W kwietniowym wyroku NSA wskazuje warunki łączenia zgód marketingowych

10.05.2021

Sprawa rozpoznawana przez NSA miała swój początek w kontroli przeprowadzonej przez Inspektorów Generalnego Inspektora Ochrony Danych Osobowych we wrześniu 2015 roku (!).  Kontrola ta doprowadziła do wszczęcie z urzędu przez GIODO postępowania administracyjnego w sprawie przetwarzania danych osobowych przez spółkę w zakresie przetwarzania przez spółkę danych osobowych potencjalnych klientów i klientów w celach marketingowych oraz w celach windykacyjnych.

Po zakończeniu kontroli stwierdzono następujące uchybienia w procesie przetwarzania danych osobowych:

Uniemożliwienie potencjalnym klientom oraz klientom spółki podjęcia swobodnej decyzji co do wyrażenia:

  • zgody na przetwarzanie danych osobowych w celach marketingowych produktów spółki,
  • zgody na przetwarzanie danych osobowych w celach marketingu produktów lub usług innych podmiotów,

poprzez zastosowanie przez spółkę jednej klauzuli, zamieszczonej we wnioskach o udzielenie pożyczki, obejmującej łącznie ww. zgody oraz zgodę, o której mowa w art. 172 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243, z późn. zm.), zgodnie z którym zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę (art. 23 ust. 1 pkt 1 w związku z art. 7 pkt 5 ustawy).

Przetwarzanie danych osobowych osób wnioskujących o udzielenie pożyczki (potencjalnych klientów) w zakresie: nazwisko rodowe, imiona rodziców, data wydania dowodu osobistego oraz nazwa organu, który go wydał, wizerunek, wzrost, kolor oczu, miejsce urodzenia, nazwisko panieńskie matki, jako nieadekwatnych do celu, w jakim te dane są przetwarzane, tj. identyfikacji tożsamości klienta przed zawarciem umowy pożyczki (art. 26 ust. 1 pkt 3 ustawy).

Niezawarcie w dokumentacji opisującej sposób przetwarzania danych oraz środki, o których mowa w art. 36 ust. 1 ustawy, informacji dotyczących systemu informatycznego o nazwie “[…]”, wykorzystywanego do wysyłania wiadomości pocztowych do klientów, wobec których prowadzona jest windykacja (art. 36 ust. 1 pkt 2 ustawy).

W lutym 2017 r. GIODO wydał decyzję, którą:

  • nakazał spółce przywrócenie stanu zgodnego z prawem poprzez:
  • zapewnienie swobody w przedmiocie złożenia przez potencjalnych klientów i klientów spółki zgody na przetwarzanie danych osobowych w celach marketingu produktów i usług innych podmiotów, w terminie 30 dni od dnia, w którym decyzja stanie się ostateczna;
  • zaprzestanie przetwarzania danych osobowych osób wnioskujących o udzielenie pożyczki za pośrednictwem: […] z siedzibą w W. przy ul. […],[…] Sp. z o.o. z siedzibą w G. przy ul. […], […] S.A. z siedzibą w S. przy ul. […],[…] z siedzibą w W. przy ul. […] oraz […] Sp. z o.o. z siedzibą w M. przy ul. […], w zakresie: nazwisko rodowe, imiona rodziców, data wydania dowodu osobistego oraz nazwa organu, który go wydał, wizerunek, wzrost, kolor oczu, miejsce urodzenia, nazwisko panieńskie matki, jako nieadekwatnych do celu, w jakim dane te są przetwarzane, tj. identyfikacji tożsamości ww. osób przed zawarciem pożyczki, w terminie 30 dni od dnia, w którym decyzja stanie się ostateczna.
  • w pozostałym zakresie postępowanie administracyjne umorzył w związku z usunięciem uchybień w procesie przetwarzania danych.

Wojewódzki Sądy Administracyjny w lutym 2018 r. oddalił skargę pełnomocnika kontrolowanej spółki wskazując, że istotą sporu w przedmiotowej sprawie jest:

 

 

czy na gruncie obowiązujących przepisów jest dopuszczalne wrażenie jednej zgody na dokonywanie przetwarzania danych osobowych w celu marketingu bezpośredniego produktów […] Sp. z o. o oraz używanie telekomunikacyjnych urządzeń końcowych w celu prowadzenia tego marketingu, o której mowa w art. 172 ustawy Prawo telekomunikacyjne.

I odpowiedział następująco:

Na wstępie podkreślić należy, że zgoda może obejmować różne cele przetwarzania danych osobowy.

Przy przetwarzaniu danych osobowych należy zapewnić osobie, której dane osobowe będą wykorzystywane, maksimum ochrony prawnej, zwłaszcza gdy dane te będą wykorzystywane w celach marketingowych. Należy takiej osobie umożliwić wyrażenie zgody nie tylko w układzie tak bądź nie, lecz “zgody rozbudowanej”, odnoszącej się do poszczególnych sfer wykorzystania oznaczonych danych. Takiego wyboru nie zapewnia jednak ujawniona w postępowaniu przed Generalnym Inspektorem Ochrony Danych Osobowych praktyka stosowana przez spółkę, albowiem udzielający zgody nie może udzielić jej tylko w części. Z tego względu zasadnym jest zapewnienie klientowi opcjonalności w zakresie wyrażania zgody na przetwarzanie danych osobowych przez spółkę współpracującą z innymi podmiotami.

Zawarcie kilku zgód w treści jednego oświadczenia skutkuje brakiem możliwości wyboru zgody, którą zamierza się wyrazić. Oznacza to, że osoba, której dane dotyczą nie ma pełnej swobody w dysponowaniu swoimi danymi osobowymi. Wyrażenie zgody na przetwarzanie danych w celach marketingowych, zgodnie z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych stanowi przesłankę legalności przetwarzania danych osobowych przez administratora, a zgoda ta jest niezależna od środków w jaki sposób jest kierowany ten marketing i powinna być wyodrębniona od sposobu realizacji marketingu bezpośredniego.

oraz

Wyrażenie jednej zgody odnośnie dwóch niezależnych podstaw prawnych i celów przetwarzania danych niewątpliwie może wprowadzać w błąd osobę, która taką zgodę wyraziła.

Jeżeli, jak w niniejszej sprawie, zgoda ma dotyczyć istotnie różniących się celów przetwarzania, wynikających z rożnych podstaw prawnych, to zgoda powinna być wyrażona odrębnie dla każdego z nich.

I zakończył to stwierdzeniem, że:

Sąd podziela stanowisko organu, że Spółka może realizować obowiązek wynikający z powyżej przytoczonego przepisu w różny sposób, jednakże z całą pewnością przetwarzanie w tym celu wszystkich danych osobowych zawartych w skanach lub kserokopiach dowodów osobisty nie stanowi realizacji obowiązku wynikającego z art. 36 ust. 1 ustawy o ochronie danych osobowych.

I po takim wprowadzeniu możemy przejść do kwietniowego wyroku NSA, w którym Sąd ten oddalił skargę kasacyjną spółki.

 

 

Ten Sąd wskazał, że:

Spółka pozyskuje od potencjalnych klientów (tj. osób składających wniosek o udzielenie pożyczki) oraz klientów zgodę następującej treści: “Wyrażam zgodę na przetwarzanie moich danych osobowych przez V. Sp. z o.o. w celu marketingu bezpośredniego dotyczącego produktów i usług podmiotów należących do grupy kapitałowej “[…]”, wykonywanego przy użyciu telekomunikacyjnych urządzeń końcowych oraz automatycznych systemów wywołujących zgodnie z art. 172 Prawa Telekomunikacyjnego (Dz. U. z 2014 r. poz. 234 ze zm.) i w tym celu udostępniam podane przeze mnie w niniejszym wniosku dane w zakresie: adres e-mail oraz numer telefonu.”.

oraz doszedł do istotnych wniosków:

Nietrafne jest twierdzenie skarżącej, że nie ma znaczenia fakt jakich podmiotów dotyczy zgoda. W okolicznościach niniejszej sprawy jest to okoliczność równie istotna jak cele pozyskiwania danych osobowych. Klient powinien wiedzieć jakich podmiotów dotyczy zgoda i mieć możliwość wyboru w tym zakresie. Na gruncie niniejszej sprawy, konstrukcja kwestionowanej klauzuli, wprowadzająca zbędny wymóg zgody na marketing produktów i usług Spółki, może na przykład stwarzać wątpliwości po stronie klientów, co do pożądanego przez nich marketingu produktów i usług Spółki – w sytuacji niezgadzania się na marketing produktów i usług innych podmiotów należących do grupy “[…]”. Nie sposób też przyjąć, że jak to twierdzi skarżąca, klienci są świadomi przedmiotu prowadzenia działalności przez podmioty należące do grupy “[…]”, a w konsekwencji jakoby wiedzieli jakie będą otrzymywać informacje dotyczące produktów i usług tych podmiotów.

Konkludując, na gruncie przepisów o ochronie danych osobowych istnieje wymóg zapewnienia, aby decyzja w sprawie wyrażenia zgody na przetwarzanie danych osobowych w określonym celu była podjęta swobodnie i miała charakter samodzielny, musi ona być przejawem wolnej i nieskrępowanej woli danej osoby, to znaczy nie może być wymuszona przez konieczność złożenia innych oświadczeń woli.

Z przytoczonej klauzuli wynika, że proponowana zgoda nie daje możliwości wyboru pomiędzy marketingiem produktów i usług Spółki jako administratora danych oraz produktów i usług innych nieokreślonych jednostkowo podmiotów.

Wbrew stanowisku skarżącej istotne jest też to, że jedna zgoda dotyczy dwóch niezależnych podstaw prawnych zawartych w różnych ustawach. W rezultacie należy uznać, że zgoda dotyczy różnych celów przetwarzania danych osobowych, tj. marketingu produktów i usług Spółki, marketingu produktów i usług innych podmiotów oraz możliwości wykorzystania do marketingu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących.

Należy tu dodać, że co prawda Spółka jest zwolniona z uzyskania zgody na marketing własnych produktów i usług, to jednak z przytoczonej klauzuli wprost wynika, że zgoda ma obejmować również marketing produktów i usług Spółki. Ponadto należy zauważyć, że aby Spółka mogła prowadzić marketing bezpośredni swoich produktów i usług wykorzystując do przetwarzania danych osobowych telekomunikacyjne urządzenia końcowe i automatyczne systemy wywołujące, obowiązana jest stosownie do art. 172 ust. 1 Prawa telekomunikacyjnego, uzyskać na to zgodę klientów i potencjalnych klientów. Należy zatem przyjąć, że jeżeli, jak w niniejszej sprawie, zgoda ma dotyczyć różnych kwestii związanych z przetwarzaniem danych osobowych, to zgoda powinna być wyrażona odrębnie dla każdej z nich.

Za niezrozumiałe uznać należy wywody zawarte w uzasadnieniu skargi kasacyjnej dotyczące art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 1 ustawy o ochronie danych osobowych w zakresie marketingu bezpośredniego produktów i usług Spółki, ponieważ zarówno organ jak i Sąd nie kwestionowały możliwości prowadzenia takiego marketingu bez zgody klientów.

Natomiast, organ wskazywał na to, że zgoda, o której mowa w art. 172 ust. 1 Prawa telekomunikacyjnego nie może być dorozumiana ze zgody wynikającej z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych i odwrotnie.

Z tego względu, nie budzi wątpliwości Naczelnego Sądu Administracyjnego, iż przepis art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych nie stanowi podstawy prawnej do prowadzenia przez Spółkę marketingu na rzecz innych, tj. podmiotów należących do grupy kapitałowej “[…]” bez wyraźnej zgody klientów.

Powyższe wnioski mają nie tylko istotne znaczenie dla spełnienia obecnych regulacji związanych z uzyskiwaniem zgody na szeroko rozumiane działania marketingowe, ale także przyszłych wymagań projektowanego obecnie Prawa komunikacji elektronicznej. To właśnie regulacje zawarte w projektowanych przepisach będą wymagać od