UZASADNIENIE
Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 22 w związku z art. 7 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), powoływanej dalej jako uodo, decyzją z dnia […] listopada 2010 r. nr […], po rozpatrzeniu wniosku O. oraz B. o ponowne rozpatrzenie sprawy, utrzymał w mocy swoją decyzję z dnia […] września 2010 r. nr […], mocą której nakazał O. usunięcie uchybień w procesie przetwarzania danych osobowych osób zainteresowanych przystąpieniem do O., pozyskiwanych za pomocą formularza “Deklaracji przystąpienia O. zamieszczonego na stronie internetowej […], poprzez wyodrębnienie klauzuli zgody na przetwarzanie danych osobowych dla celów marketingowych w rozumieniu art. 7 pkt 5 uodo od zgody na przekazywanie informacji handlowych drogą elektroniczną na adres poczty elektronicznej, wymaganej przepisami ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204, ze zm.).
Organ wskazał na następujący stan faktyczny w sprawie. Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w sprawie zgodności z przepisami uodo, procesu przetwarzania przez O., zwany dalej O., reprezentowany przez B., zwane dalej Spółką, danych osobowych osób zainteresowanych przystąpieniem do O. pozyskiwanych za pomocą formularza “Deklaracji przystąpienia O.” zamieszczonego na stronie internetowej […].
W toku postępowania Generalny Inspektor ustalił, że Spółka przewidziała możliwość przystąpienia do O. drogą elektroniczną. W celu tym należało wypełnić deklarację dostępną na stronie internetowej Spółki. W deklaracji tej znajdowały się cztery tzw. “zakładki” o nazwach: “Dane Członka […]”, “Adres, kontakt”, “Osoby uposażone” oraz “Dyspozycje, oświadczenia”. W zakładkach tych zamieszczone zostały poszczególne fragmenty deklaracji, wypełnianej przez osobę zamierzającą przystąpić do O. W ostatniej ze wskazanych wyżej zakładek, zamieszczona była klauzula zgody, przy której przewidziana była możliwość wyrażenia zgody poprzez zaznaczenie opcji TAK lub NIE. Jednakże pole wyboru zatytułowane “TAK” było zaznaczone automatycznie. Dla przyjęcia deklaracji przez system informatyczny Spółki nie było wymagane wypełnienie przez osobę zainteresowaną jakiejkolwiek rubryki znajdującej się w zakładce “Dyspozycje, oświadczenia”. Procedura wypełniania deklaracji przewidziana była w taki sposób, iż osoba ją wypełniająca nie była obligatoryjnie zapoznawana z treścią informacji zamieszczonych w tej zakładce. Tym samym możliwe było, iż osoba wypełniająca deklarację, nie tylko nie zapoznawała się z treścią klauzuli zgody, ale również nie była świadoma jej istnienia, a system informatyczny przyjmował wypełnioną przez nią deklarację. Po podaniu wymaganych przez system danych osobowych osoba wypełniająca deklarację proszona była o weryfikację poprawności wprowadzonych informacji. Wśród danych, które prezentowano celem weryfikacji, wyraźnie wyodrębnione było “Oświadczenie Członka O.” o treści: “Wyrażam zgodę na przetwarzanie danych osobowych”, obok którego widniała opcja TAK lub NIE. W sytuacji, kiedy osoba wypełniająca deklarację nie złożyła żadnego oświadczenia w przedmiocie przetwarzania jej danych osobowych, prezentowana była opcja TAK, co potwierdzało, iż wybór tej opcji dokonywany był automatycznie przez system informatyczny Spółki i mógł mieć miejsce bez zgody i wiedzy osoby zainteresowanej.
Jednocześnie organ ustalił, że Spółka nie dopełniała obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 uodo, wobec osób zainteresowanych przystąpieniem do O. poprzez stronę internetową Spółki w treści samej deklaracji, a w części zatytułowanej “Informacje dla przystępujących […]”.
W związku z powyższymi ustaleniami, organ zwrócił się do Spółki o podjęcie działań mających na celu zapewnienie zgodności przetwarzania przez Spółkę danych osobowych osób zainteresowanych przystąpieniem do O. z przepisami uodo.
Pomimo kolejnych wystąpień Generalnego Inspektora Ochrony Danych Osobowych skierowanych do Spółki, nie dostosowała ona w pełni procesu przetwarzania danych osobowych osób zainteresowanych przystąpieniem do O. do sygnalizowanych uwag. Spółka podjęła kroki natury technicznej, w wyniku których wyeliminowano automatyczne odznaczenie opcji “TAK” przy klauzuli zgody zamieszczonej na stronie internetowej w zakładce “Dyspozycje, oświadczenia” oraz zamieściła w tym miejscu klauzulę dotyczącą obowiązku informacyjnego.
Spółka nie podzieliła jednak prezentowanego konsekwentnie przez organ stanowiska w kwestii odrębnego traktowania zgody na przetwarzanie danych osobowych w celach marketingowych od zgody na przesyłanie informacji handlowych na adres poczty elektronicznej. Jednocześnie Spółka wyjaśniła, iż w treści klauzuli, poprzez którą dopełnia obowiązku informacyjnego wobec osób zainteresowanych przystąpieniem do O. drogą elektroniczną, nie wskazała celu przetwarzania danych osobowych bowiem, zdaniem Spółki, osoba przystępująca do O. w powyższy sposób posiada przedmiotową informację.
Ostatecznie na stronie internetowej Spółki oświadczenie woli w zakładce “Oświadczenia” będącej częścią “Deklaracji przystąpienia do […]” w dalszym ciągu zawierało w swej treści zarówno zgodę na przetwarzanie danych osobowych w celach marketingowych wynikającą z przepisów uodo, jak i zgodę na przesyłanie drogą elektroniczną informacji handlowych, o której mowa w przepisach ustawy o świadczeniu usług drogą elektroniczną.
Organ podniósł również, że na przedmiotowej stronie nie uregulowano w sposób zgodny z wymaganiami wynikającymi z uodo kwestii dotyczącej obciążającego administratora danych obowiązku informacyjnego. W treści klauzuli, poprzez którą Spółka dopełnia tego obowiązku, w dalszym ciągu brak było informacji o celu zbierania danych, a w szczególności o znanych jej w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych. Ponadto, z przedmiotowej klauzuli wynikało, iż administratorem danych osobowych przekazywanych przez członka O., w związku z uczestnictwem w O., w rozumieniu uodo, jest […].
Wobec powyższego w dniu […] września 2007 r. Generalny Inspektor Ochrony Danych Osobowych wydał decyzję nr […], mocą której nakazał Spółce usunięcie uchybień w procesie przetwarzania danych osobowych osób zainteresowanych przystąpieniem do O., poprzez dokonanie modyfikacji zawartej na niej klauzuli tak, aby w jej wyniku powstały dwa odrębne oświadczenia woli obejmujące swym zakresem zgodę na przetwarzanie danych osobowych dla celów marketingowych w rozumieniu art. 7 pkt 5 uodo oraz zgodę na przekazywanie informacji handlowych drogą elektroniczną wymaganą przepisami ustawy o świadczeniu usług drogą elektroniczną; zmianę treści zamieszczonej na ww. stronie internetowej tzw. “klauzuli informacyjnej”, za pomocą której […] dopełniło wobec osób przystępujących do O. obowiązek informacyjny określony w art. 24 ust. 1 uodo, poprzez prawidłowe oznaczenie administratora danych (wskazanie, że jest nim w tym przypadku […]) oraz uzupełnienie przedmiotowej klauzuli o informację dotyczącą celu zbierania danych, a w szczególności o znanych […] – w czasie udzielania osobie, której dane dotyczą, informacji – lub przewidywanych odbiorcach lub kategoriach odbiorców danych.
Po rozpoznaniu wniosku o ponowne rozpatrzenie sprawy organ wydał w dniu […] grudnia 2007 r. decyzję nr […], utrzymującą w mocy zaskarżoną decyzję. Decyzja ta została zaskarżona przez Spółkę do Wojewódzkiego Sądu Administracyjnego w Warszawie, jednak Sąd postanowieniem z dnia 4 marca 2008 r. odrzucił skargę Spółki, z uwagi na uchybienie terminu do jej wniesienia.
W dniu […] maja 2008 r. do Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek Spółki o stwierdzenie nieważności decyzji z dnia […] września 2007 r. i z dnia […] grudnia 2007 r. W uzasadnieniu wniosku Spółka podniosła, że wskazane decyzje obarczone są wadą skutkującą ich nieważnością, bowiem wynika z nich, że administratorem danych osobowych członków O. powinien być sam O., a nie Spółka.
Wobec powyższego organ wydał w dniu […] września 2008 r. decyzję nr […], mocą której odmówił uwzględnienia wskazanego wniosku. Po rozpatrzeniu wniosku o ponowne rozpatrzenie sprawy organ wydał w dniu […] grudnia 2008 r. decyzję nr […], mocą której utrzymał w mocy zaskarżoną decyzję.
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 28 maja 2009 r. sygn. akt II SA/Wa 234/09 uchylił zaskarżoną decyzję i decyzję ją poprzedzającą. W uzasadnieniu ww. wyroku Sąd wskazał, że przedmiotowe decyzje i sformułowany w nich nakaz nie zostały skierowane do strony postępowania – O., ale do jego organu – Spółki, któremu błędnie przyznano status strony niniejszego postępowania.
Uwzględniając powyższe rozstrzygnięcie Sądu, organ wydał w dniu […] października 2009 r. decyzję nr […], mocą której stwierdził nieważność decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia […] września 2007 r. oraz z dnia […] grudnia 2007 r.
W dalszej części uzasadnienia organ wskazał, że w zamieszczonym obecnie na stronie internetowej […] oświadczeniu będącym częścią “Deklaracji przystąpienia do […]” O. zawarł klauzulę zgody na przetwarzanie danych osobowych w celach marketingowych przez B. Ponadto, w dalszym ciągu oświadczenie to zawiera w swej treści zarówno zgodę członków O. na przetwarzanie danych osobowych w celach marketingowych wynikającą z przepisów uodo, jak i zgodę na przesyłanie drogą elektroniczną informacji handlowych, o której mowa w przepisach ustawy o świadczeniu usług drogą elektroniczną.
Jak wynika z wyjaśnień O. wyraził on zgodę na umieszczenie przez B. na formularzu przedmiotowej deklaracji klauzul zgody dotyczących przetwarzania przez ten podmiot danych osobowych członków O. w celach marketingowych, gdyż łączy je z tym podmiotem, zawarta w oparciu o art. 89 ust. 3 ustawy o organizacji i funkcjonowaniu funduszy emerytalnych, umowa o prowadzenie rejestru i obsługę członków O. z dnia […] września 2002 r. Na podstawie tej umowy O. zlecił B., jako agentowi transferowemu, świadczenie usługi związanej z prowadzeniem rejestru członków O. oraz obsługą członków O.
W zaistniałym stanie faktycznym Generalny Inspektor Ochrony Danych Osobowych wydał decyzję administracyjną z dnia […] września 2010 r. nr […], mocą której nakazał O. reprezentowanemu przez B. usunięcie uchybień w procesie przetwarzania danych osobowych osób zainteresowanych przystąpieniem do O., pozyskiwanych za pomocą formularza “Deklaracji przystąpienia do […]”, poprzez wyodrębnienie klauzuli zgody na przetwarzanie danych osobowych dla celów marketingowych w rozumieniu art. 7 pkt 5 uodo od zgody na przekazywanie informacji handlowych drogą elektroniczną na adres poczty elektronicznej, wymaganej przepisami ustawy o świadczeniu usług drogą elektroniczną. Decyzja ta została zaskarżona przez pełnomocnika O. oraz B., zwanych dalej Skarżącymi, w terminie ustawowym.
W uzasadnieniu decyzji z dnia […] listopada 2010 r. organ podniósł, że jego wątpliwości budzi ta część “Deklaracji przystąpienia do […]”, która dotyczy zgody na przetwarzanie danych osobowych członków O. w celach marketingowych B. Oceniając treść tego oświadczenia, łączącego zgodę na przetwarzanie danych osobowych w celach marketingowych ze zgodą na przesyłanie informacji handlowych na adres poczty elektronicznej, o której stanowi art. 4 ust. 1 ustawy o świadczeniu usług drogą elektroniczną, organ stwierdził, iż jest ono niezgodne z art. 7 pkt 5 uodo. Powołany przepis stanowi bowiem, że pod pojęciem zgody osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Istotne jest zatem, by oświadczenie zawierające zgodę na przetwarzanie danych osobowych złożone zostało w taki sposób, aby zgoda ta była wyraźna i dotyczyła przetwarzania danych w konkretnym, wskazanym przez administratora danych celu. Formuła zgody na przetwarzanie danych osobowych powinna stanowić odrębne oświadczenie osoby, której dane dotyczą, zaś z jej treści powinno w sposób niebudzący wątpliwości wynikać w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego na co się godzi.
Organ podkreślił również, że art. 16 ust. 1 ustawy o świadczeniu usług drogą elektroniczną stanowi, iż do przetwarzania danych osobowych w rozumieniu uodo, w związku ze świadczeniem usług drogą elektroniczną, stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej. A zatem w sytuacji braku odmiennych uregulowań w przepisach ustawy o świadczeniu usług drogą elektroniczną, do przetwarzania danych w powyższego rodzaju przypadkach, zastosowanie znajdą przepisy uodo, w tym te odnoszące się do wymogów, jakie powinno spełniać oświadczenie woli w przedmiocie zgody na przetwarzanie danych osobowych.
W przypadku sformułowania jednego oświadczenia woli zawierającego w swej treści zgodę, o której mowa w przepisach uodo oraz tą wskazaną w ustawie o świadczeniu usług drogą elektroniczną, trudno mówić o spełnieniu przez administratora danych określonego w uodo wymogu zapewnienia osobie, której dane dotyczą, swobodnego i nieskrępowanego podjęcia decyzji i wyrażenia woli w sprawie zgody na przetwarzanie jej danych osobowych. Podmiot danych wyrażając chęć otrzymywania informacji handlowych na adres poczty elektronicznej musi jednocześnie złożyć oświadczenie woli w przedmiocie zgody na przetwarzanie jego danych osobowych w celach marketingowych wynikającą z przepisów uodo. Osoba, której dane dotyczą, zainteresowana otrzymywaniem materiałów reklamowych dotyczących usług i produktów oferowanych przez inne niż administrator danych podmioty, wyłącznie tzw. “pocztą tradycyjną”, zobowiązana jest jednocześnie do wyrażenia woli na przesyłanie na jej adres poczty elektronicznej informacji handlowych. W świetle powyższego organ stwierdził, że O. powinien zapewnić osobie przystępującej do O. możliwość wyrażenia zgody na przetwarzanie jej danych osobowych w celach marketingowych B. odrębnej od zgody na przekazywanie na wskazany przez nią adres e-mail materiałów reklamowych.
Za bezzasadną uznano natomiast argumentację Skarżących odnoszącą się do braku wpływu połączenia w jednej klauzuli zgody osoby, której dane dotyczą na przesyłanie na podany przez nią adres e-mail informacji handlowych ze zgodą na przetwarzanie jej danych osobowych w celach marketingowych, na ich odwoływanie. Ustawa o świadczeniu usług drogą elektroniczną w swym art. 4 ust. 1 pkt 2 stanowi, iż jeżeli ustawa wymaga uzyskania zgody usługobiorcy, to zgoda ta może być odwołana w każdym czasie. Przepisy uodo nie regulują natomiast kwestii odwołania uprzednio wyrażonej zgody.
W związku z powyższym O. jest zobowiązany do sformułowania klauzuli zgody na przetwarzanie danych w celach marketingowych w sposób oddzielny od klauzuli zgody na otrzymywanie informacji handlowych za pomocą poczty elektronicznej, także po to, aby osoba zainteresowana mogła swobodnie zgodę taką odwołać.
Odnosząc się natomiast do kwestii wskazania administratora danych pozyskiwanych za pomocą “Deklaracji przystąpienia do […]”, organ podkreślił, że zgromadzony materiał dowodowy pozwala na stwierdzenie, iż administratorem przedmiotowych danych pozostaje O., natomiast B., w oparciu o łączącą oba podmioty umowę o prowadzenie rejestru i obsługę członków O, występuje jako podmiot, któremu powierzono przetwarzanie danych. Stosownie bowiem do § 1 przedmiotowej umowy B. świadczenie usługi związanej z prowadzeniem rejestru członków O. oraz obsługę członków O. (pkt 1), a B. zobowiązała się do wykonywania tej usługi zgodnie z obowiązującymi przepisami prawa, procedurami […]. oraz procedurami zaakceptowanymi przez […] i instrukcjami […] (pkt 2). W świetle przepisów uodo, przetwarzanie danych osobowych członków B. znajduje zatem uzasadnienie wyłącznie w treści art. 31 ust. 1 ustawy, zgodnie z którym administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. W niniejszej sprawie przedmiotowe powierzenie nastąpiło we wskazanej umowie łączącej B. Ponadto B. stają się administratorem danych członków O. wypełniających przedmiotową deklarację jedynie w przypadku zaznaczenia przez nich opcji TAK przy oświadczeniach zgody na przetwarzanie danych osobowych przez ten podmiot, co wynika z zamieszczonego przez O. pod przedmiotowymi oświadczeniami klauzuli informującej o tym.
Organ uznał za bezzasadne zarzuty Skarżących kwestionujące prawidłowość przeprowadzonego postępowania administracyjnego, poprzez błędne ustalenie stanu faktycznego oraz niewskazanie w wydanym rozstrzygnięciu faktów i dowodów, na których je oparto oraz przyczyn, dla których innym dowodom odmówiono wiarygodności i mocy dowodowej.
W dniu […] grudnia 2010 r. skargę na powyższą decyzję złożył O. reprezentowany przez profesjonalnego pełnomocnika. Skarżący zarzucił decyzji Generalnego Inspektora Ochrony Danych Osobowych:
1. naruszenie przepisów prawa materialnego, tj.:
• art. 7 pkt 4 uodo, poprzez błędną interpretację pojęcia administratora danych osobowych, a w konsekwencji przyjęcie, że skarżący decyduje o celach i środkach przetwarzania danych osób, które wyraziły zgodę na przetwarzanie danych osobowych w celach marketingowych przez spółkę B. oraz spółki powiązane kapitałowo z […]. Skarżący podkreślił, iż O. nie jest administratorem danych osobowych przetwarzanych w celach marketingowych. Dane te są bowiem zbierane przez B., bowiem osoby przystępujące do O. poprzez zaznaczenie opcji TAK przy klauzuli zgody marketingowej umieszczonej na deklaracji zgody przystąpienia do O.wyrażają zgodę na przejęcie ich danych osobowych przez inny podmiot i to ten podmiot jest ich administratorem. Skarżący zlecił B. jedynie czynności związane wyłączenie z prowadzeniem rejestru i obsługą członków O., co wiąże się tylko z celami związanymi z działalnością […], a zawarta umowa nie obejmuje problematyki przetwarzania danych osobowych w celach marketingowych, co należy tylko do B.,
• art. 7 pkt 5 uodo, poprzez błędną interpretację pojęcia zgody osoby, której dane dotyczą, a w konsekwencji przyjęcie, że nie jest dopuszczalne łączenie w jednym oświadczeniu zgody na przetwarzanie danych w celach marketingowych ze zgodą na otrzymywanie informacji handlowych drogą elektroniczną. Zdaniem skarżącego, w tym względzie zawarty w decyzji GIODO nakaz rozdzielenia zgody na dwa sposoby przekazywania informacji nie ma oparcia w obowiązujących przepisach prawa. Osoba, która wyraża zgodę ma pełna świadomość, co do celu i zakresu przetwarzania, a więc nie ma wątpliwości, iż klauzula zgody marketingowej zamieszczona w deklaracji przystąpienia do O. jest skonkretyzowana i jej zakres nie budzi wątpliwości interpretacyjnych,
2. naruszenie przepisów prawa procesowego, które miało istotny wpływ na wynik sprawy, czyli:
• art. 7 i 77 § 1 kpa, poprzez błędne ustalenie stanu faktycznego polegające na przyjęciu, że skarżący jest administratorem danych osób, które w deklaracji przystąpienia do funduszu wyraziły zgodę na przetwarzanie ich danych w celach marketingowych przez B. oraz spółki powiązane kapitałowo z […]., podczas gdy […] nie jest administratorem tych danych, a jedynie wyraził zgodę na przetwarzanie danych osobowych w celach marketingowych na formularzu deklaracji,
• art. 107 kpa, poprzez wydanie decyzji, której prawidłowość nie poddaje się kontroli instancyjnej z uwagi na brak wskazania faktów i dowodów, na których organ oparł swoje rozstrzygnięcie oraz przyczyn i powodów, dla których innym dowodom odmówił wiarygodności i mocy dowodowej.
W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał argumenty zawarte w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Na podstawie art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), do rozpoznania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona.
Natomiast zgodnie z treścią art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.
Rozpatrywana pod tym względem skarga nie zasługuje na uwzględnienie.
Na wstępie należy wskazać, że definicja administratora danych osobowych jest ujęta w art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), zwanej dalej uodo. Wedle tego przepisu, administratorem danych osobowych jest: organ, jednostka organizacyjna, podmiot lub osoba, decydująca o celach i środkach przetwarzania danych osobowych. Możemy więc powiedzieć, że “na termin ten składają się dwie przesłanki łącznie:
1. status podmiotu ze sfery publicznej lub prywatnej w rozumieniu uodo;
2. sprawowanie władztwa w procesie przetwarzania danych osobowych.”
(G. Sibiga Postępowanie w sprawach ochrony danych osobowych. Warszawa 2003 s. 53).
Jeśli chodzi o pierwszą przesłankę, dla jej określenia podstawowe znaczenie ma art. 3 uodo. Przepis ten dzieli podmioty przetwarzające dane osobowe na dwie grupy. Do pierwszej zaliczamy podmioty publiczne, a więc: organy państwowe, organy samorządu terytorialnego oraz państwowe i komunalne jednostki organizacyjne. W drugiej grupie znajdą się podmioty prywatne, do których zaliczamy: podmioty niepubliczne realizujące zadania publiczne, osoby fizyczne i osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. W grupie tej będą podmioty, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. W sprawie bezsporne jest, że O. niewątpliwe spełnia pierwszą przesłankę, gdyż jest podmiotem niepublicznym, który w związku ze swoją działalnością pozyskuje i przetwarza dane osobowe. Potwierdził ten fakt prawomocny wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 28 maja 2009 r. sygn. akt II SA/Wa 234/09. Spornym jest natomiast, czy O. sprawuje władztwo w procesie przetwarzania danych osobowych. Skarżący twierdzi, że O. nie jest administratorem danych osobowych przetwarzanych w celach marketingowych. Dane te są bowiem zbierane przez B., bowiem osoby przystępujące do O. poprzez zaznaczenie opcji TAK przy klauzuli zgody marketingowej umieszczonej na deklaracji zgody przystąpienia do O. wyrażają zgodę na przejęcie ich danych. W tym miejscu należy przypomnieć, że zgodnie z art. 7 pkt 2 uodo, przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W ramach przetwarzania danych osobowych występuje także powierzanie danych do przetwarzania, “co wiąże się z procesami zlecania czynności związanych z przetwarzaniem danych osobowych innym podmiotom” (M. Byczkowski Zarządzanie procesami przetwarzania danych osobowych tekst zamieszczony w Ochrona danych osobowych. Aktualne problemy i nowe wyzwania red. G. Sibiga X. Konarski, Warszawa 2007, s.17). Stanowisko takie ma potwierdzenie w orzecznictwie sądów administracyjnych (por. wyrok NSA z dnia 1 grudnia 2009 r. sygn. akt I OSK 227/09 opublikowany w CBOSA). Tak zatem przekazanie innym podmiotom uprawnień związanych ze zbieraniem i dalszym przetwarzaniem danych osobowych, nie oznacza, że dany podmiot nie jest już administratorem w rozumieniu omawianej regulacji. Administrator bowiem jest podmiotem, na rzecz którego zbierane są dane osobowe i w pełni kontroluje on sposób zbierania danych osobowych.
Na gruncie rozpatrywanej sprawy należy podnieść, że pomiędzy O., a B. w dniu […] września 2002 r. została zawarta umowa o prowadzenie rejestru i obsługę członków O. (k. 223-220 akt administracyjnych sprawy). Umowa ta zawarta jest w oparciu o art. 89 ust. 3 ustawy o organizacji i funkcjonowaniu funduszy emerytalnych. Z treści preambuły (pkt a) do umowy wynika, iż […] zleca usługę związaną z prowadzeniem rejestru członków […] w zakresie zgodnym z przepisami prawa, więc także ustawy o ochronie danych osobowych. Natomiast wedle § 1 ust. 2 umowy B. zobowiązują się do wykonywania usługi zgodnie z procedurami i instrukcjami O. oraz procedurami zaakceptowanymi przez […]. Oznacza to, że sposób prowadzenia przez B. strony internetowej, poprzez którą osoby zainteresowane składają chęć przystąpienia do O. jest w pełni uzależniony do O. To na jego rzecz i za jego zgodą są umieszczane i zbierane dane osobowe osób chcących przystąpić do […] i co więcej treść deklaracji przystąpienia do O. wyraźnie wskazuje na O. jako podmiot, któremu osoby chcące przystąpić do […] udostępniają swoje dane osobowe. Jeśliby zatem przyjąć sposób rozumowania wskazany w skardze oznaczałoby to, że O. w ogóle poprzez ww. umowę z dnia […] września 2002 r. zrzekł się jakiejkolwiek kontroli nad zbieranymi przez B. danymi osobowymi osób, które za pośrednictwem strony internetowej chcą przystąpić do […] oraz nad tym, jakie dane osobowe i w jakim celu zbiera agent transferowy. Taka sytuacja byłaby sprzeczna zarówno z treścią ww. umowy z dnia […] września 2002 r., ale także z przepisami dotyczącymi funkcjonowania otwartych funduszy emerytalnych. Tak więc wbrew twierdzeniu skargi O. jest administratorem danych osobowych pozyskiwanych poprzez deklarację przystąpienia do […] i to ten podmiot jest odpowiedzialny za to kto i w jakim celu za pośrednictwem strony internetowej zbiera dla niego dane osobowe.
Skarżący ma rację podnosząc, iż ustawa o ochronie danych osobowych nie zakazuje dopuszczenia w jednym oświadczeniu woli zgody na dwa rodzaje przesyłania danych osobowych. Jednak problemem jest takie sformułowanie tej zgody, że faktycznie, co słusznie podkreślił GIODO, osobie która wyraża zgodę nie pozostawia się możliwości wyboru, co do sposobu przesyłania danych marketingowych drogą tradycyjną lub tylko pocztą elektroniczną, ale także sposób sformułowania tej zgody, który w gruncie rzeczy może wprowadzać w błąd osoby chcące przystąpić do […], co do tego czy godzą się tylko na przetwarzanie swoich danych osobowych w celach marketingowych i przesyłanie informacji o produktach grupy […] drogą zwykłą, czy też także drogą elektroniczną.
Umieszczenie zgody na dwa w istocie różne sposoby przetwarzania udzielonych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania, czego ta zgoda dotyczy, w niewątpliwy sposób powoduje, iż osoba wyrażająca zgodę nie wie dokładnie, na co wyraża taką zgodę. Sformułowanie oświadczenia może bowiem sugerować:
– że chodzi jedynie o przetwarzanie danych osobowych w celach przesyłania informacji handlowych drogą elektroniczną albo;
– że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą, albo;
– że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą elektroniczna i przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą.
Taka sytuacja jest sprzeczna z treścią art. 7 ust. 5 uodo, gdyż “zgoda na przetwarzanie danych osobowych musi być wyraźna. Nie spełnia tego wymagania podpisanie oświadczenia o wyrażeniu zgody na przetwarzanie danych, stanowiącego dodatkowy element innego zobowiązania niezawierającego informacji o celach i zakresie przetwarzania tych danych” (wyrok NSA z dnia 4 kwietnia 2003 r. sygn. akt II SA 2135/02 opublikowany w LEX nr 107067). Sposób sformułowania klauzuli o przetwarzaniu danych osobowych w celach marketingowych zawarty w deklaracji przystąpienia do […] powoduje, iż osoba, która ją składa nie może być do końca pewna na co rzeczywiście się zgadza. Nadto obecny sposób sformułowania tej zgody powoduje, iż osoba zainteresowana, nie może odwołać np. tylko jednej ze zgód np. zgody na przetwarzanie danych osobowych w celach marketingowych, a pozostawić drugą. To rozwiązanie jest również niekorzystne dla osoby, która chce, aby w ograniczonym stopniu były przetwarzane jej dane osobowe, np. chciałaby otrzymywać informacje o produktach grupy […] pocztą elektroniczną, ale nie jest zainteresowana innymi formami marketingu np. marketingiem telefonicznym.
Tak więc sposób sformułowania w deklaracji przystąpienia do […] zgody na przetwarzanie danych osobowych w celach marketingowych i w celach związanych z przesyłaniem informacji drogą elektroniczną powinien ulec zmianie tak, aby klauzula zgody na przetwarzanie danych osobowych w celach marketingowych i klauzula przetwarzania danych w celach związanych z otrzymywaniem informacji handlowych były oddzielone.
Jako niezasadne należy uznać zarzuty dotyczące naruszenia przepisów prawa procesowego przez Generalnego Inspektora Ochrony Danych Osobowych. Postępowanie dowodowe było prowadzone przez organ w sposób prawidłowy i wnikliwy. Organ zbierał samodzielnie materiał dowodowy oraz dołączył do akt sprawy dowody przedstawione przez stronę i uczestnika postępowania. W obszernym uzasadnieniu obu wydanych w sprawie decyzji dokonano obszernej i głębokiej analizy zarówno zebranych dowodów, jak i argumentów uczestników postępowania. Organ przestawił tym zakresie szerokie uzasadnienie faktyczne, jak i prawne. W uzasadnieniu decyzji wydanej w wyniku złożenia przez stronę jak i uczestnika postępowania wniosku o ponowne rozpatrzenie sprawy, ponownie GIODO dokonał całkowitej oceny zarówno ustalonego stanu faktycznego, jak i argumentów wyrażonych we wnioskach o ponowne rozpatrzenie sprawy. Fakt, że te ustalenia nie są zbieżne z wnioskami skarżącego nie oznacza, że zostały naruszone przepisy Kodeksu postępowania administracyjnego.
Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 w związku z art. 132 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w sentencji. |