Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Maria Werpachowska, Sędziowie NSA del. Małgorzata Jaśkowska (spr.), a WSA. Andrzej Kołodziej, , Protokolant Grzegorz Walczak, po rozpoznaniu na rozprawie w dniu 4 marca 2004 r. sprawy ze skargi K.P. i W. A. wspólników spółki jawnej "P." w P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia[...]kwietnia 2003 r. [...] w przedmiocie przetwarzania danych osobowych
1. oddala skargę
2. zasądza zwrot z kasy Wojewódzkiego Sądu Administracyjnego w Warszawie na rzecz K.P. i W.A. wspólników spółki jawnej "P." kwotę 10 (dziesięć) zł łącznie tytułem nadpłaconego wpisu sądowego.
Stan faktyczny przedstawiał się następująco. Do Generalnego Inspektora Ochrony Danych Osobowych wpłynęła 9 października 2004 r. skarga P.N. o zbadanie legalności przetwarzania jego danych osobowych przez wspólników spółki P. s.c. Skarżący podniósł, że dane zostały tej spółce udostępnione przez P. S.A. z siedzibą w Warszawie.
Generalny Inspektor Ochrony Danych Osobowych ustalił w toku postępowania, że [...] lipca 1998 r. została zawarta między P. N. a P.S.A. umowa o świadczenie usług telekomunikacyjnych. Została ona rozwiązana [...] czerwca 1999 r. bez uregulowania wynikających z niej należności. W dniu[...]maja 2001 r. spółka P. S.A. zawarła umowę o przelew wierzytelności z W. A. i K.P. wspólnikami P. s.c. obejmując nią wierzytelność przysługującą wobec P.N.. Jako podstawę udostępnienia i pozyskania przedmiotowych danych wskazano art. 509 i n. kodeksu cywilnego.
Generalny Inspektor Ochrony Danych Osobowych zawiesił z urzędu dnia [...] czerwca 2002 r. postanowieniem nr [...]postępowanie w związku z koniecznością rozstrzygnięcia przez Prezesa Urzędu Ochrony Konkurencji i Konsumentów zagadnienia wstępnego w przedmiocie dopuszczalności zawarcia umowy przelewu wierzytelności bez zgody dłużnika będącego konsumentem. Zostało ono zaskarżone przez P. N. i utrzymane postanowieniem z [...]lipca 2002 r. [...].
Prezes Urzędu Ochrony Konkurencji i Konsumentów poinformował, że w jego opinii cesja długów abonenta pomiędzy przedsiębiorcą a firmą windykacyjną jest dopuszczalna jedynie za zgodą konsumenta, w przeciwnym razie zaś, na podstawie art. 3851 § 1 kc, spełnia przesłanki niedozwolonego postanowienia umownego.
Generalny Inspektor Ochrony Danych Osobowych podjął postępowanie postanowieniem z dnia [...] września 2002 r. i stwierdził, że P. N. nie wyrażał zgody na przekazanie przez P. S.A. uprawnień wynikających z zawartej umowy.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] stycznia 2003 r. nr [...] nakazał W.A. i K.P.. prowadzącym działalność gospodarczą pod firmą spółki jawnej "P." usunięcie danych osobowych P.N. pozyskanych bez jego zgody od P.S.A. w związku z zawarciem umowy przelewu wierzytelności.
W uzasadnieniu powołał się na brak zgody dłużnika i art. 3851 kc zmieniony z dniem 1 lipca 2000 r. z mocy ustawy z 2 marca 2000 r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkody wyrządzone przez produkt niebezpieczny (Dz. U. Nr 22, poz. 271).
Jednocześnie, decyzją z [...] stycznia 2003 r. [...]Generalny Inspektor Ochrony Danych Osobowych nakazał P. S.A. nieudostępnianie danych osobowych P.N. przetwarzanych w związku z przelewem wierzytelności bez spełnienia warunków z art. 3851 § 1 kc w związku z art. 3853 pkt 5 kc, tj. bez zgody osoby, której dane dotyczą.
We wniosku o ponowne rozpatrzenie sprawy skarżący zarzucił GIODO błędne ustalenie adresatów decyzji, naruszenie art. 23 ustawy o ochronie danych osobowych (zwanej dalej uodo), błędną interpretację art. 509 § 1 w zw. z art. 3851
i następnymi kc.
Generalny Inspektor decyzją z [...] kwietnia 2003 r. nr [...] utrzymał w mocy poprzednie orzeczenie. Podkreślił, że stroną postępowania mogli być tylko na gruncie art. 29 kpa wspólnicy spółki. Wskazał też, że zawarta umowa należy do grupy umów konsumenckich, stąd nie wystarczy samo przeniesienie wierzytelności. Podkreślił, że z akt sprawy wynika, że wskutek cesji uległa pogorszeniu sytuacja P.N..
W dniu 29 kwietnia 2003 r. K.P. i W.A. wystąpili do Naczelnego Sądu Administracyjnego ze skargą na tę decyzję, żądając stwierdzenia jej nieważności, jako utrzymującej w mocy decyzję skierowaną do osób niebędących stronami w sprawie, a w przypadku nieuwzględnienia tego zarzutu, jej uchylenia z powodu naruszenia art. 23 ust. 1 ustawy o ochronie danych osobowych i art. 3853 § 5 kc, a także zasądzenia kosztów postępowania, w tym kosztów zastępstwa procesowego.
Skarżący stwierdzili, że w decyzji wydanej na skutek wniosku o ponowne rozpatrzenie sprawy GIODO nie dokonał wszechstronnej analizy zarzutów, jakie zostały zgłoszone, a do niektórych w ogóle się nie odniósł. Dlatego, podtrzymują oni dotychczasowe zarzuty wobec decyzji i ich argumentację, a także wskazują na dodatkowe argumenty.
Najdalej idącym zarzutem jest błędne ustalenie adresatów decyzji, tj. wspólników spółki zamiast spółki. Wskazali, że decyzja oparta została na art. 18 uodo. Kieruje się ją więc wobec administratora danych. Jest nim, zgodnie z art. 7 pkt 4 ustawy, jednostka organizacyjna. Może nim być jednostka organizacyjna nieposiadająca osobowości prawnej, czyli przedsiębiorca.
Skarżący podkreślili też, że spółka jawna jest spółką prawa handlowego nieposiadającą osobowości prawnej, lecz status ułomnej osoby prawnej (art. 8 § 1 w zw. z 22 § 1 ksh). Spółka może więc nabywać prawa i zaciągać zobowiązania. W świetle art. 2 ust. 2 prawa o działalności gospodarczej przedsiębiorcą jest niemająca osobowości prawnej spółka prawa handlowego, która prowadzi działalność we własnym imieniu.
Zakres podmiotowy stosowania ustawy o ochronie danych osobowych jest więc szerszy niż art. 29 kpa. Inaczej istniałby paradoks, że prywatna jednostka organizacyjna może być administratorem danych, a nie można do niej wydać decyzji. Byłoby to niekonsekwentne. Tymczasem wzajemną relację art. 3 ust. 2 uodo i 29 kpa określa art. 22 uodo. Przepisy kpa stosuje się bowiem przez GIODO jedynie w zakresie nieuregulowanym w uodo.
Skarżący wskazał też, że GIODO błędnie uznał, że przelew wierzytelności między P. S.A. i P. s.c. był nieważny. Zgodnie z art. 509 § 1 kc, wierzyciel może bowiem bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Zgodnie z art. 513 § 1kc dłużnikowi przysługują wobec nabywcy wierzytelności wszelkie zarzuty, jakie miał przeciwko zbywcy w chwili powzięcia wiadomości o przelewie. W prawie istnieje więc zasada przelewu wierzytelności bez zgody dłużnika.
Oznacza to, że wyjątki winny być traktowane ściśle. Treść art. 3851 § 1 kc oznacza, że przepis ten dotyczy umowy zawieranej z konsumentem, chodzi o postanowienia takiej umowy, które nie zostały uzgodnione z konsumentem indywidualnie, kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami i jednocześnie rażąco naruszają jego interesy. Artykuł ten odnosi się więc do analizy umowy zawieranej z konsumentem, nie może być zaś brany pod uwagę przy analizie umowy zawieranej przez dwóch przedsiębiorców.
Fakt, że w umowie z P. N. nie znalazło się postanowienie upoważniające do zawarcia umowy przelewu między dwoma przedsiębiorcami, oznacza zdaniem skarżącego, że takie postanowienie nie istnieje, nie było objęte wolą stron, a więc nie można go brać jako podstawy analiz. Nie jest tu właściwe posługiwanie się argumentacją a maiori ad minus, gdyż nie było w ogóle określonego cięższego obowiązku.
GIODO pominął zaś, zdaniem skarżących, argumentację, że do oceny przelewu nie może mieć zastosowania art. 3853 § 5 kc, gdyż norma ta traktuje łącznie o dokonywaniu przelewu i przekazaniu obowiązków z umowy na rzecz osoby trzeciej. Tymczasem w danej sprawie nie zachodziła pozostała część hipotezy. Zdaniem skarżących art. 509 § 1 kc zezwala wierzycielowi na dokonanie przelewu bez zgody dłużnika. Nie jest tu konieczne wprowadzenie jakiejkolwiek klauzuli.
Z kolei, na podstawie art. 519 § 2 kc przejęcie długu może nastąpić przez umowę za zgodą dłużnika. Dlatego wprowadzono art. 3853 § 5 kc.
Skarżący wskazali też na szereg niekonsekwencji, gdyż w decyzjach kierowanych do P. stwierdzono, że umowa przelewu nie może rodzić skutków prawnych wobec P.N., a nie stwierdzono, że jest dotknięta wadą nieważności. Podkreślili, że organ nie wskazał, na czym miałoby polegać rażące naruszenie interesów P. N., gdyż art. 3853 statuuje tylko domniemanie abuzywności klauzul, jednak zastosowanie tego przepisu wymaga badania in konkreto. Sytuacja dłużnika wobec przelewu wcale się nie pogorszyła. Ma on możliwość zgłaszania tych samych zarzutów.
Zdaniem skarżących istotne jest też, że na podstawie art. 23 ust. 1 pkt 5 uodo możliwe jest przekazywanie danych osobowych przez administratora osobie trzeciej, gdy jest to uzasadnione dla realizacji usprawiedliwionego interesu tej osoby. Może to dotyczyć także egzekwowania nabytych wierzytelności. Prócz tego, na podstawie ustawy o ochronie niektórych praw konsumentów (art. 21) jej przepisy stosuje się do umów zawartych przed datą wejścia w życie, tj. 1 lipca 2000 r., lecz do tego momentu niewykonanych. Zdaniem skarżących umowa została już wykonana, gdyż została rozwiązana.
Podnieśli także, że opinia Prezesa Urzędu Ochrony Konkurencji i Konsumentów nie stanowiła zagadnienia wstępnego a ewentualną abuzywność postanowień umownych stwierdza Sąd Okręgowy - Sąd Ochrony Konkurencji i Konsumentów. Uważają więc, że mieli podstawę do przetwarzania danych osobowych , gdyż podstawą nie jest tylko zgoda osoby, której dane dotyczą.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie. Odnośnie zarzutów skierowania decyzji do osoby niebędącej stroną stwierdził, że podmioty, którym przysługuje status strony w postępowaniu administracyjnym wymienia art. 29 kpa. Zgodnie zaś z art. 28 kpa stroną jest ten, czyjego interesu prawnego lub obowiązku dotyczy postępowanie. Skoro spółka nie należy do żadnej z kategorii wymienionej w art. 29, przeto stronami uczyniono jej wspólników. GIODO powołał się przy tym na poglądy przedstawicieli nauki, którzy zdolność administracyjną przypisują tylko podmiotom wymienionym w art. 29 kpa. Wskazał, że nie kwestionuje, iż na gruncie ksh spółka jawna ma podmiotowość prawną.
Postępowanie przed GIODO podlega jednak regulacji kpa.
Podobnie fakt, iż spółka jawna jest przedsiębiorcą nie oznacza, że będzie jej przysługiwał przymiot strony w każdym postępowaniu administracyjnym dotyczącym jej praw i obowiązków. Będzie ona mogła występować jako strona jedynie w szczególnym postępowaniu dotyczącym udzielenia koncesji czy zezwolenia.
Odnośnie zarzutu błędnego zastosowania art. 385 i n. kc oraz błędnej wykładni art. 509 § 1 i 3851 i n. kc GIODO podtrzymał swoje dotychczasowe stanowisko. Wskazał, że w konkretnej sytuacji nie wchodziło w grę umowne wyłączenie przelewu. Uznał jednak sprzeczność umowy przelewu z przepisami art. 3853 pkt 5 i 3851 § 1 kc. P. N. zawarł bowiem umowę o świadczenie usług jako konsument. Nie wyrażał też zgody na przeniesienie wierzytelności.
Przelew wierzytelności wobec konsumentów podlega szczególnym zasadom. GIODO zbadał przy tym, czy umowa przelewu wierzytelności zawarta między P. i Spółką ukształtowała prawa i obowiązki P.N. w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy. Wskazał, że z dokumentacji wynika, iż osoba której dane dotyczą kwestionowała swoją należność i obecnie pozostaje w zawieszeniu między P. a P..
Na pogorszenie sytuacji dłużnika zwrócił też uwagę Prezes Urzędu Ochrony Konkurencji i Konsumentów. Pojęcie rażącego naruszenia, jak wskazuje E. Łętowska, (Prawo umów konsumenckich W-wa 2002 r. s. 341) nie może być sprowadzane do wymiaru ekonomicznego, lecz także niewygody organizacyjnej, mitręgi, straty czasu, nierzetelności traktowania itp.
Dlatego GIODO uznał, że umowa przelewu wierzytelności była nieważna, gdyż taki skutek wynika wprost z art. 58 § 1 kc (czynność prawna sprzeczna z ustawą).
Odnośnie zarzutu niestosowania przepisów art. 385 kc, GIODO podkreślił, że umowa nie została wykonana, gdyż wykonanie następuje przez pełne zaspokojenie wierzyciela.
Podniósł także, że w literaturze wskazuje się, że z art. 3853
pkt 5 kc wynika, że zgoda konsumenta jest wymagana także, a nawet zwłaszcza, przy przekazaniu obowiązków.
Podkreślił, że pozyskanie danych osobowych P. N. nie znajdowało oparcia w art. 23 ustawy o ochronie danych osobowych. Wspólnicy spółki nie wykazali celu prawnie usprawiedliwionego, a cesja była sprzeczna z prawem.
Wojewódzki Sąd Administracyjny zważył, że:
Po pierwsze - należy poinformować strony, że zgodnie z art. 97 § 1 ustawy z dnia 30 sierpnia 2002 r. przepisy wprowadzające ustawę - Prawo o ustroju sądów administracyjnych i ustawę - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1271 ze zm.) sprawy, w których skargi zostały wniesione do Naczelnego Sądu Administracyjnego przed dniem 1 stycznia 2004 r. i postępowanie nie zostało zakończone, podlegają rozpoznaniu przez właściwe wojewódzkie sądy administracyjne na podstawie przepisów ustawy - Prawo o postępowaniu przed sądami administracyjnymi.
Dlatego też, na podstawie art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270) właściwy do rozpatrzenia skargi był Wojewódzki Sąd Administracyjny w Warszawie, ponieważ na obszarze jego właściwości ma siedzibę Generalny Inspektor Ochrony Danych Osobowych.
Rozpatrując sprawę co do meritum sąd uznał skargę za niezasadną. Sąd nie podzielił, po pierwsze, zarzutu skierowania decyzji do osoby niebędącej stroną. Zgodnie bowiem z art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) w razie stwierdzenia naruszenia przepisów o ochronie danych Generalny Inspektor nakazuje administratorowi danych, w drodze decyzji, przywrócenie stanu zgodnego z prawem.
W świetle art. 7 pkt 4 tej ustawy przez administratora danych należy rozumieć organ, instytucję, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ust. 1 i 2 decydujące o celach i środkach przetwarzania danych. Oznacza to, że mogą to być również osoby fizyczne i prawne oraz jednostki organizacyjne niemające osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Jednostki te musiały być jednak ujmowane przez pryzmat art. 29 ustawy z dnia 14 czerwca 1960 r. kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), według którego stronami mogą być w postępowaniu administracyjnym osoby fizyczne i osoby prawne, a gdy chodzi o państwowe i samorządowe jednostki organizacyjne i organizacje społeczne - również jednostki nieposiadające osobowości prawnej. Postępowanie toczące się przed Generalnym Inspektorem Ochrony Danych Osobowych ma bowiem charakter postępowania administracyjnego, które prowadzi się według przepisów kpa, o ile przepisy ustawy nie stanowią inaczej. Oznacza to, że w sprawach procesowych zasadą powinno być stosowanie kodeksu. W literaturze przyjmuje się powszechnie, że wyjątki od zasad powinny być traktowane wąsko i muszą mieć charakter wyraźny. Tymczasem takiego charakteru nie mają przepisy art. 7 ust. 1 pkt 4 w związku z art. 3 ust. 1 i 2 uodo.
Sąd nie dopatrzył się sprzeczności między treścią art. 7 pkt 4 ustawy o ochronie danych osobowych a art. 29 kpa. W ramach art. 7 pkt 4 uodo nadal istniała bowiem kategoria takich administratorów, którzy nie posiadali osobowości prawnej.
Ograniczona ona była w tym czasie jednak do wymienionych w art. 29 kpa państwowych i samorządowych jednostek organizacyjnych oraz organizacji społecznych.
Stąd, w przypadku spółek prawa handlowego nieposiadających osobowości prawnej reprezentowane one były przez wspólników spółek.
Wojewódzki Sąd Administracyjny podzielił przy tym pogląd Generalnego Inspektora Ochrony Danych Osobowych, że fakt pełnienia przez spółkę roli przedsiębiorcy na tle art. 2 ust. 2 ustawy z 19 listopada 1999 r. prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178 ze zm.) nie oznaczał, iż przysługiwał jej przymiot strony w każdym postępowaniu administracyjnym. Podobnie nie miał znaczenia dla tego postępowania fakt, iż na gruncie kodeksu spółek handlowych, spółka jawna miała osobowość prawną.
Dotyczy to bowiem jedynie tej ustawy. Do sprawy nie odnosi się również uchwała składu Pięciu Sędziów NSA z 26 listopada 2001 r. OPK 19/01, ONSA 2002 nr 2, poz. 68. Dotyczyła ona bowiem innego stanu faktycznego i prawnego, w którym podmiotem praw i obowiązków mogła stać się wspólnota mieszkaniowa, gdyż przepisy prawa materialnego wyposażyły ją w zdolność prawną. Nie czynią tego natomiast, w odniesieniu do spółek jawnych, przepisy ustawy o ochronie danych.
Zmiana w tym zakresie nastąpiła dopiero z dniem 25 września 2003 r. na podstawie ustawy z dnia 14 lutego 2003 r. o zmianie ustawy - kodeks cywilny oraz niektórych innych ustaw (Dz. U. Nr 49, poz. 408). Wprowadzono wówczas do kodeksu cywilnego art. 331, na mocy którego do jednostek organizacyjnych niebędących osobami prawnymi, którym ustawa przyznaje zdolność prawną, stosuje się odpowiednio przepisy o osobach prawnych. Dopiero od tego momentu, na podstawie art. 8 § 1 ustawy z 15 września 2000 r. kodeks spółek handlowych (Dz. U. Nr 94, poz. 1037 ze zm.) w związku z art. 29 kpa i art. 331 kc spółka jawna może być stroną postępowania administracyjnego.
Następny zarzut skarżących odnosi się do kwestii zgodności z prawem decyzji GIODO, co do jej meritum. Należy w związku z tym podkreślić, że niniejsza sprawa dotyczy udostępniania danych osobowych , a nie ważności czy skuteczności umowy przelewu wierzytelności. Do decydowania o ważności czy skuteczności umowy właściwy jest bowiem sąd powszechny, natomiast ocena legalności przetwarzania danych osobowych należy do kompetencji Generalnego Inspektora Ochrony Danych Osobowych i sądu administracyjnego. Dlatego też podstawowe znaczenie ma rozważenie przesłanek określonych w przepisie art. 23 ustawy o ochronie danych.
Skarżący wskazali jako podstawę przetwarzania danych osobowych pkt 2 i pkt 5 wyżej wskazanego przepisu. Zgodnie z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych przetwarzanie danych osobowych jest dopuszczalne, gdy zezwalają na to przepisy prawa (art. 23 ust. 1 pkt 2). Stąd przesłanką "legalizującą" przetworzenie danych osobowych jest wyraźne upoważnienie ustawowe (takie, jak na przykład wynikające z ustawy o statystyce publicznej lub o policji). W tym przypadku przepis prawny musi mówić wyraźnie o przekazaniu danych osobowych.
Artykuł 509 kc takiej dyspozycji nie zawiera, mówi jedynie o przelewie wierzytelności, zatem nie może być samoistną podstawą przekazania danych osobowych. Dlatego też, zdaniem Sądu, należy rozważyć podstawę przetwarzania danych osobowych na podstawie art. 23 ust. 1 pkt 5, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 lub osób trzecich, którym są przekazywane te dane - a przetwarzanie ich nie narusza praw i wolności osoby, której dane dotyczą. Umowa o przelewie wierzytelności, podobnie jak działalność gospodarcza prowadzona w zakresie windykacji, może powodować, że powstaje usprawiedliwiony cel administratora. Należy jednak pamiętać, że nie może nastąpić pogorszenie sytuacji właściciela danych.
Generalny Inspektor Ochrony Danych Osobowych i sąd administracyjny, oceniając czy nastąpiło pogorszenie sytuacji, rozpatruje ją na tle całokształtu przepisów, zarówno przepisów prawa administracyjnego, jak i przepisów prawa cywilnego. W ten sposób nie wkracza w kompetencje sądu powszechnego, gdyż nie wypowiada się o ważności umowy przelewu czy też jej skuteczności, do czego jest upoważniony sąd powszechny, lecz o przekazaniu danych z uwzględnieniem obowiązujących przepisów. Z tego względu wypowiedzi Generalnego Inspektora na temat skuteczności czy ważności umowy przelewu mają charakter tylko prawnych dywagacji, które nie są w pełni adekwatne do przedmiotowej sprawy, lecz stanowią wyraz opinii organu.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl