Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 17 listopada 2004 r. sprawy ze skargi Spółki X na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 8 kwietnia 2004 r. nr GI-DEC-DS-90/04/182,183 w przedmiocie przetwarzania danych osobowych
1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia 13 lutego 2004 r.
2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącej Spółki X kwotę 455,00 zł (czterysta pięćdziesiąt pięć złotych) tytułem zwrotu kosztów postępowania
3. zaskarżona decyzja nie podlega wykonaniu w całości.
Do Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani A o zbadanie legalności udostępniania przez Spółkę Z, jej danych osobowych Spółce X.
W toku postępowania administracyjnego przeprowadzonego w tej sprawie Generalny Inspektor Ochrony Danych Osobowych ustalił, że w dniu 20 grudnia 2000 r. Pani A zawarła ze Spółką Z umowę o świadczenie usług telekomunikacyjnych z abonentem indywidualnym, która następnie została przez Spółkę Z rozwiązana z powodu zalegania przez Panią A z płatnościami za świadczone przez ww. Spółkę Z usługi. W dniu 20 maja 2003 r. Spółka Z zawarła umowę przelewu wierzytelności pieniężnej ze Spółką X, na mocy której Spółka przejęła wierzytelności Spółki Z, w tym wierzytelność wobec skarżącej. Zarówno u podstaw udostępnienia przez Spółkę Z jak i pozyskania przez Spółkę X przedmiotowych danych wskazano art. 509 i nast. ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, póz. 93 ze zm.).
Zakres pozyskanych przez Spółkę X danych Pani A obejmował nazwisko i imię dłużnika, numer PESEL, numer dowodu osobistego, adres zamieszkania, numer telefonu oraz dane niezbędne do ustalenia wysokości i tytułu wierzytelności. Pismem z dnia 17 czerwca 2003 r. Spółka X poinformowała Panią A, że na podstawie umowy przelewu-cesji nabyła od Spółki Z jej dług, wynikający z umowy o świadczenie usług telekomunikacyjnych oraz wskazała, na jakie konto jest ona zobowiązana dokonać wpłaty na poczet powyższej wierzytelności.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia 13 lutego 2004 r. na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, póz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 18 ust. l pkt 6 w związku z art. 23 ust. l pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, póz. 926 z późn. zm.) oraz z art. 3851 § l w związku z art. 3853 pkt 5 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, póz. 93 z późn. zm.), nakazał Spółce X usunięcie danych osobowych Pani A, pozyskanych bez jej zgody, w związku z zawarciem umowy przelewu wierzytelności, od Spółki Z.
W uzasadnieniu wskazał, iż Spółka Z przetwarza dane Pani A w sposób nieuprawniony. Zgodnie z art. 23 ust. l pkt l, 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101. póz. 926 ze zm.) przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę lub gdy zezwalają na to przepisy prawa. W tej sprawie przetwarzano dane osobowe Pani A nie dysponując żadną z przesłanek legalności działania, o których mowa w ww. przepisie.
W ocenie Generalnego Inspektora Ochrony Danych Osobowych, przepis art. 509 Kodeksu cywilnego nie stanowi podstawy prawnej dla pozyskania danych osobowych Pani A przez Spółkę X, w sytuacji, gdy była ona pozbawiona możliwości wyrażenia na powyższe zgody. Powołał się przy tym na treść art. 3851 § l kc zmieniony z dniem l lipca 2000 r. nową ustawą z dnia 2 czerwca 2000 r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny (Dz. U. Nr 22, póz. 271) i art. 3853 pkt 5 Kodeksu cywilnego.
Wykładnia funkcjonalna powołanych wyżej przepisów wskazuje, że za niedozwolone uznać należy postanowienie umowy zawieranej z konsumentem dopuszczające przeniesienie wierzytelności na osobę trzecią bez zgody konsumenta. Zdaniem Generalnego Inspektora Ochrony Danych Osobowych podstawą uzyskania przez Spółkę X danych Pani A nie może być także powoływany przez Spółkę X art. 23 ust. l pkt 5 ustawy. Wprawdzie jej działania można było zakwalifikować do kategorii prawnie usprawiedliwionego celu, lecz powinny być one zgodne z prawem, natomiast zawarta przez Spółkę umowa przelewu wierzytelności, skutkująca pozyskaniem danych osobowych Pani A, w opinii Generalnego Inspektora Ochrony Danych Osobowych, jest z prawem niezgodna. Ponadto pozyskanie i przetwarzanie przez Spółkę danych osobowych Pani A, narusza jej wolności i umniejsza gwarancje i prawa jakie jej przysługują jako konsumentowi.
We wniosku o ponowne rozpatrzenie sprawy Spółka X zarzuciła przedmiotowej decyzji naruszenie prawa materialnego (cywilnego i administracyjnego) przez błędną jego wykładnię i niewłaściwe zastosowanie stosownych norm, a konkretnie naruszenie art. 509 § l, art. 385 § l oraz art. 3853 pkt 5 Kodeksu cywilnego oraz art. 23 ust. l pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, póz. 926 ze zm.).
Wskazując na powyższą podstawę wniosła o uchylenie zaskarżonej decyzji.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia 8 kwietnia 2004 r. zaskarżoną decyzję utrzymał w mocy.
W uzasadnieniu decyzji wskazał m.in., że w rozpatrywanej sprawie wystąpiła sprzeczność umowy przelewu z przepisami Kodeksu cywilnego, tj. z art. 3851 § l i art. 3853 pkt 5 Kodeksu cywilnego, a to w świetle art. 509 § l Kodeksu cywilnego powoduje niedopuszczalność przelewu. Uznał, że umowa przelewu wierzytelności zawarta między Spółką X a Spółką Z kształtowała prawa i obowiązki Pani A w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jej interesy i była nieważna (art. 58 § l Kodeksu cywilnego).
W związku z powyższym stwierdził, iż Spółka przetwarza dane osobowe Pani A nie dysponując żadną z przesłanek legalizujących jej działanie, o którym mowa w art. 23 ust. l ustawy, a pozyskanie danych wyżej wymienionej na podstawie art. 509 Kodeksu cywilnego niepoprzedzone jej zgodą, przyjęło charakter niedozwolonych postanowień umownych, o których mowa w art. 3853
pkt 5 Kodeksu cywilnego, te zaś stosownie do art. 3851
§ l Kodeksu cywilnego nie są dla niej jako konsumenta wiążące.
Powyższa decyzja stała się przedmiotem skargi Spółki X do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Zaskarżonej decyzji skarżąca zarzuciła:
1) naruszenie prawa materialnego (cywilnego i administracyjnego), które miało wpływ na wynik sprawy, a mianowicie naruszenie poprzez błędną wykładnię lub niewłaściwe zastosowanie następujących przepisów:
a) art. 509 § l, art. 3851 § l i art. 3853 pkt 5 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, póz. 93 ze zm.).
b) art. 23 ust. l pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, póz. 926 ze zm.).
2) naruszenie przepisów postępowania administracyjnego, które miało istotny wpływ na wynik sprawy, a mianowicie art. 107 § 3 i art. 127 § 3 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tekst jednolity Dz. U. z 2000 r. Nr 98, póz. 1071 ze zm.) w zw. z art. 21 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, póz. 926 ze zm.).
Wskazując na powyższe podstawy wniosła o uchylenie zaskarżonej decyzji i poprzedzającej ją decyzji z dnia 13 lutego 2004 r. oraz zasądzenie na jej rzecz od Generalnego Inspektora Ochrony Danych Osobowych zwrotu kosztów postępowania wg. norm przepisanych.
W obszernym uzasadnieniu decyzji oraz w pismach procesowych skarżąca podkreśliła, iż przeniesienie przedmiotowej wierzytelności było w świetle art. 509 Kodeksu cywilnego prawnie ważne i skuteczne.
W art. 3853
pkt 5 Kodeksu cywilnego istnieje koniunkcja, a nie rozłączność, gdyż
ustawodawca użył w tym przepisie spójnika i", a nie wyrazu lub/albo". Nie jest objęty zakresem tego przepisu przypadek przeniesienia praw bez jednoczesnego przeniesienia zobowiązań. W sprawie Pani A doszło tylko do przeniesienia wierzytelności bez spełnienia wymogu łączności (koniunkcji) w zakresie podstawienia w miejsce Spółki Z innej firmy. Z powodu niespłacenia wymagalnego zadłużenia umowa o świadczenie usług została już wcześniej rozwiązana. Oznacza to, iż w ustalonych okolicznościach faktycznych sprawy przepis ten nie ma zastosowania.
Zdaniem skarżącej uznanie przez Generalnego Inspektora Ochrony Danych Osobowych, iż postanowienie umowy z dnia 20 grudnia 2000 r. o świadczenie usług telekomunikacyjnych, pozwalające na przeniesienie wierzytelności z tej umowy na inny podmiot w drodze przelewu bez zgody dłużnika było niedozwolonym postanowieniem umownym w rozumieniu art. 3851 kc jest wadliwe, gdyż w umowie takiego postanowienia nie było, a coś czego nie ma, nie może być uznane za niedozwolone postanowienie umowne.
Natomiast, gdyby nawet taką (wadliwą) wykładnię przyjąć, to w uzasadnieniach obu decyzji nie wykazano, że przelew wierzytelności wobec Pani A kształtuje jej (konsumenta) prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jej interesy. W tej umowie ograniczono się jedynie do przytoczenia treści przepisu art. 3851 § l Kodeksu cywilnego).
Skarżąca wskazała, iż przetwarza dane osobowe Pani A w zakresie, w jakim jest to niezbędne do wypełnienia prawnie usprawiedliwionego celu firmy, jakim jest dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. W jej ocenie przetwarzanie danych osobowych wyżej wymienionej w zakresie dochodzonej od niej wierzytelności, której nie spłaciła, w niczym nie narusza jej praw i wolności.
Generalny Inspektor Ochrony Danych Osobowych w uzasadnieniach obu decyzji nie wskazał jakie prawa i wolności Pani A zostały naruszone w ramach tego przetwarzania i na czym to naruszenie miałoby polegać.
W konsekwencji skarżąca stwierdziła, że dokonany przez nią zakup wierzytelności był zgodny z prawem cywilnym (art. 509 kc, art. 3851 § l kc i art. 3853 pkt 5 kc), a przetwarzanie danych osobowych Pani A jest zgodne z art. 23 ust. l pkt 5 oraz ust. 4 pkt 2 ustawy o ochronie danych osobowych.
Uzasadniając zarzut naruszenia przepisów postępowania administracyjnego skarżąca wskazała, iż pominięcie w uzasadnieniu decyzji zapadłej w wyniku ponownego rozpatrzenia sprawy zarzutów prawnych powołanych we wniosku skutkuje wadliwością takiej decyzji jako decyzji niezawierającej pełnego uzasadnienia.
Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie i podtrzymał argumenty wskazane w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga zasługuje na uwzględnienie.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, póz. 1269), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej pod względem zgodności z prawem. Ocenie sądu podlega zatem zgodność wydanych aktów (w tym wypadku decyzji administracyjnej) zarówno z przepisami prawa materialnego, jak i procesowego.
Oceniając zaskarżoną decyzję z punktu widzenia tego kryterium stwierdzić należy, iż została ona wydana z naruszeniem przepisów prawa materialnego i przepisów postępowania w stopniu, który miał wpływ na wynik sprawy.
Na wstępie należy wyjaśnić, iż sprawa dotyczy przetwarzania danych osobowych.
Nie można podzielić zapatrywania Generalnego Inspektora Ochrony Danych Osobowych, jakoby ocena dopuszczalności przetwarzania danych osobowych przez pryzmat akt 23 ust. l pkt 2 i pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, póz- 926 ze zm.) wymagała rozważenia zarówno przez organ, jak i przez sąd administracyjny ważności lub skuteczności umowy przelewu.
Dokonanie takich rozważań przez sąd sprowadzałoby się do badania kwestii legitymacji czynnej skarżącej w ewentualnym procesie wytoczonym przez nią przeciwko Pani A o zapłatę kwoty 1300,95 zł. z tytułu zaległości w płatności należności. Oznaczałoby to wkraczanie przez sąd administracyjny w problematykę cywilnoprawną należącą do kompetencji sądów powszechnych, do czego nie jest on uprawniony.
Z powyższych względów trzeba odrzucić wszelkie rozważania Generalnego Inspektora Ochrony Danych Osobowych dotyczące cywilnoprawnej oceny skuteczności umowy przelewu i to zarówno w świetle art. 509 kc, jak i art. 3851 § l kc oraz art. 3853 pkt 5 kc.
Tym samym dla oceny legalności przetwarzania danych osobowych w rozstrzyganej sprawie właściwy jest wyłącznie przepis art. 23 ust. l pkt 1-5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, póz. 926 ze zm.).
Przepis ten zawiera pięć autonomicznych przesłanek legalności i przetwarzania danych (pojęcie przetwarzania danych obejmuje zarówno ich zbieranie, jak i udostępnianie innym podmiotom).
W myśl stanowiącego podstawę prawną wydania zaskarżonej decyzji przepisu art. 23 ust. l pkt 2 ustawy o ochronie danych osobowych w brzmieniu obowiązującym w dacie jej wydania przetwarzanie danych osobowych jest dopuszczalne, gdy zezwalają na to przepisy prawa.
Oznacza to, że jeżeli przepis prawa zezwala na przetwarzanie danych o osobie, to nie jest potrzebna zgoda tej osoby. Zgoda jest bowiem odrębną przesłanką legalności przetwarzania danych (art. 23 ust. l pkt l ustawy).
Wojewódzki Sąd Administracyjny w Warszawie uznał, iż powołany w zaskarżonej decyzji przepis prawa nie mógł stanowić podstawy przetwarzania przez skarżącą danych osobowych Pani A, gdyż w przepisie tym chodzi wyłącznie o zezwolenie wynikające z przepisu prawa, np. art. 14 ust. 4 ustawy z dnia 6 kwietnia 1990 r. o Policji (tekst jednolity Dz. U. z 2002 r. Nr 7, póz. 58 ze zm.), art. 69 ustawy z dnia 21 lipca 2000 r. Prawo telekomunikacyjne (Dz. U. Nr 73, póz. 85 ze zm.). Przepisem takim nie są natomiast regulacje zawarte w Kodeksie cywilnym, bowiem kodeks ten w ogóle nie normuje problematyki przetwarzania danych osobowych. Stąd zbędne są dla oceny tej kwestii rozważania Generalnego Inspektora Ochrony Danych Osobowych dotyczące nieważności umowy przelewu.
Zaskarżona decyzja zawiera zatem wskazanie błędnej podstawy prawnej. Jako nieprawidłowe wskazać należy również powołanie jako podstawy prawnej decyzji administracyjnej przepisów art. 3851 § l w zw. z art. 3853 pkt 5 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, póz. 13 ze zm.).
Rozważenia wymaga jednak kwestia, czy przetwarzanie danych osobowych Pani A było dopuszczalne w świetle art. 23 ust. l pkt 5 ustawy o ochronie danych osobowych.
Dla udzielenia odpowiedzi na postawione pytanie konieczne jest dokonanie oceny dopuszczalności przetwarzania danych osobowych przez pryzmat tego przepisu, który stanowi, iż przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 lub osób trzecich, którym są przekazywane te dane, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Z woli ustawodawcy za prawnie usprawiedliwiony cel, o którym mowa w przytoczonym przepisie, uważa się m.in. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy).
Nie ulega wątpliwości, że skarżąca nabyła wierzytelność w celu jej wyegzekwowania od Pani A. Tym samym uzyskane dane osobowe wyżej wymienionej są jej niezbędne dla
dochodzenia roszczenia wynikającego z prowadzonej działalności gospodarczej. Konstatacja ta - w świetle regulacji zawartej w art. 23 ust. 4 pkt 2 ustawy przesądza o tym, że przetwarzanie danych osobowych Pani A jest skarżącej niezbędne do wypełnienia prawnie usprawiedliwionego celu.
Skoro tak, to pozostaje do rozważenia jedynie kwestia, czy w konkretnym wypadku przetwarzanie danych osobowych Pani A nie narusza jej praw i wolności.
Oceniając spełnienie tej przesłanki nie można odrywać się od zasadniczego celu ustawy o ochronie danych osobowych, wobec czego konieczne staje się odwołanie do dyrektyw wykładni funkcjonalnej i wykazania in concreto, że w ustalonym stanie faktycznym przetwarzanie danych osobowych godzi w prawa i wolności osoby, której one dotyczą.
W uzasadnieniu zaskarżonej decyzji oraz decyzji ją poprzedzającej Generalny Inspektor Ochrony Danych Osobowych odwołał się ogólnie do praw i wolności konsumentów, jednak nie przytoczył konkretnych argumentów świadczących o tym, że prawa i wolności Pani A doznały uszczerbku. Zaniechanie wyjaśnienia wszystkich istotnych dla rozstrzygnięcia sprawy okoliczności, a w szczególności tych okoliczności, które mogły mieć wpływ na ocenę wystąpienia w sprawie przesłanki określonej w art. 23 ust. l pkt 5 ustawy o ochronie danych osobowych pozwala na stwierdzenie, iż zaskarżone decyzje zostały wydane z naruszeniem zasad postępowania wyrażonych w art. 7, 77, 80 i 107 § 3 kpa.
Skoro w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych nie wykazał, że wskutek nabycia przez skarżącą wierzytelności w stosunku do Pani A doszło do naruszenia jej praw i wolności uznać należy, iż przetwarzanie jej danych osobowych było w świetle art. 23 ust. l pkt 5 ustawy dopuszczalne. Tym samym wydane w sprawie decyzje naruszają wskazany przepis prawa.
Podkreślić należy, iż zasadą powszechnie akceptowaną, wynikającą nie tylko z przepisów prawa cywilnego, lecz także z norm moralnych, zasad współżycia społecznego oraz dobrych obyczajów jest regulowanie zaciągniętych zobowiązań (zapłata długów).
Zasada ta odnosi się w pełni do podmiotów prawa mających status konsumentów.
Gdyby doszło do wykonania zobowiązania przez Panią A, nie wyłoniłby się w ogóle problem przetwarzania jej danych osobowych. Dłużnik, który nie wywiązuje się ze swoich zobowiązań, musi liczyć się z konsekwencjami wynikającymi z przepisów regulujących obrót gospodarczy. Postawa dłużnika nie może bowiem prowadzić do uprzywilejowania jego sytuacji prawnej. Gdyby generalnie uznać każdy wypadek przetwarzania danych osobowych dłużnika (będącego konsumentem) za godzący w jego prawa i wolności, doszłoby z jednej strony do niczym nieuzasadnionej ochrony osób niewywiązujących się ze swoich zobowiązań, z drugiej natomiast do naruszenia zasady swobody działalności gospodarczej, co z pewnością nie było zamiarem ustawodawcy przy uchwalaniu ustawy o ochronie danych osobowych.
Z tego względu Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § l pkt l lit. a, c ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, póz. 1270 ze zm.), orzekł jak w pkt l sentencji wyroku.
O zasądzeniu kosztów postępowania na rzecz skarżącej rozstrzygnięto na podstawie art. 200 powołanej ustawy oraz § 14 ust. 2 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności radców prawnych oraz ponoszonych przez Skarb Państwa kosztów pomocy prawnej udzielonej przez radcę prawnego ustanowionego z urzędu (Dz. U. Nr 163, póz. 1349 ze zm.).
O wykonalności decyzji do chwili uprawomocnienia się wyroku orzeczono na podstawie art. 152 powołanej ustawy - Prawo o postępowaniu przed sądami administracyjnymi.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl