komunikacji.

Analizując stan faktyczny sprawy Sąd nie miał także wątpliwości, że analizowane w sprawie SMS1 i SMS2 były formą marketingu bezpośredniego.

Analizując treść SMS1 i SMS2 należy z pełną stanowczością stwierdzić, że były one nośnikami informacji reklamowych. (…) reklamował w nich swoje nowe, dodatkowo płatne usługi oferowane abonentom. W treści (…) promował „Nowy pakiet internetowy (…).”, który można było aktywować wysyłając do operatora SMS o stosownej treści. Natomiast SMS2 zawierał reklamę nowej usługi (…) „Zobacz gdzie jest (…)”. Usługa po aktywacji SMS miała by darmowa przez pierwsze 14 dni, a potem jej cena wynieść miała 6,15z VAT tygodniowo.

Na marginesie należy tylko stwierdzić, że nie jest też oczywiste, jak twierdzi powód, że treść art. 13 ust 2 Dyrektywy odnosi się także do przesyłania informacji marketingowych z wykorzystaniem automatycznych systemów wywołujących. Prezes UKE stoi bowiem na stanowisku, że art. 13 ust 2 nie zezwala na wykorzystywanie w sytuacjach opisywanych w tym przepisie na korzystanie z automatycznych systemów wywołujących bez uprzedniej wyraźnej zgody abonenta. Rozstrzygnięcie jednak tej kwestii, w świetle powyższych rozważań, które wykluczały możliwość skorzystania przez powoda z dobrodziejstwa art. 13 ust 2 Dyrektywy, nie było konieczne w sprawie niniejszej.

Zapewne przedmiotowa sprawa stanie na wokandzie Sądu Apelacyjnego w Warszawie, a w perspektywie 2-3 lat także na wokandzie Sądu Najwyższego. Oby wtedy ktoś pamiętał sprawę z przed 10 lat…

Czy RODO będzie miało zastosowanie w sytuacji, w której wysyłasz list do współudziałowców chcąc przekazać swoje spostrzeżenia co do kondycji spółki? Z poniższej decyzji Prezesa UODO wynika, że nie każdy kontakt udziałowców odbywa się w celach gospodarczych:

We wskazanej decyzji możemy przeczytać, że:

Zdaniem Prezesa UODO, przepisy te nie dają w przedmiotowej sprawie podstawy do stwierdzenia, iż Skarżący może skorzystać z ochrony w nich przewidzianej. Stosownie bowiem do treści art. 2 ust. 2 lit. c) Rozporządzenia 2016/679, nie znajduje ono zastosowania m.in. w sytuacji przetwarzania danych osobowych przez osobę fizyczną, w ramach czynności o czysto osobistym lub domowym charakterze. Jednocześnie, jak wynika z rozwinięcia wskazanej normy, zawartego w motywie 18 preambuły Rozporządzenia 2016/679, przez „działalność o czysto osobistym lub domowym charakterze” należy rozumieć taką działalność, która pozostaje bez związku z działalnością zawodową lub handlową osoby fizycznej. Tym samym, działalność osobista lub domowa może polegać m.in. na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności. Przytoczona definicja prowadzi do wniosku, iż przetwarzanie danych na własny użytek (np. w osobistych notatnikach, prywatnych komputerach czy innych prywatnych urządzeniach umożliwiających zautomatyzowane przetwarzanie danych), nie pozostające w związku z prowadzoną działalnością gospodarczą, bądź działaniami, które mogłyby przynieść jakiekolwiek korzyści majątkowe, nie jest objęte reżimem obecnie obowiązujących norm prawnych z zakresu ochrony danych osobowych.

oraz

Przenosząc powyższe rozważania na grunt niniejszej sprawy należy stwierdzić, iż zgromadzony materiał dowodowy nie dał podstawy by przyjąć, że przetwarzanie danych osobowych Skarżącego przez Pana K. J. odbywało się w celach innych, aniżeli osobiste. W ocenie Prezesa UODO, proces przetwarzania danych osobowych Skarżącego nie był związany z działalnością zarobkową, zawodową czy statutową Pana K. J. Jak ustalono w toku postępowania, wyżej wymieniony – mając na względzie planowany termin spotkania udziałowców P. Sp. z o.o. oraz pogarszającą się sytuację finansową spółki – postanowił poinformować wspólników o swoich obawach z tym faktem związanych. Jednocześnie, jak wynika z wyjaśnień Pana K. J., pismo w którym kwestionował on sposób zarządzania spółką skierowane do Skarżącego, jak i pozostałych udziałowców, sporządził wyłącznie w celach osobistych, z czym nie sposób się nie zgodzić. Treść rzeczonej korespondencji nie wskazuje na to, aby charakter czynności polegającej na przygotowaniu pisma oraz jego wysyłce był inny, aniżeli czysto osobisty, Pan K. J. wyjawił bowiem w piśmie wyłącznie swoje obawy i prywatnie sformułowane wnioski dotyczące kondycji spółki, której jest wspólnikiem. Wbrew twierdzeniom Skarżącego, w skierowanym do niego piśmie brak jest elementów wskazujących na możliwość nakłaniania go do zbycia udziałów P. Sp. z o.o., co prowadzi do wniosku, iż Pan K. J. nie osiągnąłby żadnych korzyści majątkowych w związku z przetwarzaniem danych osobowych Skarżącego. Autor spornej korespondencji nie zasiadał też nigdy w organach spółki, co wyłącza, zdaniem Prezesa UODO, możliwość zakwalifikowania jego działania jako czynności o charakterze zawodowym. Nadto, w ocenie Prezesa UODO brak jest w przedmiotowym piśmie treści świadczących o tym, by Pan K. J. działał w imieniu i na rzecz innego podmiotu.

i końcowo warto przytoczyć podsumowanie decyzji:

Zdaniem Prezesa UODO, z depozycji Skarżącego, jak i dowodów złożonych na ich poparcie nie wynika w sposób przekonywujący, aby działania Pana K. J., w powiązaniu z okolicznościami przetwarzania przez niego danych osobowych Skarżącego, stanowiły działania o charakterze innym niż osobisty. Z tego też powodu, opisywane w skardze przetwarzanie danych osobowych Skarżącego nie może korzystać z ochrony wynikającej z przepisów Rozporządzenia 2016/679. Brak możliwości stosowania przepisów o ochronie danych osobowych w tej konkretnej, indywidualnej sprawie, warunkuje konieczność wydania decyzji w przedmiocie odmowy uwzględnianie wniosku Skarżącego. Jednocześnie, wobec braku podstaw prawnych do dalszego procedowania, Prezes UODO odstąpił od badania sposobu pozyskania danych osobowych Skarżącego przez Pana K. J. Prowadzenie w tym zakresie dodatkowych czynności dowodowych nie miałoby wpływu na sposób rozstrzygnięcia niniejszej sprawy, powodując jedynie zbędne przedłużenie postępowania administracyjnego.

 

Ktoś napisał w sieci anonimowo komentarz, który może naruszać Twoje dobra osobiste, a usługodawca odmówił udostępnienia posiadanych informacji o osobie dokonującej takiego wpisu?

W takiej sytuacji osoba fizyczna zwróciła się do Prezesa Urzędu Ochrony Danych Osobowych o nakazanie administratorowi spełnienia swojego żądania wynikającego z praw jej przysługujących na podstawie RODO (art. 58 ust. 2 lit. c RODO).

Postępowanie przed organem nadzorczym zaczęło się od:

skargi Pana M. W. […] (zwanego dalej: „Skarżącym”) o nakazanie A. S.A. (dalej: „Spółka”) udostępnienia danych osobowych w zakresie adresu IP komputera użytkownika forum internetowego pod nazwą „[…]”, w tym również w miarę możliwości imienia i nazwiska, adresu i adresów e-mail tego użytkownika, który […] lutego 2016 r. umieścił na portalu […] pod nickiem „[…]” wpis pod artykułem M. W. „[…]”, o treści „[…]”. Wpis ten jak wskazał Pan M. W., narusza jego dobra osobiste i ma on uzasadniony interes prawny do wystąpienia na drogę prawną wobec internauty, który podaje nieprawdziwe informacje na jego temat.

później Skarżący wskazał, że:

Pan M. W. do skutecznego wniesienia pozwu cywilnego potrzebuje danych osobowych osoby naruszającej jego dobra osobiste. W związku z powyższym, wnosi o udostępnienie numeru IP komputera, w tym również w miarę możliwości imienia i nazwiska, adresu i adresów e-mail osoby, która […] lutego 2016 r. dokonała na portalu […] pod nickiem „[…]” ww. wpisu. W związku z powyższym Skarżący wniósł o wydanie decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem poprzez udostępnienie adresu IP komputera, w tym również w miarę możliwości imienia i nazwiska, adresu i adresów e-mail osoby, która […] lutego 2016 r. na portalu „[…]” pod nickiem „[…]” dokonała wpisu pod artykułem M. W. „[…]” naruszającego dobra osobiste Pana M. W.

W takim stanie faktycznym organ nadzorczy stwierdził:

W czasie, gdy miało miejsce zdarzenie opisane przez Skarżącego, obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781); zwana dalej również „ustawą”). Ww. ustawa określała zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ustawy. Zgodnie z art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych było dopuszczalne, gdy było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Ww. przesłankę przetwarzania danych osobowych zgodnie z prawem (stanowiącą odpowiednik art. 23 ust. 1 pkt 5 ustawy) określa obecnie art. 6 ust. 1 lit f) rozporządzenia 2016/679. Zgodnie z tym przepisem przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Jak wykazało przeprowadzone postępowanie administracyjne, Skarżący ma podstawy do uzyskania danych osobowych użytkownika pod nazwą „[…]”, który zamieścił wpis będący przedmiotem skargi, w zakresie jego adresu IP.

Warto tutaj podkreślić, że organ nadzorczy w omawianej decyzji administracyjnej odniósł się także do wymagań art. 18 ust. 6 UŚUDE:

Stosownie do brzmienia przepisu art. 18 ust. 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2019 r. poz. 123), usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań. Powyższy przepis istotnie kształtuje po stronie usługodawcy świadczącego usługi drogą elektroniczną obowiązek udostępnienia danych osobowych osób korzystających z tych usług organom państwa, na potrzeby prowadzonych przez nie postępowań. Tym samym art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną stanowi przepis prawa, o którym mowa w art. 23 ust. 1 pkt 2 ustawy (obecnie art. 6 ust. 1 lit. c) rozporządzenia 2016/679), nakładający wprost na określone podmioty określone prawa i obowiązki w zakresie przetwarzania danych osobowych usługobiorców usług świadczonych drogą elektroniczną.

I przechodząc do meritum decyzji – Prezes UODO stwierdził, że:

Odnosząc powyższe do okoliczności rozpatrywanej sprawy wskazać należy, że w ocenie Prezesa Urzędu Ochrony Danych Osobowych wniosek Skarżącego o udostępnienie adresu IP komputera, w tym również w miarę możliwości imienia i nazwiska, adresu i adresów e-mail użytkownika, który […] lutego 2016 r. na portalu […] pod nickiem „[…]” dokonał wpisu pod artykułem M. W. „[…]” będący przedmiotem skargi, znajdował uzasadnienie prawne w art. 23 ust. 1 pkt 5 ustawy, a obecnie ma uzasadnienie w art. 6 lit. f rozporządzenia 2016/679, i jako taki powinien zostać przez podmiot uwzględniony. Skarżący bowiem uzasadnił wniosek zamiarem wystąpienia przeciwko autorom wpisów na drogę sądową i niezbędnością żądanych danych z punktu widzenia możliwości dochodzenia wobec tej osoby roszczeń na drodze sądowej o ochronę dóbr osobistych. Zgodnie z treścią art. 24 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2018 r., poz. 1025) ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie.

 

Czy takie stanowisko zostanie potwierdzone przez WSA? Obecnie wiemy, że w podobnym stanie prawnym WSA w Warszawie w grudniu 2020 r. oddalił skargę kasacyjną dotyczącą umorzenia przez Prezesa UODO postępowania administracyjnego: 

Sąd wskazał w wyroku, że:

Z przepisów RODO nie wynikają żadne uprawnienia osobom trzecim, czyli innym niż te, których danych osobowych dotyczy ochrona. W szczególności art. 15 RODO przyznaje prawo dostępu do danych osobowych wyłącznie tej osobie, której danych dotyczą. Takie ukształtowanie omawianych przepisów pozostaje w zgodzie z art. 8 ust. 1 Karty Praw Podstawowych Unii Europejskiej, oraz z art.16 ust.1 Traktatu o funkcjonowaniu Unii Europejskiej. Ochrona danych osobowych stanowi bowiem jedno z podstawowych praw.

oraz

W szczególności przepisy RODO nie dają uprawnień informacyjnych podmiotom, które zamierzają wytaczać powództwa osobom fizycznym, których dane osobowe objęte są ochroną. Mało tego, przepisy analizowanej regulacji nie dają takich uprawnień także organowi nadzoru. Prezes UODO nie może więc żądać od administratora danych osobowych ich ujawnienia osobie trzeciej, na potrzeby ewentualnego postępowania sądowego.

Wbrew twierdzeniom strony skarżącej takiego uprawnienia nie sposób też wywieść z art. 6 ust.1 pkt. f RODO. Ten przepis stanowiłby dla skarżącego podstawę prawną do przetwarzania konkretnych danych osobowych w sytuacji, gdyby skarżący był już w posiadaniu tych danych. Powyższa norma nie daje jednak skarżącemu uprawnienia do pozyskania takich danych osobowych bezpośrednio, czy też za pośrednictwem Prezesa UODO.

a na koniec Sąd wskazuję na kluczowe zagadnienie:

Na marginesie wyjaśnić także należało, iż uprawnienie jakiego dotyczyło żądanie wnioskodawcy, nie przysługiwało Prezesowi UODO także na podstawie przepisów ustawy z 10 maja 2018r. o ochronie danych osobowych (Dz. U. z 2019r. poz. 1781).

Powyższe stanowisko wynika zapewne także z orzecznictwa TSUE. W sprawie C-13/16 (Rigas):

Trybunał wskazał, że:

Artykuł 7 lit. f) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że nie nakłada on obowiązku przekazania danych osobowych osobie trzeciej, aby umożliwić jej dochodzenie odszkodowania przed sądem cywilnym za szkodę wyrządzoną przez osobę objętą ochroną tych danych. Jednakże art. 7 lit. f) tej dyrektywy nie stoi na przeszkodzie takiemu przekazaniu na podstawie prawa krajowego.

Jak widać na tym przykładzie – decyzja organu nadzorczego nie zawsze musi znaleźć uznanie w oczach Sądu. Warto także odwoływać się do bogatego orzecznictwa TSUE. Te wszystkie źródła argumentów znajdziesz w Judykatura.pl