Czy administrator może zbierać odrębne zgody na przetwarzanie danych osobowych w określonym celu (np. marketingowym), ale w odniesieniu do różnych obszarów swej działalności? Czy w takim przypadku cofnięcie zgody jest skuteczne w odniesieniu do wszystkich obszarów, czy jednak należy osobno odwołać każdą ze zgód? (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 21 kwietnia 2021 r., II SA/Wa 2219/20).
Sprawa dotyczyła złożonej skargi na przetwarzanie przez bank danych osobowych w celach marketingowych — permanentnego wysyłania mailingów i esemesów reklamowych, mimo wielokrotnego składania sprzeciwu i wielokrotnych zapewnień ze strony banku, że taka sytuacja się już nie powtórzy.
W toku przeprowadzonego przez PUODO postępowania okazało się, że skarżący jest klientem banku, podpisując umowę zgodził się na przetwarzanie swych danych osobowych i na otrzymywanie informacji handlowych. Okazało się także, że bank prowadzi działalność pod dwiema markami: pod własną nazwą (nazwijmy ją „A”) i pod nazwą oddziału („B”), każda z nich oparta jest na odrębnym loginie użytkownika i prowadzi własne kartoteki danych, zaś mężczyzna jest klientem obu marek — i tak się złożyło, że cofnął zgodę na otrzymywanie mejlingów i esemesingów od „A”, natomiast działania prowadzone były przez oddział „B”, który taką zgodę nadal dysponował.
Bank całkowicie zaprzestał wykorzystywania danych klienta w celach marketingowych dopiero po otrzymaniu skargi, ponieważ uznał, że dopiero w tym momencie zgoda została definitywnie odwołana.
art. 7 rozporządzenia o ochronie danych osobowych
1. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
2. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca.
3. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
4. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.
W ocenie PUODO administrator miał prawo przyjąć odrębne mechanizmy pozyskiwania i cofania zgód w przypadku odrębnych marek, skoro więc klient nie odwołał zgody na marketing od „B”, a wszystkie reklamacje składał w kontekście usług świadczonych przez „A”, to nie można uznać, iżby niewłaściwe korzystanie przez klienta z ustalonych procedur wiązało się z odpowiedzialnością administratora. Bank opierał się na skutecznie udzielonej zgodzie, przez a więc miał prawo wysyłać do skarżącego komunikaty marketingowe. Tak czy inaczej nałożenie kary pieniężnej jest suwerenną decyzją organu, który nie jest w żaden sposób związany skargą osoby zainteresowanej, a ewentualne odszkodowanie trzeba się pofatygować do sądu, ponieważ PUODO żadnych odszkodowań nie przyznaje.
Rozpatrując skargę na tę decyzję Wojewódzki Sąd Administracyjny przypomniał, iż jedną z przesłanek przetwarzania danych osobowych jest zgoda zainteresowanej osoby (art. 6 ust. 1 lit. a) RODO). Zgoda na przetwarzanie danych osobowych musi być dobrowolna i jednoznaczna, niedopuszczalne jest uzależnianie wykonania umowy od wyrażenia zgody niepowiązanej z usługą, administrator musi umieć wykazać jej wyrażenie, a także uwzględnić wycofanie udzielonej zgody. Obowiązkiem administratora jest także stosowanie procedur ułatwiających wykonywanie praw wynikających z RODO (art. 12 ust. 2 RODO). Administrator ma prawo zastosować mechanizm pozyskiwania zgody klienta na przetwarzanie danych osobowych dla celów marketingowych odrębnie dla każdej umowy — w każdej z nich wskazując inną ścieżkę komunikacji i składania oświadczeń woli odnoszących się do przetwarzania danych osobowych — zatem odrębne zgody na przetwarzanie danych osobowych wymagają od zainteresowanego wyraźnego cofnięcia każdej z udzielonych zgód.
Bank dysponował ważną zgodą klienta na przetwarzanie jego danych osobowych w ramach marki „B” , która to zgoda nie została odwołana — cofnięcie zgód odnoszących się do marki „A” nie przekłada się na inne kanały — toteż nie sposób uznać, by prowadzenie działań marketingowych naruszało RODO. Nie ma też wątpliwości, że po uzyskaniu wiedzy o wszczęciu postępowania bank całkowicie zaprzestał przetwarzania danych w celach marketingowych, prawidłowo traktując skargę jako cofnięcie zgody.
Oznacza to, że PUODO prawidłowo ocenił, iż po stronie banku nie doszło do nieprawidłowości, zatem decyzja o odmowie uwzględnienia skargi była właściwa — zatem wniesiona do WSA skarga została oddalona.