NSA: w dacie wydania decyzji nie zachodził stan naruszenia przepisów

W tej sprawie pewien Bank przetwarzał dane osobowe zebrane w celu zawarcia umowy także w celach marketingowych. Wojewódzki Sąd Administracyjny w Warszawie w maju 2019 r. oddalił skargę obywatela na decyzję Prezesa UODO w przedmiocie odmowy uwzględnienia wniosku.

W orzeczeniu sądu I instancji wskazano, że:

Bank pozyskał dane osobowe skarżącego na podstawie art. 23 ust. 1 pkt 3 ustawy w związku z zawarciem z nim umowy kredytu mieszkaniowego. Użyte w tym przepisie sformułowanie “jest konieczne do realizacji”, w ocenie Sądu oznacza de facto, że zebrane dane są niezbędne jednej ze stron umowy, w związku z wyrażoną wolą drugiej strony. Należy zatem uznać, że skoro celem przetwarzania jest wywiązanie się przez osobę z umowy, to usprawiedliwione będzie wykorzystanie niezbędnych w tym celu informacji osobowych przez administratora danych.

zgoda na przetwarzanie danych osobowych ma charakter oświadczenia woli. Winna być ona wyraźna. Nie wystarczy zatem samo powiadomienie o zamiarze przetwarzania danych i brak sprzeciwu z drugiej strony. Zgoda nie musi być, co prawda, udzielona na piśmie, ale winna jasno i jednoznacznie prezentować wolę zainteresowanego i jej zakres. Udzielający zgody musi być przy tym zorientowany, o jakie dane chodzi i o jakie ich przetwarzanie, w tym zwłaszcza, do jakich celów. Sposób poinformowania musi być zrozumiały i nie może dotyczyć bliżej niedookreślonych czynności. Przetwarzanie i wykorzystanie danych powinno następować tylko w tym celu, dla którego zostały pozyskane i cel ten powinien być znany osobie, której dane dotyczą. Oznacza to obowiązek informowania o celu gromadzenia i zakaz zbierania danych na zapas, dla nieokreślonych lub niedających się określić celów.

z zebranego w sprawie materiału dowodowego wynika, że skarżący nie zawarł ze Spółką żądnej umowy, co oznacza że nie mogła ona wykorzystywać jego danych osobowych, które uzyskała od Banku, do celów marketingowych. Wbrew twierdzeniu pełnomocnika skarżącego, Spółka nie działała na zlecenie Banku, jako podmiot określony w art. 31 ustawy, a występowała wyłącznie jako administrator danych osobowych.

działalność prowadzona dla celów marketingowych może być dopuszczalna bez zgody zainteresowanego, zgodnie z art. 23 ust. 1 pkt 5 ustawy. Winna ona jednak wówczas odpowiadać bardziej restryktywnym warunkom. Nie wystarczy już bowiem tylko, aby dane te były, w świetle art. 26 ust. 1 pkt 1 i 3 ustawy, przetwarzane zgodnie z prawem, merytorycznie poprawne i adekwatne do celów, ale muszą być one niezbędne do wypełnienia usprawiedliwionych celów administratora danych i nie mogą naruszać praw i wolności osoby, której dane dotyczą. Jeżeli jednak dochodzi do przetwarzania danych osobowych, to proces ten nie może być legalizowany przesłanką z art. 23 ust. 1 pkt 2 ustawy, na który powołała się Spółka w piśmie z dnia […] listopada 2017 r.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

Naczelny Sąd Administracyjny wskazał, że:

jednym z obligatoryjnych elementów uzasadnienia wyroku jest przedstawienie zarzutów skargi. Przedstawienie zarzutów skargi to ich przytoczenie, ewentualnie wraz z przedstawioną w zarysach towarzyszącą im argumentacją.

w orzecznictwie Naczelnego Sądu Administracyjnego wyrażany jest wprawdzie pogląd, że obowiązkiem sądu jest również odniesienie się do zarzutów skargi w podstawie prawnej rozstrzygnięcia i jej wyjaśnienie, jednakże obowiązek ten nie może być rozumiany jako konieczność odniesienia się bezpośrednio do każdego z nich (por. wyrok NSA z 18 lipca 2012 r., sygn. II FSK 17/11).

Na jego podstawie organ, w przypadku naruszenia przepisów o ochronie danych osobowych, był uprawniony do nakazania przywrócenia stanu zgodnego z prawem. Decyzja wydawana na tej podstawie powinna dotyczyć konkretnego działania lub zaniechania, określonego w szczególności w art. 18 ust. 1 pkt 1-6 u.o.d.o., jej celem zaś było osiągnięcie stanu zgodnego z prawem. Stan ten mógł być oczywiście zrealizowany w dacie orzekania i w jego wyniku, poprzez wydanie decyzji organ nie był w stanie zmienić stanu przeszłego.

Nadto NSA potwierdził, iż:

tylko w przypadku niespełnienia przez administratora danych powyższego obowiązku w ustawowym terminie, osoba, której dane dotyczą, może zwrócić się do organu ochrony danych osobowych z żądaniem wydania decyzji administracyjnej na podstawie art. 18 u.o.d.o., co w niniejszej sprawie nie miało miejsca. Ponadto, w niniejszej sprawie, elementem stosunku materialnoprawnego, który nie istniał w chwili wydania decyzji kończącej niniejsze postępowanie administracyjne, było przetwarzanie danych osobowych skarżącego.

Stwierdzenie istnienia takiego przetwarzania pozwoliłoby dopiero rozstrzygnąć o jego legalności (istnieniu podstawy prawnej przetwarzania) i zgodności z przepisami o ochronie danych osobowych (w tym o wywiązywaniu się przez administratora danych z ciążących na nim obowiązków wymienionych w art. 33 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, o zbadanie czego wnosił skarżący).

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności