A skoro gruchnęło, że portal Wirtualna Polska będzie czerdżować użytkowników za niewykorzystywanie danych osobowych w celach marketingowych (m.in. przez „Zaufanych Partnerów IAB (953 partnerów) oraz pozostałych Zaufanych Partnerów (846 partnerów)”), dziś czas na poszukiwanie odpowiedzi na pytanie: czy wysłane przez PUODO wystąpienie sygnalizacyjne w/s zapewnienia skutecznej ochrony danych osobowych potwierdza, że adresat dopuścił się naruszenia RODO? Czy jednak środkiem w ramach uprawnień naprawczych jest ostrzeżenie, upomnienie, decyzja nakazowa lub kara — a nie „miękkie” wystąpienie? (wyrok Naczelnego Sądu Administracyjnego z 12 listopada 2025 r., III OSK 2594/22).
opis stanu faktycznego:
- sprawa zaczęła się od kampanii promocyjnej „Wakacje z PZU. Bezpieczne dziecko” pozwalającej uzyskać — po wypełnieniu krótkiego internetowego formularza i po wyrażeniu zgód na przetwarzanie danych w celach marketingowych — bezpłatną polisę NNW;
- zdaniem Fundacji Panoptykon przyjęty model polegał na niedopuszczalnym uzależnieniu wykonania umowy od zgody na przetwarzanie danych osobowych, a więc naruszał wymóg dobrowolności wyrażenia zgody;
- badając wniesioną skargę Prezes Urzędu Ochrony Danych Osobowych uznał, że ubezpieczyciel nie zmuszał do zawarcia umowy ubezpieczeniowej, wycofanie zgód nie pozbawiało dziecka ochrony — a w dodatku taką samą polisę można było po prostu kupić — zatem nie da się powiedzieć, by zgoda nie była dobrowolna;
art. 52 ust. 1 ustawy o ochronie danych osobowych
Prezes Urzędu [Ochrony Danych Osobowych] może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych.
art. 7 ust. 4 RODO
Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.
- jednakże WSA dostrzegł, iż treść oświadczeń zmieniła się dopiero pod wpływem otrzymanego wystąpienia sygnalizacyjnego, w dodatku na formularzu przystąpienia do ubezpieczenia było stwierdzenie, że zgoda na marketing i profilowanie jest „wymagana”, czego organ nie zweryfikował w sposób wyczerpujący, zatem decyzja została uchylona (por. „Czy zgoda na przetwarzanie danych osobowych w celach marketingowych w zamian za darmową usługę narusza RODO?”);
skarga kasacyjna:
- w skardze kasacyjnej od tego wyroku PZU podkreśliło, że modyfikacja treści zgód nie oznacza, iżby wcześniej były jakieś nieprawidłowości;
- owszem, formularz poprawiono pod wpływem wskazówek regulatora, ale przecież wystąpienie sygnalizacyjne PUODO nie może być interpretowane jako potwierdzenie błędów w zasadach przetwarzania danych — zawsze liczy się finalna decyzja, która naruszeń nie stwierdzała;
wyrok NSA:
- rzeczywiście, PUODO skierował do PZU, jeszcze w czerwcu 2019 r., wystąpienie sygnalizacyjne w sprawie kampanii;
- zgodnie z ustawą adresat takiego wystąpienia ma obowiązek ustosunkować się do pisma, może też dobrowolnie dostosować się do wskazówek organu;
- owszem, pod wpływem pisma ubezpieczyciel zdecydował się na „jeszcze bardziej przejrzyste informowanie uczestników akcji o prawie do wycofania zgody” na przetwarzanie danych w celach marketingowych;
- jednak wystąpienie sygnalizacyjne PUODO nie jest jednym z uprawnień naprawczych, nie ma charakteru władczego i nie poprzedza ani nie zastępuje decyzji, w której organ stwierdziłby naruszenie — przeto nie może być interpretowane jako potwierdzenie uchybień;
- w konsekwencji zarzut nieprawidłowego postępowania dowodowego jest nietrafny: wszakże urząd właściwie odniósł się do istoty wystąpienia, ale też nie stwierdził naruszenia, co oznacza, że analiza stanu faktycznego była prawidłowa;
- biorąc pod uwagę taką wykładnię NSA uchylił zaskarżony wyrok i zwrócił sprawę do ponownego rozpoznania przez WSA.
Zamiast komentarza: niniejszy tekst dedykuję tym, którzy dostali takie pisemko i pomyśleli, że czas zwijać interes — to raczej znak, że czas je przeczytać ze zrozumieniem i ew. zastanowić się nad polepszeniem schematu dalszego działania.
(Analogicznie traktować należy „miękkie” wystąpienia UOKiK w/s zatorów płatniczych, ale tutaj dobrego przykładu z orzecznictwa jeszcze nie mam.)
PS jako przyczynek do rozważań nt. rozwiązaniem pay or okay polecam tekst „Jak wymusić zgodę na profilowanie w celach reklamowych. Trzy sposoby stosowane przez firmy” opublikowany w serwisie Fundacji Panoptykon.