Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Maria Werpachowska, Sędziowie NSA (del.) Małgorzata Jaśkowska, A. WSA Andrzej Kołodziej (spr.), Protokolant Grzegorz Walczak, po rozpoznaniu na rozprawie w dniu 4 marca 2004 r. sprawy ze skargi P. SA z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2003 r. nr [...] w przedmiocie przetwarzania danych osobowych
oddala skargę.
P. N. zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych o sprawdzenie, czy P.. s.c. z P. , która dysponuje jego danymi osobowymi, gromadzi je zgodnie z prawem. Podał, że P. twierdzi, iż przejęła jego zadłużenie w firmie P. i wyjaśnił, że jest ono związane z kradzieżą telefonu objętego promocją a spór dotyczący zadłużenia nie został jeszcze rozstrzygnięty.
Po przeprowadzeniu postępowania administracyjnego, decyzją z dnia [...] stycznia 2003 r. nr [...] nakazał P.S.A. z siedzibą w W., [...], nieudostępnianie danych osobowych Pana P. N. zam. w W. przy ul. [...], przetwarzanych w związku z przelewem wierzytelności, bez spełnienia warunków określonych w art. 3851
§ 1 w związku z art. 3853
pkt 5 ustawy z dnia 23 kwietnia 1964 r. kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.), tj. bez zgody Pana P. N.
GIODO ustalił, że:
1) w dniu [...]lipca 1998 r. pomiędzy Panem P.N. a P.S.A. zawarta została umowa o świadczenie usług telekomunikacyjnych.
2) w dniu [...] maja 2001 r. P. S.A. zawarła umowę o przelew wierzytelności z Panami - W.A. i K.P.- wspólnikami P. s.c., na mocy której P. przejęła wierzytelności Spółki (w tym wierzytelność wobec P. N.). Podstawą udostępnienia i pozyskania danych osobowych był art. 509 i nast. ustawy kodeks cywilny. Zakres udostępnianych danych obejmował: imię i nazwisko dłużnika, adres zameldowania na pobyt stały, numer konta dłużnika w systemie bilingowym, daty i numery faktur obejmujące wymagalne wierzytelności, terminy ich płatności, kwotę należności głównej, kwotę wpłat dokonanych na poczet wierzytelności.
3) pismem z [...] maja 2001 r. skarżący został poinformowany, że wskutek umowy cesji wierzytelności P. S.A. przekazała jego wierzytelności P. s.c. oraz otrzymał od P. tzw. wezwanie przedsądowe.
Postanowieniem z dnia [...] czerwca 2002 r. GIODO zawiesił z urzędu postępowanie w przedmiotowej sprawie w związku z koniecznością rozstrzygnięcia przez Prezesa Urzędu Ochrony Konkurencji i Konsumenta zagadnienia wstępnego w przedmiocie dopuszczalności postanowienia umowy zezwalającego na przeniesienie przez P. S.A. jako kontrahenta konsumenta (tj. wierzyciela) jego praw (tj. wierzytelności) na rzecz wspólników P. s.c. bez zgody konsumenta P. N.(tj. dłużnika).
Pismem z dnia [...] września 2002 r. Prezes UOKiK poinformował, że w jego opinii cesja długów abonenta pomiędzy przedsiębiorcą a firmą windykacyjną jest dopuszczalna jedynie za zgodą konsumenta, w przeciwnym razie przyjęcie dopuszczalności takiej cesji spełnia ogólne przesłanki postanowienia umownego, określone w art. 3851 § 1 kc oraz wskazał, że o ile postanowienie umowy, na podstawie, którego dokonuje się przelewu wierzytelności konsumenta bez jego zgody na rzecz cesjonariusza, zostaje zapisane formalnie we wzorcu umownym - nie może być uznane w rozumieniu przepisów art. 509, art. 3851 § 1 i art. 3853 pkt 5 kc.
Postanowieniem z dnia [...] września 2002 r. GIODO zawieszone postępowanie podjął na nowo, jednocześnie z urzędu powziął informację o przekształceniu P. s.c. w P. Spółkę jawną.
Pismem z dnia 7 października 2002 r. P.S.A. oświadczyła, że nie posiada oświadczenia skarżącego wyrażającego zgodę na cesję jego wierzytelności lecz z uwagi na inną przesłankę legalizującą udostępnienie danych skarżącego wspólnikom P. tj. art. 509 kc, było ono zgodne z prawem. Stanowisko to Spółka podtrzymała w piśmie z 22 października 2002 r. GIODO stwierdził, że w rozpatrywanej sprawie przymiot administratora danych osobowych Pana P.N. przysługuje P.S.A., która stała się ich dysponentem na podstawie zawartej ze skarżącym umowy o świadczenie usług telekomunikacyjnych a tym samym uzyskała prawo do przetwarzania tych danych w granicach określonych postanowieniami tej umowy i w celu jej realizacji (art. 23 ust. 1 pkt 3 ustawy), jak również w celu dochodzenia z tego tytułu ewentualnych roszczeń (art. 23 ust. 1 pkt 5 ustawy).
Ani z treści postanowień umowy, ani też z zebranego materiału w sprawie nie wynika, aby skarżący wyraził zgodę na udostępnienie jego danych innym podmiotom niż P. S.A. Spółka ta wskazała, że udostępniła dane wspólnikom P. s.c. na podstawie art. 509 kc, który stanowi, że wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania (§ 1). Wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, w szczególności roszczenie o zaległe odsetki (§ 2).
W ocenie GIODO przesłanka wskazana przez P . S.A. (art. 23 ust. 1 pkt 2 ustawy), tj. przepis art. 509 kc nie stanowi podstawy prawnej dla udostępnienia danych osobowych Pana P. N. spółce windykacyjnej. Powołując się na zmieniony z dniem 1 lipca 2000 r. ustawą o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny art. 3851 § 1 kc GIODO stwierdził, że za niedozwolone należy uznać postanowienia umowy zawieranej z konsumentem dopuszczające przeniesienie wierzytelności na osobę trzecią bez zgody konsumenta.
Słuszność takiej interpretacji potwierdził Prezes UOKiK, który wskazał w swojej opinii, że cesja długów abonenta pomiędzy przedsiębiorcą a firmą windykacyjną bez zgody konsumenta spełnia ogólne przesłanki niedozwolonego postanowienia umownego określone w art. 3851 § 1 kc, tj. nie jest uzgadniane indywidualnie, kształtuje prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami i narusza interesy konsumenta. O ile zatem brak jest formalnego zapisu przedmiotowego postanowienia we wzorcu umownym, to nie może być uznane za dozwolone postanowienie umowne.
W świetle powyższego P. S.A., zbywając wierzytelność Pana P. N. bez jego zgody, udostępnił jego dane w sposób nieuprawniony, ponieważ nie dysponował żadną z przesłanek przetwarzania danych określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych.
We wniosku o ponowne rozpatrzenie sprawy (z dnia [...] stycznia 2003 r.) P.S.A. wniósł o uchylenie decyzji i umorzenie postępowania lub ewentualnie o zmianę decyzji poprzez stwierdzenie, iż dane osobowe Pana P. N. przetwarzane są przez Spółkę zgodnie z prawem.
W jego ocenie rozstrzygnięcie GIODO jest nieprawidłowe albowiem opiera się na dokonanej w sposób niewłaściwy wykładni przepisów kc i ustawy o ochronie danych osobowych, jak również w sposób niewłaściwy ocenia stan faktyczny, a nadto brak było podstaw do jej wydania w świetle przepisów kpa, ustawy o ochronie danych osobowych oraz kc.
W szczególności P. S.A. zarzucił decyzji:
1) naruszenie przepisu art. 105 kpa
W ocenie Spółki, po dokonaniu cesji, a więc w chwili wydawania decyzji przez GIODO, nie przysługiwała jej żadna wierzytelność wobec Pana P. N. i nie było w związku z tym "przedmiotu", który mógłby podlegać przelewowi bez zgody Pana N., nadto brak uzasadnienia dla przekazywania jakiemukolwiek podmiotowi danych osobowych tej osoby. Wobec powyższego, postępowanie wobec P. S.A. winno być umorzone jako bezprzedmiotowe, ewentualnie decyzja winna być zmieniona poprzez stwierdzenie braku zasadności skargi Pana P. N.
2) naruszenie przepisu art. 18 uodo w zw. z art. 105 § 1 kpa
Zgodnie z art. 18 ust. 1 ustawy, w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, GIODO z urzędu lub na wniosek osoby zainteresowanej, nakazuje administratorowi danych w drodze decyzji administracyjnej przywrócenie stanu zgodnego z prawem. Przekazanie danych osobowych Pana P. N. P. Spółce jawnej zostało dokonane zgodnie z przepisami art. 23 ust. 1 pkt 2 i 5 ustawy, brak zatem przesłanki upoważniającej GIODO do zastosowania wobec P. S.A. środków sankcyjnych przewidzianych ustawą.
3) naruszenie przepisu art. 18 w zw. z art. 23 ust. 1 ustawy o ochronie danych osobowych
Przyjęcie przez GIODO, że udostępnienie danych, będące jedną z form przetwarzania, może się odbywać jedynie w oparciu o zgodę osoby, której dane są przetwarzane, jest sprzeczne z art. 23 ust. 1 ustawy, który oprócz zgody osoby uprawnionej (pkt 1) przewiduje jeszcze cztery inne podstawy przetwarzania danych osobowych.Błędna wykładnia przepisów kc dotyczących niedozwolonych postanowień umownych ogranicza podstawy działania przedsiębiorcy.
4) nieuwzględnienie podstawy działania wynikającej z przepisu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych
P. S.A. uzyskał dane osobowe Pana P. N. zgodnie z przepisami art. 23 ust. 1 pkt 1 i 3 ustawy. Zgodnie z art. 23 ust. 1 pkt 5 przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych lub osób trzecich, którym są przekazywane, a przetworzenie nie narusza praw i wolności osoby, której dotyczą dane.
Przekazanie danych osobowych podmiotom zajmującym się windykacją należy uznać za prawnie niezbędne dla wypełnienia usprawiedliwionych celów administratora danych lub osoby trzeciej, na rzecz której są przekazywane.
Zatem na tej podstawie P. S.A. może przetwarzać dane (w tym udostępnić je osobom trzecim), jeżeli jest to niezbędne dla dochodzenia należności wynikających z umów o świadczenie usług telekomunikacyjnych, brak zatem podstaw do wskazywania innej przesłanki przetwarzania z art. 23 ust. 1 oraz uzyskiwania zgody abonenta (konsumenta).
5) naruszenie przepisów art. 3851
§ 1 i art. 3853
pkt 5 kc oraz art. 509 § 1 kc
Błędna wykładnia art. 3851
§ 1 i art. 3853
pkt 5 poprzez przyjęcie, że niedozwolonym postanowieniem umownym jest wynikający wprost z przepisów prawa skutek powstania wierzytelności, polegający na tym, że podmiot, któremu wierzytelność przysługuje może ją zbyć bez zgody dłużnika (art. 509 § 1 kc).
Brak podstaw też do przyjęcia, że stosunkom zobowiązaniowym z udziałem konsumentów ustawodawca nadał charakter szczególny (lex specialis) w stosunku do innych przepisów kc, w tym regulujących zasady i podstawy przenoszenia praw i obowiązków z umów (art. 509 § 1).
6) naruszenie przepisów proceduralnych w związku z przyjęciem przez GIODO, że zachodzi konieczność rozstrzygnięcia przez Prezesa UOKiK tzw. zagadnienia wstępnego, które w istocie okazało się wykładnią przepisów kodeksu cywilnego, takiej wykładni GIODO powinien dokonać we własnym zakresie.
Decyzją z dnia [...] kwietnia 2003 r. nr [...]po ponownym rozpatrzeniu sprawy Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy decyzję z dnia[...] stycznia 2003 r.
W obszernym uzasadnieniu podtrzymał swoje stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji i szczegółowo odniósł się do wszystkich zarzutów podniesionych we wniosku o ponowne rozpatrzenie sprawy.
W opinii GIODO umowa przelewu wierzytelności zawarta przez P. ze wspólnikami P. s.c. jest niezgodna z przepisami art. 3851 § 1 w zw. z art. 3853 pkt 5 kodeksu cywilnego, ukształtowała bowiem prawa i obowiązki P. N. w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy.
W konsekwencji, umowa ta nie może rodzić skutków prawnych wobec niego i uzasadniać udostępnienie przez Spółkę jego danych osobowych wspólnikom P. s.c. Z powyższych powodów P. S.A. jest nadal administratorem danych osobowych tej osoby, wobec czego zasadne było nałożenie na nią przez Generalnego Inspektora nakazu nieudostępniania w przyszłości dotyczących go danych osobowych, przetwarzanych w związku z przelewem wierzytelności, bez jego zgody.
GIODO wskazał również, iż uznając działania na danych osobowych P.N. za niezgodne z przepisami ustawy o ochronie danych osobowych, wydał decyzję administracyjną nie tylko wobec Spółki, ale również wobec wspólników P. Spółka jawna. Tym samym zarzut, iż decyzja GIODO narusza art. 18 ustawy o ochronie danych osobowych w zw. z art. 105 § 1 kodeksu postępowania administracyjnego również nie znajduje uzasadnienia.
Odnosząc się do zarzutów P. S.A., iż decyzja została wydana z naruszeniem art. 18 ustawy o ochronie danych osobowych w zw. z art. 23 ust. 1 tej ustawy, że GIODO nie uwzględnił podstawy działania Spółki wynikającej z art. 23 ust. 1 pkt 5 ustawy oraz, że niewłaściwie zostały zinterpretowane przepisy kodeksu cywilnego, w szczególności art. 3851 § 1, art. 3853 pkt 5 i art. 509 § 1, Generalny Inspektor Ochrony Danych Osobowych stwierdził, iż podstawowym warunkiem legalnego udostępnienia danych osobowych jest w każdym przypadku zgodność z prawem czynności prawnej, która leży u jego podstaw.
Mając na uwadze stan faktyczny rozpatrywanej sprawy, Generalny Inspektor stwierdził, że podstawy prawnej do udostępnienia danych osobowych P. N. nie stanowi art. 23 ust. 1 pkt 1 ustawy, skoro nie wyraził on zgody na przeniesienie przysługujących wobec niego uprawnień w drodze przelewu. Podstawy takiej nie stanowią również przepisy obowiązującego prawa, do których odnosi się art. 23 ust. 1 pkt 2 ustawy , w tym w szczególności art. 509 kodeksu cywilnego, bowiem zdaniem GIODO, umowa przelewu między P. S.A. a wspólnikami P. jest sprzeczna z przepisami ustawy, tj. art. 3851 § 1 w zw. z art. 3853 pkt 5 kodeksu cywilnego, na tę okoliczność przywołano argumentację przedstawioną w uzasadnieniu decyzji z dnia[...]stycznia 2003 r.
Generalny Inspektor wskazał ponadto, że nie zachodzą w sprawie okoliczności wskazane w art. 23 ust. 1 pkt 4 ustawy o ochronie danych osobowych, bowiem nie chodzi tu o przetwarzanie danych osobowych dla dobra publicznego, ani też w art. 23 ust. 1 pkt 3, ponieważ udostępnienie prze Spółkę wspólnikom P. s.c. danych osobowych P. N. nie było działaniem koniecznym dla realizacji zawartej z nim umowy o świadczenie usług telekomunikacyjnych.
Odnosząc się do argumentów Spółki P. GIODO wskazał, że za niewątpliwie podjęte w prawnie usprawiedliwionym celu, w rozumieniu art. 23 ust. 1 pkt 5 ustawy uznać należy działania przedsiębiorcy, które zmierzają do dochodzenia i egzekwowania należności wobec kontrahenta. Niemniej, działania takie powinny być zgodne z prawem, natomiast zawarta przez Spółkę umowa przelewu wierzytelności, skutkująca udostępnieniem danych osobowych P. N., tego warunku nie spełnia.
Zauważył również, że w świetle art. 23 ust. 1 pkt 5 ustawy, aby dane działanie administratora danych uznać za legalne, powinno być ono podjęte nie tylko w prawnie usprawiedliwionym celu, ale również winno być niezbędne dla osiągnięcia tego celu oraz, co istotne, nie może naruszać praw i wolności osoby, której dane dotyczą.
W opinii GIODO, udostępnienie przez Spółkę danych osobowych P. N. wspólnikom P. s.c. narusza jego prawa i wolności, bowiem rozpoczęcie wykonywania wobec niego przez ww. wspólników uprawnień wynikających z umowy o świadczenie usług telekomunikacyjnych spowodowało rażące pogorszenie jego sytuacji prawnej, na co zwrócił uwagę również Prezes Urzędu Ochrony Konkurencji i Konsumentów, do którego zwrócił się GIODO o zajęcie stanowiska jako organu, do kompetencji którego należy ochrona konsumentów.
Prezes UOKiK wyraził pogląd, że przy uwzględnieniu aktualnych realiów obrotu, praktyka polegająca na zbywaniu firmom windykacyjnym wierzytelności wobec konsumentów "umniejsza gwarancje i prawa przysługujące konsumentom", wskazując, że w praktyce w tych okolicznościach zobowiązanie konsumenta stało się zobowiązaniem abstrakcyjnym.
Na poparcie swojej tezy GIODO przywołał pogląd E. Łętowskiej, która stwierdziła, że: "Pojęcie rażącego naruszenia nie może być sprowadzone do wymiaru czysto ekonomicznego. Należy tu uwzględnić niewygodę organizacyjną, mitręgę, stratę czasu, nierzetelność traktowania, wprowadzenie w błąd, a także (co bardziej doceniane) naruszenie prywatności konsumenta... (E. Łętowska "Prawo umów konsumenckich", Warszawa 2002, s. 341).
W skardze do Naczelnego Sądu Administracyjnego P.S.A. wniósł o uchylenie zaskarżonej decyzji z dnia [...] kwietnia 2003 r. nr [...]z powodu naruszenia art. 23 ust. 1 ustawy o ochronie danych osobowych oraz art. 509 § 1, art. 3851 § 1 i art. 3853 pkt 5 kodeksu cywilnego, a ponadto o zasądzenie na rzecz skarżącego od Generalnego Inspektora Ochrony Danych Osobowych zwrotu kosztów niniejszego postępowania.
Podstawowym zarzutem skargi skarżący uczynił zarzut zastosowania przez GIODO wobec P. S.A. art. 3851 § 1 i art. 3853 pkt 5 kc oraz zarzut błędnej ich wykładni, w wyniku której Generalny Inspektor wykluczył możliwość zastosowania wobec skarżącego w przedmiotowej sprawie art. 509 § 1 kc i art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
P. S.A. zarzucił również GIODO odmowę uwzględnienia art. 23 ust. 1 pkt 2 ustawy jako podstawy przekazania danych P. N. . Zdaniem Spółki, z uwagi na wadliwe zastosowanie i interpretację przepisu 3851 § 1 kc, Generalny Inspektor bezpodstawnie uznał, że art. 509 § 1 kc nie zezwala na przekazanie danych osobowych cesjonariuszowi. Skarżący podniósł, że był uprawniony do dokonania przelewu na zasadach ogólnych, tj. bez zgody dłużnika. Zważywszy, iż nie ma możliwości dokonania przelewu wierzytelności bez zidentyfikowania dłużnika, czyli bez wskazania jego danych, art. 509 § 1 kc jest jednym z tych przepisów, na podstawie których, w myśl art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, wolno jest przetwarzać dane osobowe (czyli m.in. przekazywać je osobie trzeciej - wniosek z art. 7 pkt 2 ustawy).
Skarżący wskazał również na bezprzedmiotowość postępowania prowadzonego przez GIODO, gdyż nie doszło do naruszenia prawa a także z uwagi na fakt, że P. S.A. nie ma już możliwości dysponowania wierzytelnością, która podlegała przelewowi i w związku z tym, nie ma możliwości dysponowania danymi dla potrzeb przelewu.
Podniósł też zarzut nieuwzględnienia przez GIODO przepisu art. 23 ust. 1 pkt 5 ustawy w sytuacji, gdy po stronie P. Spółka jawna istnieje usprawiedliwiony cel, by otrzymać i przetwarzać dane uzyskane w związku z przelewem (interes ten jest niezależny od celu P. S.A., co jest zgodne z brzmieniem art. 23 ust. 1 pkt 5 ustawy). Taki usprawiedliwiony prawnie cel istnieje także po stronie samego skarżącego.
Skarżący zarzucił wreszcie, iż GIODO utożsamia zgodę na dokonanie przelewu ze zgodą na przetwarzanie danych, wykraczając w ten sposób poza sferę ochrony danych osobowych i swoje kompetencje, w szczególności art. 18 ust. 1 ustawy o ochronie danych osobowych. Podkreślił, że zgoda P. N. nie jest konieczna, zarówno na dokonanie przelewu (art. 509 kc), jak i na przekazanie danych osobowych (art. 23 ust. 1 pkt 2 i 5 ustawy), które odbywa się na podstawie upoważnienia wynikającego z przepisów, tj. art. 509 § 1 kc, a także jest niezbędne dla realizacji prawnie usprawiedliwionego celu tak P. S.A, jak i P. Spółki jawnej.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie przytaczając w uzasadnieniu argumentację faktyczną i prawną zaprezentowaną w uzasadnieniu zaskarżonej decyzji i decyzji ją poprzedzającej oraz odniósł się szczegółowo do zarzutów podniesionych przez skarżącego.
Wojewódzki Sąd Administracyjny zważył, co następuje:
Zgodnie z art. 97 § 1 ustawy z dnia 30 sierpnia 2002 r. - Przepisy wprowadzające ustawę - Prawo o ustroju sądów administracyjnych i ustawę - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1271 z późn. zm.) sprawy, w których skargi zostały wniesione do Naczelnego Sądu Administracyjnego przed dniem 1 stycznia 2004 r. i postępowanie nie zostało zakończone, podlegają rozpoznaniu przez właściwe wojewódzkie sądy administracyjne na podstawie przepisów ustawy - Prawo o postępowaniu przed sądami administracyjnymi.
Stosownie zaś do art.13 § 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270), do rozpoznania sprawy właściwy jest wojewódzki sąd administracyjny, na obszarze którego ma siedzibę organ administracji publicznej, którego działalność została zaskarżona.
Na podstawie art. 1 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269) sądy administracyjne sprawują wymiar sprawiedliwości m.in. przez kontrolę działalności administracji publicznej (§ 1).
Kontrola, o której mowa, sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Rozpatrywana sprawa dotyczy udostępnienia danych osobowych P.N. przez P. S.A. w W. P. s.c. (przekształconej następnie w . Spółkę jawną) z siedzibą w P..
Przedmiotu sprawy nie stanowi natomiast ocena, czy zawarta pomiędzy tymi przedmiotami umowa przelewu wierzytelności, jaką ma P. S.A. wobec P. N. jest ważna lub skuteczna, bowiem do rozstrzygnięcia w tej materii właściwy jest sąd powszechny.
Rozważania dotyczące umowy przelewu wierzytelności, której następstwem jest udostępnienie danych osobowych P. N. , są jednak uzasadnione w kontekście oceny, czy udostępnienie danych nastąpiło zgodnie z prawem.
Ogólne materialne przesłanki przetwarzania danych osobowych określa art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926), który stanowi, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie jej danych,
2) zezwalają na to przepisy prawa,
3) jest niezbędne osobie, której dane dotyczą, w celu wywiązania się z umowy, która jest stroną lub na jej życzenie w celu podjęcia niezbędnych działań przed zawarciem umowy,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest niezbędne do wypełnienia usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 (osoby fizyczne i prawne oraz jednostki organizacyjne nie mające osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych), a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Skarżący podniósł w skardze, że art. 509 § 1 kodeksu cywilnego jest jednym z tych przepisów, na podstawie których w myśl art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych wolno jest przetwarzać dane osobowe, czyli m.in. przekazywać je osobie trzeciej.
Zdaniem Sądu rozumowanie to jest chybione, bowiem aby zastosować art. 23 ust. 1 pkt 2 ustawy, przepis prawny musiałby wyraźnie mówić o przekazaniu danych. Wspomniany przepis art. 509 § 1 kodeksu cywilnego (Dz. U. Nr 16, poz. 93) stanowi zaś, że wierzyciel może bez zgody dłużnika przenosić wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązaniu, czyli wypowiada się wyłącznie w przedmiocie przelewu wierzytelności.
Należy zauważyć, że przepisy zawarte w innych aktach prawnych nie ograniczają się z reguły do sformułowania ogólnego zezwolenia na przetwarzanie danych, lecz wskazują również - jak, na jakich warunkach przetwarzanie to ma następować (jak i jakie dane mają być zbierane, jak gromadzone, kiedy i jak udostępniane). Przykładowo, przepisy wykonawcze do ustawy o Urzędzie Ochrony Państwa, wyraźnie stanowiły, że wystąpienie z żądaniem lub prośbą o udzielenie pomocy (a więc także o udostępnienie danych osobowych) przy wykonywaniu czynności operacyjno-rozpoznawczych albo dochodzeniowo-śledczych musi mieć formę pisemną (J. Barta, R. Markiewicz, Ochrona danych osobowych, komentarz, Zakamycze 2001, str. 360-361).
Odnosząc się z kolei do zarzutu skarżącego, że Generalny Inspektor Ochrony Danych Osobowych nie uwzględnił podstawy prawnej przekazania danych wynikającej z art. 23 ust. 1 pkt 5 Sąd stwierdził, że za niewątpliwie podjęte w prawnie usprawiedliwionym celu należy uznać działania przedsiębiorcy, które zmierzają do dochodzenia i egzekwowania należności wobec strony umowy. Jednakże działania takie powinny być zgodne z prawem, niezbędne dla osiągnięcia tego celu oraz nie mogą naruszać praw i wolności osoby, której dane dotyczą.
Należy podkreślić, że zarówno Generalny Inspektor, jak również Sąd, oceniając przesłankę legalizacji przetwarzania danych osobowych określaną w ww. przepisie, rozpatruje ją na tle całokształtu przepisów prawa, zarówno administracyjnego, jak i cywilnego. Nie wypowiada się natomiast w kwestii ważności czy też skuteczności umowy przelewu wierzytelności, do czego upoważniony jest sąd powszechny, lecz ocenia jedynie, czy przekazanie danych nastąpiło z uwzględnieniem obowiązujących przepisów prawa.
Sąd podzielił w tym przedmiocie stanowisko GIODO uznając, że może budzić uzasadnione wątpliwości zawarcie umów przelewu wierzytelności w oparciu o art. 509 § 1 bez uwzględnienia przepisów art. 3851 § 1 i art. 3853 pkt 5 kodeksu cywilnego.
Pierwszy z nich stanowi, że postanowienia umowy zawieranej z konsumentem nieuzgodnione indywidualnie nie wiążą go, jeżeli kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy (niedozwolone postanowienia umowne). Nie dotyczy to postanowień określających główne świadczenia stron, w tym cenę lub wynagrodzenie, jeżeli zostały sformułowane w sposób jednoznaczny.
W myśl natomiast drugiego, w razie wątpliwości uważa się, że niedozwolonymi postanowieniami umownymi są te, które w szczególności zezwalają kontrahentowi konsumenta na przeniesienie praw i przekazanie obowiązków wynikających z umowy bez zgody konsumenta.
Sąd uznał przy tym, że wypowiedzi Generalnego Inspektora na temat skuteczności czy ważności umowy przelewu nie stanowią rozstrzygnięcia w sprawie lecz jedynie wyraz opinii organu.
Oceniając sytuację prawną kontrahenta umowy konsumenckiej, z którą mieliśmy do czynienia w rozpatrywanej sprawie, należy badać czy nie nastąpiło pogorszenie jego sytuacji prawnej w świetle przepisów dotyczących umów konsumenckich.
Zdaniem Sądu zawarta przez P. S.A. umowa przelewu wierzytelności wynikających z umowy o świadczenie usług telekomunikacyjnych, kształtowała prawa i obowiązki konsumenta w sposób sprzeczny z dobrymi obyczajami i rażąco naruszyła jego interesy.
Przy czym, "pojęcie rażącego naruszenia nie może być sprowadzone do wymiaru czysto ekonomicznego. Należy tu uwzględnić niewygodę organizacyjną, mitręgę, stratę czasu, nierzetelności traktowania, wprowadzenie w błąd, a także (coraz bardziej doceniane) naruszenie prywatności konsumenta itd. (E. Łętowska, Prawo umów konsumenckich, Warszawa 2002, s. 341).
Odnosząc się do treści art. 3853 pkt 5 kc należy podnieść, że dokonany przelew wierzytelności, wbrew temu co twierdzi skarżący, wiąże się zarówno z przeniesieniem praw, jak również obowiązków, na co wskazuje treść art. 513 § 2 kc oraz treść umowy przelewu, w której nabywca zobowiązał się do wysłania dłużnikowi w imieniu zbywcy pisemnego zawiadomienia o przelewie wierzytelności (§ 5 umowy).
Nie można się zgodzić z twierdzeniem skarżącego, że przepis art. 3853 pkt 5 kc nie ma zastosowania w rozpatrywanej sprawie, gdyż umowa o świadczenie usług telekomunikacyjnych, jaką P. N. zawarł ze Spółką, jak też regulamin świadczenia usług telekomunikacyjnych, nie zawierają postanowienia o możliwości dokonania przeniesienia bez zgody abonenta praw z umowy na inne podmioty. Jeżeli bowiem ustawa nie dopuszcza wprowadzenia do stosunków umownych klauzul zezwalających na przeniesienie praw i przekazanie obowiązków bez zgody konsumenta, to tym bardziej nie może to nastąpić, gdy umowa na ten temat milczy.
Odnośnie zarzutu bezprzedmiotowości decyzji podjętej przez GIODO już po dokonanej cesji wierzytelności, Sąd uznał ten zarzut za niezasadny.
W świetle art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. kodeks postępowania administracyjnego (Dz. U. z 2000 Nr 98, poz. 107 ze zm.), gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe organ administracji publicznej wydaje decyzję o umorzeniu postępowania. Bezprzedmiotowość postępowania, o której mowa w art. 105 § 1 kpa, oznacza przy tym, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji przez rozstrzygnięcie co do jej istoty.
Bezprzedmiotowość ta może wynikać z różnych przyczyn, które można podzielić na podmiotowe oraz przedmiotowe. Mogą one powstać na skutek faktów naturalnych lub na skutek zdarzeń prawnych (śmierć strony, ustanie bytu prawnego jednostki, zmiana tytułu własności rzeczy, jej zniszczenie, zniesienie uprawnień lub obowiązków, uchylenie podstaw prawnych do działania administracji publicznej w formach władczych w określonych sprawach (B. Adamiak, J. Borkowski, Kodeks postępowania administracyjnego, Komentarz, W-wa 2000 r., s. 428-429).
W sprawie nie ulegało wątpliwości, że nie mogły zachodzić przesłanki bezprzedmiotowości z przyczyn natury podmiotowej. Strona decyzji nie utraciła bowiem przymiotu osoby prawnej i mogła być wobec niej kierowana decyzja administracyjna.
Zdaniem sądu nie zachodziły też przesłanki bezprzedmiotowości z przyczyn natury przedmiotowej. P. S.A. nadal dysponował danymi osobowymi P.N., był więc właścicielem danych i istniały władcze kompetencje do orzekania w drodze decyzji na podstawie art. 18 uodo. Fakt, że GIODO zakazał przekazywania danych w związku z przelewem wierzytelności, wiązał to z zakresem stwierdzonego naruszenia.
Z punktu widzenia art. 18 nie jest istotne czy takie czynności były prawnie skuteczne, czy nie oraz czy mogły być prawnie skuteczne w przyszłości.
Czym innym jest bowiem skuteczność samej umowy, a czymś innym przekazanie danych osobowych. Możliwa byłaby bowiem sytuacja, gdyby administrator danych przekazywał dane bez podstawy prawnej, w związku z czynnościami prawnie nieskutecznymi.
Gdyby w takiej sytuacji GIODO umarzał postępowania, to poza zakresem jego kontroli pozostawałby cały obszar faktycznych działań administratora. Należy też podkreślić, że decyzja nie mogła przybrać innej sentencji, gdyż nakazy lub zakazy stawiane przez GIODO muszą być: po pierwsze - konsekwencją stwierdzanych naruszeń, po drugie - nie mogły generalnie dotyczyć przekazania danych P. N. na podstawie innych przesłanek i w innych sytuacjach faktycznych i prawnych.
W tym stanie rzeczy skarga nie zasługiwała na uwzględnienie.
Mając powyższe na względzie, Wojewódzki Sąd Administracyjny, na podstawie art. 151 ustawy Prawo o postępowaniu przed sądami administracyjnymi w zw. z art. 23 ust. 1 ustawy o ochronie danych osobowych, orzekł jak w sentencji.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl