II SA/Wa 150/10
2010-06-18
II SA/Wa 150/10 – Wyrok WSA
Orzeczenie nieprawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
dnia 14 maja 2010 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 14 maja 2010 r. sprawy ze skargi I. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2009 r. nr [...] w przedmiocie nakazania usunięcia uchybień w procesie przetwarzania danych osobowych
1. stwierdza nieważność zaskarżonej decyzji;
2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości;
3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącego I. z siedzibą w W. kwotę 457 (czterysta pięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania
Uzasadnienie:
W dniach 22 oraz 25-28 czerwca 2007 r. upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych inspektorzy, na podstawie art. 14 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), przeprowadzili w I. S.A. (obecnie Ix S.A.) z siedzibą w W. przy ul. [...], kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Ustalony w wyniku kontroli stan faktyczny został szczegółowo opisany w protokole kontroli z dnia 20 lipca 2007 r.
W dniu [...] kwietnia 2008 r Generalny Inspektor Ochrony Danych Osobowych wydał wobec Spółki, jako administratora danych, decyzję nakazującą usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
zaprzestanie pozyskiwania danych osobowych na "Formularzach wizyty serwisowej", przetwarzanych w celach marketingowych, bez zgody osób, których dane dotyczą, w terminie od dnia, w którym ww. decyzja stanie się ostateczna;
usunięcie danych osobowych pozyskanych na "Formularzach wizyty serwisowej", przetwarzanych w celach marketingowych, bez zgody osób, których dane dotyczą, w terminie miesiąca od dnia, w którym powyższa decyzja stanie się ostateczna;
zaprzestanie pozyskiwania danych osobowych kandydatów do pracy za pomocą testów psychometrycznych w terminie od dnia, w którym ww. decyzja stanie się ostateczna;
usunięcie danych osobowych kandydatów do pracy, pozyskanych za pomocą testów psychometrycznych, w terminie 14 dni od dnia, w którym powyższa decyzja stanie się ostateczna.
W pozostałym zakresie postępowanie zaś umorzono.
W wyniku złożonego przez Spółkę wniosku o ponowne rozpatrzenie sprawy Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] czerwca 2008 r., nr [...], podtrzymał swoje wcześniejsze stanowisko w sprawie, wyrażone w decyzji z dnia [...] kwietnia 2008 r.
Spółka złożyła na powyższą decyzję skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, który wyrokiem z dnia 18 grudnia 2008 r. sygn. akt II SA/Wa 1131/08 uchylił zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] kwietnia 2008 r. w zakresie jej punktu I od 1 do 4.
Odnośnie przetwarzania przez Spółkę danych osobowych pozyskiwanych za pomocą "Formularzy wizyty serwisowej" Sąd w uzasadnieniu wyroku zwrócił uwagę, iż Generalny Inspektor Ochrony Danych Osobowych w pierwszej kolejności winien wykazać, że Spółka jest administratorem danych osobowych, pozyskiwanych na "Formularzach wizyty serwisowej". Jeżeli Spółka, zajmując się usługami pośrednictwa finansowego, współtworzy Grupę I., konieczna jest ocena jej działań i sytuacji prawnej na gruncie ustawy o ochronie danych osobowych w celu jednoznacznego wykazania, jaki jest jej status w procesie przetwarzania ww. danych osobowych zważywszy, że w takim przypadku Spółka może działać nie tylko jako administrator danych, ale także jako podmiot, któremu powierzono, zgodnie z art. 31 ustawy o ochronie danych osobowych, przetwarzanie danych osobowych, uwzględniając relacje Spółki z innymi podmiotami Grupy I.
W odniesieniu do pozyskiwania przez Spółkę za pomocą testów psychometrycznych danych osobowych kandydatów do pracy Sąd wskazał natomiast, iż przyjęcie dla potrzeb rozstrzygnięcia tylko wyjaśnień Spółki dotyczących przetwarzania danych osobowych kandydatów do pracy za pomocą testów psychometrycznych, to za mało dla dokonania wiążącej oceny przez organ administracji publicznej powołany do ochrony danych osobowych, zwłaszcza że już sama nazwa "test psychometryczny" wskazuje, że za jego pośrednictwem mogą być zbierane nie tylko zwykłe dane osobowe o kandydatach do pracy, ale także mające charakter danych sensytywnych. Przy ponownym rozpoznaniu sprawy Spółka będzie zatem zobowiązana do przedstawienia Generalnemu Inspektorowi Ochrony Danych Osobowych testów psychometrycznych tych kandydatów do pracy, którzy takiemu testowi zostali poddani.
W toku ponownego rozpoznania sprawy organ, w celu uzupełnienia materiału dowodowego, pismem z dnia 15 kwietnia 2009 r. zwrócił się do Spółki o wyjaśnienie, jakie informacje stanowiące dane osobowe w rozumieniu art. 6 ust. 1 ustawy pozyskuje ona za pomocą testów psychometrycznych, którym są poddawani kandydaci do pracy w Spółce oraz czy powyższe informacje ujawniają stan zdrowia kandydatów do pracy, a także o przesłanie przykładowych formularzy testów psychometrycznych.
W odpowiedzi na powyższe wezwanie pismem z dnia 27 kwietnia 2009 r. Spółka wyjaśniła, iż na drukach "Arkusz odpowiedzi" znajdują się następujące dane osobowe: imię, nazwisko, płeć, wiek oraz wykształcenie kandydata do pracy oraz odpowiedzi udzielone przez kandydatów. Z wyników przeprowadzonego testu Spółka uzyskuje informacje o tym, jak wynik danej osoby odnosi się do wyników wybranej grupy porównawczej w zakresie umiejętności analizy informacji słownych i danych liczbowych. Spółka na podstawie informacji uzyskiwanych z przeprowadzonych testów psychometrycznych nie jest natomiast w stanie ocenić stanu zdrowia kandydatów do pracy.
Decyzją z dnia [...] sierpnia 2009 r., wydaną na podstawie art. 104 § 1 i art. 105 § 1 k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 1 i pkt 6, art. 22 w związku z art. 23 ust. 1 pkt 1, art. 26 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), Generalny Inspektor Ochrony Danych Osobowych:
I. Nakazał Ix S.A. z siedzibą w W. przy ul. [...] usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
1. zaprzestanie pozyskiwania danych osobowych na "Formularzach wizyty serwisowej", przetwarzanych w celach marketingowych, bez zgody osób, których dane dotyczą, w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna;
2. usuniecie danych osobowych pozyskanych na "Formularzach wizyty serwisowej", przetwarzanych w celach marketingowych, bez zgody osób, których dane dotyczą, w terminie od dnia, w którym niniejsza decyzja stanie się ostateczna;
II. Umorzył postępowanie w zakresie przetwarzania przez Ix. S.A. danych osobowych kandydatów do pracy pozyskiwanych za pomocą testów psychometrycznych.
W uzasadnieniu decyzji, powołując się na przepisy ustawy o ochronie danych osobowych organ wskazał, iż z materiału dowodowego zebranego w toku kontroli oraz prowadzonego w niniejszej sprawie postępowania administracyjnego wynika, że Spółka prowadzi zbiór danych osobowych o nazwie "Potencjalni klienci firm Grupy I.", do którego dane osobowe są zbierane m.in. za pomocą "Formularzy wizyty serwisowej". W przypadku pozyskiwania danych osobowych za pomocą "Formularzy wizyty serwisowej" przedstawiciele ubezpieczeniowo-finansowi, w imieniu i na rzecz Spółki, pytają klientów podmiotów Grupy I., na rzecz których Spółka świadczy usługi finansowe, czy znają osoby zainteresowane ofertą podmiotów Grupy I. Jeżeli klient zgodzi się podać dane takiej osoby, dane te są wpisywane przez przedstawiciela do ww. formularza. Podane dane osobowe są przechowywane przez Spółkę. Przedstawiciel kontaktuje się z osobą, której dane klient podał, w celu zaoferowania produktów innych podmiotów Grupy I. Osoby, których dane podali klienci, nie wyrażają zgody na przetwarzanie tych danych.
Wskazując na treść przepisów art. 23 ust. 1 pkt 5 oraz art. 23 ust. 4 pkt 1 ustawy o ochronie danych osobowych organ podkreślił, że dane osobowe pozyskiwane na "Formularzach wizyty serwisowej" są wykorzystywane przez Spółkę w celach związanych z oferowaniem dystrybuowanych przez nią produktów innych podmiotów Grupy I. oraz w celu doprowadzenia do zawarcia przez osobę, której te dane dotyczą, z jednym z podmiotów Grupy I. (którego produkty Spółka oferuje) stosownej umowy. Oferta, jaka jest kierowana do ww. osób przez Spółkę, dotyczy zatem zakupu produktów oferowanych przez firmy Grupy I., na rzecz których Spółka prowadzi usługi pośrednictwa finansowego. Spółka nie przetwarza natomiast ww. danych w celu prowadzenia marketingu własnych produktów. Również osoby te nie korzystają z usług pośrednictwa finansowego Spółki, bowiem klientami Spółki są podmioty Grupy I., a zatem Spółka nie przetwarza danych tych osób w celu marketingu własnych usług, lecz produktów pozostałych podmiotów Grupy I. Biorąc powyższe pod uwagę uznać zatem należy, iż Spółka, jako administrator danych przetwarzanych w zbiorze o nazwie "Potencjalni klienci firm Grupy I.", przetwarza dane osobowe pozyskiwane za pomocą "Formularzy wizyty serwisowej" bez podstawy prawnej, w związku z czym Generalny Inspektor Ochrony Danych Osobowych nakazał zaprzestanie pozyskiwania ww. danych osobowych oraz ich usunięcie.
Organ podkreślił jednocześnie, że warunkiem dopuszczalności przetwarzania danych na gruncie przepisu art. 23 ust. 1 pkt 5 ustawy jest to, aby przetwarzanie nie naruszało żadnego z praw czy wolności osoby, której dane dotyczą. Przetwarzanie danych powinno być zatem również korzystne dla osoby, której dane dotyczą i nie naruszać jej praw do decydowania o tym, czy chce aby jej dane były wykorzystywane przez dany podmiot i w jakim celu będą one przetwarzane. Trudno natomiast doszukiwać się korzyści z otrzymywanych ofert marketingowych w przypadku osób, które nie są zainteresowane ich otrzymywaniem. Zatem, z uwagi na to, iż osoby te nie wyraziły zgody na przetwarzanie przez Spółkę swoich danych osobowych, a podstawa przetwarzania danych osobowych określona w art. 23 ust. 1 pkt 5 ustawy nie ma w tym przypadku zastosowania, uznać należy, że Spółka nie legitymuje się przesłanką przetwarzania danych tych osób, a tym samym została naruszona zasada określona w art. 23 ust. 1 ustawy o ochronie danych osobowych.
Organ wskazał jednocześnie, iż z analizy testów psychometrycznych przesłanych przez Spółkę pismem z dnia 27 kwietnia 2009 r. wynika, że zakres danych osobowych dotyczących kandydatów do pracy, zbieranych za pomocą tych testów nie wykracza poza zakres wskazany w art. 221 Kodeksu Pracy, a zatem nie zostały naruszone przepisy o ochronie danych osobowych. Stosowanie zatem do art. 105 § 1 k.p.a., postępowanie w tym zakresie należało umorzyć, jako bezprzedmiotowe.
Ix S.A. z siedzibą w W. wystąpiła do organu z wnioskiem o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2009 r. i uchylenie tej decyzji w zakresie pkt I ppkt 1 i ppkt 2 oraz umorzenie postępowania.
We wniosku o ponowne rozpatrzenie sprawy Spółka zarzuciła naruszenie:
art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), poprzez zastosowanie i przyjęcie, iż Spółka działając jako agent podmiotów, których produkty oferuje do sprzedaży nie decyduje o celu i środkach przetwarzania danych osobowych,
art. 23 ust. 1 pkt 5 ww. ustawy poprzez przyjęcie, że przetwarzanie danych niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych oznacza jedynie marketing bezpośredni własnych usług,
art. 23 ust. 4 pkt 1 ww. ustawy poprzez błędną interpretację pojęcia marketingu bezpośredniego usług, a w konsekwencji niezastosowanie powyższego przepisu w istniejącym stanie faktycznym,
4) art. 153 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z póź. zm.) poprzez nieuwzględnienie przez organ wskazań co do dalszego postępowania wyrażonych w orzeczeniu Wojewódzkiego Sądu Administracyjnego z dnia 18 grudnia 2008 r. (sygn. akt II SA/Wa 1131/08),
5) art. 7 k.p.a. poprzez ustalenie stanu faktycznego, polegającego na
przyjęciu, iż Spółka nie jest administratorem danych osób pozyskanych na "Formularzu wizyty serwisowej", podczas gdy Spółka przetwarzając te dane osobowe decyduje o celach i środkach ich przetwarzania oraz ustalenie, że Spółka nie prowadzi marketingu bezpośredniego własnych usług,
6) art. 8 k.p.a. poprzez rozstrzygnięcie indywidualnej sprawy w sposób odmienny od powszechnie prezentowanego przez GIODO stanowiska.
Generalny Inspektor Ochrony Danych Osobowych po ponownym rozpatrzeniu sprawy decyzją nr [...] z dnia [...] października 2009 r., wydaną na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i pkt 6, art. 22 w związku z art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), utrzymał w mocy zaskarżoną decyzję z dnia [...] sierpnia 2009 r.
W uzasadnieniu decyzji organ podkreślił, iż podziela stanowisko Spółki, że jest ona administratorem danych osobowych pozyskiwanych za pomocą "Formularzy wizyty serwisowej" do zbioru danych osobowych o nazwie "Potencjalni klienci Grupy I.", czemu dał już wyraz w uzasadnieniu swojej decyzji z dnia [...] sierpnia 2009 r. Spółka nie legitymuje się jednak przesłanką legalności przetwarzania powyższych danych, w związku z czym Generalny Inspektor Ochrony Danych Osobowych nakazał Spółce, jako administratorowi danych, zaprzestanie pozyskiwania tych danych oraz nakazał ich usunięcie. Spółka przetwarza bowiem dane w celu prowadzenia marketingu cudzych produktów lub usług, a więc art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 1 ustawy nie ma w tym przypadku zastosowania. Ponadto, warunkiem dopuszczalności przetwarzania danych na gruncie przepisu art. 23 ust. 1 pkt 5 ustawy jest to, aby przetwarzanie nie naruszało żadnego z praw czy wolności osoby, której dane dotyczą. Przetwarzanie danych powinno być zatem również korzystne dla osoby, której dane dotyczą i nie naruszać jej praw do decydowania o tym, czy chce aby jej dane były wykorzystywane przez dany podmiot i w jakim celu będą one przetwarzane.
Generalny Inspektor Ochrony Danych Osobowych powołał się na prezentowane przez siebie już wcześniej stanowisko, że w przypadku przetwarzania przez podmiot zajmujący się działalnością pośrednictwa np. ubezpieczeniowego czy też finansowego na rzecz innych podmiotów, danych osobowych potencjalnych klientów w celu oferowania im produktów lub usług tychże podmiotów, przesłanką legalności upoważniającą podmiot zajmujący się pośrednictwem do przetwarzania powyższych danych jest zgoda osoby, której te dane dotyczą. Podkreślił, że stanowisko to podzielił Wojewódzki Sąd Administracyjny w wyroku z dnia 3 czerwca 2004 r. (sygn. akt II SA/Wa 329/04), gdzie stwierdził, iż trafne jest twierdzenie Generalnego Inspektora Ochrony Danych Osobowych, że agent ubezpieczeniowy, jako administrator danych potencjalnych klientów jest uprawniony do przetwarzania tych danych na podstawie wyrażonej przez nich zgody.
Zatem, z uwagi na to, iż osoby te nie wyraziły zgody na przetwarzanie przez Spółkę swoich danych osobowych, a podstawa przetwarzania danych osobowych określona w art. 23 ust. 1 pkt 5 ustawy nie ma w tym przypadku zastosowania, uznać należy, że Spółka nie legitymuje się przesłanką przetwarzania danych tych osób, a tym samym została naruszona zasada określona w art. 23 ust. 1 ustawy o ochronie danych osobowych.
W skardze na powyższą decyzję skierowanej do Wojewódzkiego Sądu Administracyjnego w Warszawie I. S.A. zarzuciła organowi:
1. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, a w szczególności:
a) art. 23 ust. l pkt 5 ustawy o ochronie danych osobowych, poprzez
błędną interpretację i przyjęcie, że przetwarzanie danych niezbędne dla
wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych oznacza jedynie marketing bezpośredni własnych usług;
b) art. 23 ust. 4 pkt 1 ustawy o ochronie danych osobowych poprzez błędną wykładnię pojęcia marketingu bezpośredniego usług administratora danych, a w konsekwencji niezastosowanie powyższych przepisów w istniejącym stanie faktycznym;
2. naruszenie prawa procesowego, które miało istotny wpływ na wynik sprawy, a w szczególności:
art. 7 k.p.a. poprzez ustalenie stanu faktycznego polegającego na błędnym przyjęciu, iż skarżąca w stosunku do osób potencjalnie zainteresowanych produktami podmiotów Grupy I., dostępnymi za pośrednictwem skarżącej, prowadzi wyłącznie marketing produktów innych podmiotów;
art. 107 k.p.a. poprzez wydanie decyzji, której prawidłowość nie poddaje się kontroli instancyjnej.
Z uwagi na powyższe, skarżąca wniosła o uchylenie w całości zaskarżonej decyzji z dnia [...] października 2009 r., a także poprzedzającej ją decyzji z dnia [...] sierpnia 2009 r. w zakresie jej pkt I oraz zasądzenie kosztów postępowania według norm przepisanych.
W uzasadnieniu skargi Spółka zarzuciła, że organ w swoich decyzjach nie wyjaśnił, dlaczego uważa, że zwracanie się przez nią do potencjalnych klientów z ofertą obejmującą produkty spółek z Grupy I. przesądza jednoznacznie o tym, że przetwarza ona dane potencjalnych klientów wyłącznie w celu marketingu produktów innych podmiotów i nie mieści się w zakresie przetwarzania w prawnie usprawiedliwionym celu skarżącej.
W ocenie skarżącej, tak wąskie pojmowanie usług pośrednictwa finansowego, jak czyni to organ, jest zbytnim uproszczeniem relacji klient-pośrednik-usługodawca. Usługa pośrednictwa polega bowiem na tym, że w ramach swojej działalności podmiot taki sprzedaje produkty i usługi innych podmiotów. Nie oznacza to jednak, że osoby, którym proponuje te produkty i usługi, nie korzystają jednocześnie z usług pośrednictwa finansowego. Nawet jednak gdyby uznać, że skarżąca jako pośrednik świadczy usługi pośrednictwa wyłącznie na rzecz podmiotów, z którymi ma zawarte umowy o pośrednictwo, to nie sposób nie uznać, że prezentowanie przez nią na zewnątrz, wobec osób trzecich (potencjalnych klientów) informacji o rodzaju i zakresie oferty dostępnej za pośrednictwem skarżącej jest działaniem we własnym imieniu i na własny rachunek. Powyższe mieści się w zakresie własnej działalności gospodarczej podmiotu, który z tytułu świadczonych usług pośrednictwa otrzymuje wynagrodzenie w postaci prowizji.
Skarżąca podniosła, że dokonana przez organ wykładnia art. 23 ust. 1 pkt 5 ustawy nie uwzględnia stanu faktycznego niniejszej sprawy. GIODO ograniczył dyspozycję tego przepisu wyłącznie do przetwarzania danych osobowych w celach marketingu własnych produktów i usług. Tymczasem literalna nawet wykładnia powołanego przepisu prowadzi do wniosku, że jego dyspozycja obejmuje każdy prawnie usprawiedliwiony cel realizowany przez administratora danych, o ile przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Przepis art. 23 ust. 4 jedynie przykładowo zaś wskazuje, co należy uznawać za prawnie usprawiedliwiony cel. W ocenie skarżącej, w pojęciu dozwolonego przetwarzania w celu marketingu bezpośredniego własnych produktów lub usług administratora danych zawiera się bezpośredni marketing działalności prowadzonej przez administratora danych, choćby marketing tej działalności opierał się na prezentowaniu produktów innych podmiotów. Inna interpretacja prowadziłaby natomiast niechybnie do konkluzji, że podmiot, którego działalność polega na pośrednictwie nie może w ogóle we własnym imieniu przetwarzać danych osobowych w celu realizacji usługi pośrednictwa. Tymczasem wykonywanie działalności pośrednictwa, poprzez kontaktowanie się z potencjalnymi klientami, jest istotą umowy pośrednictwa i jako takie, stanowi realizację celu prawnie usprawiedliwionego, jako zgodnego z istotą pośrednictwa.
Skarżąca podkreśliła, że przesłankę istnienia prawnie usprawiedliwionych celów oraz nienaruszania praw i wolności osób interpretować należy w zgodzie z Dyrektywą 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
Zarówno zaś Dyrektywa 95/46/WE, jak i polska ustawa o ochronie danych osobowych interpretowana w zgodzie z Dyrektywą, wskazują na konieczność ważenia interesów obu stron, ze wskazaniem, że, co do zasady, przetwarzanie danych jest dopuszczalne, chyba że po dokonaniu porównania interesów obu stron okaże się, że podstawowe prawa i wolności jednostki mają większą wagę niż konkretny interes administratora.
Zdaniem skarżącej, w niniejszej sprawie nie dochodzi do naruszenia praw i wolności osób, których dane dotyczą, w szczególności konstytucyjnego prawa do prywatności. Samo stwierdzenie braku zgody na przetwarzanie danych nie jest bowiem równoznaczne ze stwierdzeniem, iż doszło do naruszenia praw i wolności osoby, której dane są przetwarzane. Dopóki dane osobowe są używane zgodnie z prawem i regułami społecznymi, nie można mówić o bezprawności działań, czy też o naruszeniu praw i wolności osób. Ponadto skarżąca podniosła, że GIODO błędnie powołuje się na dodatkową przesłankę dopuszczalności przetwarzania danych osobowych, którą jest korzyść osoby, której dane są przetwarzane - w tym przypadku korzyść w otrzymywaniu ofert od skarżącego. Ustawa o ochronie danych osobowych nie przewiduje natomiast takiej przesłanki.
Uzasadniając zarzut naruszenia przepisów prawa procesowego skarżąca podniosła, iż poczynione przez organ ustalenia są sprzeczne ze stanem faktycznym, istniejącym w niniejszej sprawie. Przede wszystkim odnosi się to do ustalenia charakteru świadczonych przez skarżącą usług pośrednictwa finansowego. Ponadto, organ nie wyjaśnił, na czym opiera swój zarzut naruszenia praw i wolności osób, których dane dotyczą.
Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie podtrzymując w całości argumentację przedstawioną w uzasadnieniu zaskarżonej decyzji. Organ ponownie podkreślił, że skarżąca przetwarza dane osobowe pozyskiwane na "Formularzu wizyty serwisowej" w celu prowadzenia marketingu produktów podmiotów Grupy I. Nie sposób natomiast zgodzić się z argumentacją, że ww. dane są przetwarzane także w celu prowadzenia marketingu usług oferowanych przez Spółkę.
Skarżąca w piśmie procesowym z dnia 22 lutego 2010 r. podtrzymała zarzuty skargi, kwestionując poczynione przez organ ustalenia odnośnie stanu faktycznego oraz wskazując na istotę świadczonych przez nią usług pośrednictwa finansowego.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych, sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym w świetle § 2 powołanego wyżej artykułu kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Innymi słowy, wchodzi tutaj w grę kontrola aktów lub czynności z zakresu administracji publicznej dokonywana pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słusznościowych.
Ponadto sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną - art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - dalej p.p.s.a. (Dz. U. Nr 153, poz. 1270 ze zm.). Stosownie zaś do § 2 ww. przepisu, sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności. W takim przypadku sąd uwzględnia skargę, mimo że wydane orzeczenie pogorszy sytuację skarżącego.
Sąd kierując się tymi przesłankami i badając zaskarżoną decyzję w granicach określonych przepisami powołanych wyżej ustaw, doszedł do przekonania o konieczności uwzględnienia skargi, z przyczyn, które wziął pod uwagę z urzędu niezależnie od jej treści, poprzez stwierdzenie nieważności skarżonego aktu prawnego w związku z wydaniem go z rażącym naruszeniem prawa, o którym mowa w art. 156 § 1 pkt 2 k.p.a. Merytoryczne rozpatrzenie wniosku o ponowne rozpatrzenie sprawy, rozstrzygniętej uprzednio decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2009 r., nastąpiło bowiem pomimo jego wniesienia z uchybieniem 14-dniowego terminu określonego w art. 129 § 2 k.p.a.
Jak ustalono na podstawie analizy akt administracyjnych, decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2009 r., została doręczona pełnomocnikowi strony, za pośrednictwem urzędu pocztowego, w dniu 13 sierpnia 2009 r. (vide - zwrotne potwierdzenie odbioru załączone do decyzji). Wniosek o ponowne rozpatrzenie sprawy został natomiast nadany w urzędzie pocztowym w dniu 28 sierpnia 2009 r., na co wskazuje pieczątka z datownikiem na kopercie. Z prezentaty organu na ww. wniosku wynika zaś, że wniosek wpłynął do Biura Generalnego Inspektora Ochrony Danych Osobowych w dniu 31 sierpnia 2009 r.
Na podstawie tak ustalonego stanu faktycznego należało zatem stwierdzić, iż termin do wniesienia wniosku o ponowne rozpatrzenie sprawy upłynął bezskutecznie w dniu 27 sierpnia 2009 r., wobec tego wniesiony w dniu 28 sierpnia 2009 r. wniosek, nie powinien być merytorycznie rozpoznany.
Warunkiem skuteczności czynności procesowej - polegającej na wystąpieniu do organu z wnioskiem o ponowne rozpatrzenie sprawy - jest bowiem zachowanie ustawowego terminu przewidzianego do jej dokonania. Uchybienie tego terminu powoduje zaś bezskuteczność takiego wniosku.
Organ rozpatrujący ponownie sprawę obowiązany jest zatem, przed przystąpieniem do merytorycznego rozpoznania wniosku w postępowaniu wstępnym zbadać, czy został on wniesiony w przewidzianym w ustawie terminie. W sytuacji zaś stwierdzenia, iż został on wniesiony po terminie obowiązany jest, stosownie do treści art. 134 k.p.a., stwierdzić tą okoliczność w ostatecznym postanowieniu.
Przepis art. 134 k.p.a. nie daje organom administracyjnym swobody co do rozstrzygnięć w tym przedmiocie. Zgodnie z treścią powyższego przepisu, organ odwoławczy stwierdza w drodze postanowienia niedopuszczalność odwołania oraz uchybienie terminu do wniesienia odwołania. Postanowienie w tej sprawie jest ostateczne.
Kategoryczne określenie "organ odwoławczy stwierdza" oznacza obowiązek organu odwoławczego stwierdzenia uchybienia terminu do wniesienia odwołania. Inaczej mówiąc, każde uchybienie terminu do wniesienia odwołania powoduje, że organ odwoławczy ma obowiązek stwierdzić to uchybienie chyba, że strona domaga się przywrócenia uchybionego terminu stosownie do art. 58 i nast. k.p.a., a wniosek ten zostanie uwzględniony.
Uchybienie zaś temu obowiązkowi i merytoryczne rozpoznanie wniosku o ponowne rozpatrzenie sprawy wniesionego po terminie stanowi rażące naruszenie prawa (vide: wyrok NSA z dnia 30 grudnia 1998 r., sygn. akt IV SA 2294/96, LEX nr 45698).
Reasumując, skarżąca nie dochowała w sprawie terminu przewidzianego na złożenie wniosku o ponowne rozpatrzenie sprawy. Zatem, stosownie do art. 134 k.p.a., organ rozpatrujący wniosek obowiązany był wydać postanowienie stwierdzające uchybienie terminu do wniesienia wniosku. Rozpatrzenie zaś środka zaskarżenia wniesionego z uchybieniem terminu, który nie został przywrócony - co miało miejsce w niniejszej sprawie - stanowi rażące naruszenie prawa (art. 156 § 1 pkt 2 k.p.a.). Oznacza bowiem weryfikację w postępowaniu decyzji, od której nie przysługują zwykłe środki zaskarżenia (odwołanie lub wniosek o ponowne rozpatrzenie sprawy), a więc decyzji, która korzysta z ochrony trwałości (art. 16 k.p.a.).
Wskazana przyczyna nieważności zaskarżonej decyzji jest okolicznością przesądzającą treść niniejszego rozstrzygnięcia. Zaskarżona decyzja - jak wykazano - nie powinna być wydana, wszelkie więc zarzuty skargi jej dotyczące uchylają się spod kontroli Sądu.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny, na podstawie art. 145 § 1 pkt 2 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w sentencji wyroku.
Stwierdzając, że zaskarżona decyzja nie podlega wykonaniu, Sąd działał na podstawie art. 152 p.p.s.a.
O kosztach postępowania Sąd orzekł na podstawie art. 200 w zw. z art. 205 § 2 p.p.s.a.
