II SA/Wa 1333/04
WyrokWSA w Warszawie2004-11-30
Skład orzekający: Małgorzata Borowiec, Ewa Kwiecińska, Eugeniusz Wasilewski
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy Generalny Inspektor Ochrony Danych Osobowych był uprawniony do oceny ważności umowy przelewu wierzytelności w kontekście przepisów Kodeksu cywilnego przy wydawaniu decyzji administracyjnej dotyczącej udostępniania danych osobowych?Ratio decidendi
Generalny Inspektor Ochrony Danych Osobowych nie był uprawniony do oceny ważności umowy przelewu wierzytelności w kontekście przepisów Kodeksu cywilnego, gdyż takie rozstrzygnięcie należy do kompetencji sądów powszechnych. Organ administracyjny powinien skupić się na ocenie legalności przetwarzania danych osobowych w świetle przepisów ustawy o ochronie danych osobowych, a w szczególności art. 23 ust. 1 pkt 5 tej ustawy, który dopuszcza przetwarzanie danych w celu dochodzenia roszczeń, o ile nie narusza to praw i wolności osoby, której dane dotyczą. W niniejszej sprawie organ nie wykazał, że doszło do naruszenia praw i wolności dłużnika, co czyniło przetwarzanie danych dopuszczalnym.Stan faktyczny
Sprawa dotyczyła udostępnienia przez R. S.A. danych osobowych p. M. S. firmie I. Sp. z o.o. w związku z umową przelewu wierzytelności. Generalny Inspektor Ochrony Danych Osobowych (GIODO) nakazał R. S.A. zaprzestanie udostępniania danych, uznając umowę przelewu za nieważną z powodu naruszenia przepisów Kodeksu cywilnego dotyczących niedozwolonych postanowień umownych. R. S.A. wniosła skargę do WSA, zarzucając GIODO naruszenie przepisów o ochronie danych osobowych i wkroczenie w kompetencje sądów powszechnych.Rozstrzygnięcie
Wojewódzki Sąd Administracyjny uchylił zaskarżoną decyzję GIODO oraz poprzedzającą ją decyzję, zasądził od GIODO na rzecz skarżącej zwrot kosztów postępowania i stwierdził, że zaskarżona decyzja nie podlega wykonaniu.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący sędzia NSA Małgorzata Borowiec, Sędziowie WSA Ewa Kwiecińska, Eugeniusz Wasilewski (spr), Protokolant Anna Żmijewska, po rozpoznaniu na rozprawie w dniu 17 listopada 2004 r. sprawy ze skargi R. Spółka Akcyjna z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2004 r. Nr [...] w przedmiocie ochrony danych osobowych 1. Uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] lutego 2004r., 2. Zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącej R. Spółka Akcyjna z siedzibą w W. kwotę 455,00 zł (czterysta pięćdziesiąt pięć złotych) tytułem zwrotu kosztów postępowania, 3. Stwierdza, że zaskarżona decyzja nie podlega wykonaniu.
Do Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga p. M. S. o zbadanie legalności udostępnienia przez R. S.A. w W. jej danych osobowych I. Sp. z o. o. z siedzibą w W..
W toku postępowania administracyjnego przeprowadzonego w tej sprawie Generalny Inspektor Ochrony Danych Osobowych ustalił, że w dniu [...] grudnia 2000 r. p. M. S. zawarła z R. S.A. umowę o świadczenie usług telekomunikacyjnych z abonentem indywidualnym, która następnie została przez R. S.A. rozwiązana w dniu [...] czerwca 2002 r., z powodu zalegania przez abonenta z płatnościami za świadczone przez Spółkę usługi. W dniu [...] maja 2003 r. R.S.A. zawarła umowę przelewu wierzytelności z I. Sp. z o. o., na mocy której Spółka ta przejęła wierzytelność R. S.A. w tym wierzytelność wobec p. M. S.. Zarówno u podstaw udostępniania przez R.S.A., jak i pozyskania przez I. Sp. z o. o. przedmiotowych danych wskazano art. 509 i nast. ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm.). Zakres udostępnionych przez spółkę danych p. M. S. obejmował: nazwisko i imię dłużnika, numer PESEL, numer dowodu osobistego, adres zamieszkania, numer telefonu oraz dane niezbędne do ustalenia wysokości i tytułu wierzytelności. Pismem z dnia 17 czerwca 2003 r. Spółka poinformowała p. M. S., że na podstawie umowy przelewu-cesji, nabyła od R. S.A. jej dług wynikający z umowy o świadczenie usług telekomunikacyjnych oraz wskazała, na jakie konto jest ona zobowiązana dokonać wpłaty należności.
Wobec powyższych ustaleń faktycznych, Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia[...] lutego 2004 r. na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 1 w zw. z art. 23 ust 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz art. 3851 § 1 w zw. z art. 3853 pkt 5 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm.) nakazał R.S.A. z siedzibą w W. nieudostępniania danych osobowych p. M.S., przetwarzanych w związku z przelewem wierzytelności, bez spełnienia warunków określonych w art. 3851 § 1 w zw. z art. 3853 pkt 5 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny, tj. bez zgody p. M.S.. W uzasadnieniu decyzji wskazał, iż w myśl przepisu art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przetwarzanie danych osobowych w tym i ich udostępnienie - stosownie do art. 7 pkt 2 ustawy, jest dopuszczalne tylko wtedy, gdy: osoba, której dane dotyczą wyrazi na to zgodę chyba, że chodzi o usunięcie dotyczących jej danych (pkt 1), zezwalają na to przepisy prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub, gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem umowy (pkt 3), jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 ustawy, tj. osób fizycznych i prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane nie dotyczą. Przy czym, jak to określa art. 23 ust. 4 ustawy za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5 ustawy, uważa się w szczególności: marketing bezpośredni własnych produktów lub usług administratora danych (pkt 1), dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (pkt 2).
Podstawy prawnej udostępniania przez Spółkę danych osobowych p. M. S. nie stanowił przepis art. 23 ust. 1 pkt 1, gdyż nie wyraziła ona zgody na przeniesienie przez R. S.A. przysługujących wobec niej uprawnień w drodze przelewu na inne podmioty.
W ocenie Generalnego Inspektora Ochrony Danych Osobowych w sprawie nie wystąpiły też inne przesłanki legalizujące przetwarzanie danych o których mowa w powołanym przepisie art. 23 ustawy o ochronie danych osobowych. Podstawy prawnej do udostępniania danych osobowych p. M.S. nie może stanowić art. 509 kodeksu cywilnego, na który powołuje się Spółka, zwłaszcza w sytuacji, gdy zainteresowana nie wyraziła na przeniesienie wierzytelności zgody. W myśl bowiem art. 3851 § 1 Kodeksu cywilnego postanowienia umowy zawieranej z konsumentem nieuzgodnione indywidualnie nie wiąż go, jeżeli kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy (niedozwolone postanowienia umowne).
Wykładnia funkcjonalna powołanego przepisu wskazuje, że za niedozwolone uznać należy postanowienia umowy zawieranej z konsumentem dopuszczające przeniesienie wierzytelności na osobę trzecią bez zgody konsumenta.
Zdaniem Generalnego Inspektora Ochrony Danych Osobowych, udostępnienie prze Spółkę danych osobowych nie było działaniem koniecznym do realizacji zawartej przez nią umowy. Tym samym, nie można przyjąć, iż przetwarzanie przedmiotowych danych było dopuszczalne na podstawie z art. 23 ust. 1 pkt 3 ustawy. Z tych samych względów podstawy prawnej udostępnienia danych osobowych p. M; S; nie stanowił również przepis art. 69 ust. 1 z dnia 21 lipca 200 r. Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852 z późn. zm.). W rozpatrywanej sprawie nie zachodzą również okoliczności wskazane art. 23 ust. 1 pkt 4 ustawy, gdyż nie chodzi w niej bowiem o przetwarzanie danych osobowych Skarżącej dla dobra publicznego.
W ocenie Generalnego Inspektora podstawą udostępniania przez R S.A. danych p. M. S. nie może być także, powołany przez Spółkę art.23 ust. 1 pkt 5 ustawy. Niewątpliwie za podjęte w prawnie usprawiedliwionym celu, w rozumieniu art. 23 ust. 1 pkt 5 ustawy, uznać należy, wskazane przez Spółkę, działania przedsiębiorcy, które zmierzają do dochodzenia i egzekwowania należności wobec kontrahenta. Niemniej jednak, aby działania powyższe można było zakwalifikować do kategorii prawnie usprawiedliwionego celu, powinny być one zgodne z prawem, natomiast zawarta przez Spółkę umowa przelewu wierzytelności, skutkująca udostępnieniem danych osobowych, w opinii Generalnego Inspektora, jest niezgodna z prawem. Ponadto w świetle art. 23 ust. 1 pkt 5 ustawy, aby dane działanie administratora danych mogło być uznane za legalne, powinno być ono podjęte nie tylko w prawnie usprawiedliwionym celu ale, co istotne, nie może naruszać praw i wolności osoby, której dane dotyczą. Udostępnianie przez Spółkę danych osobowych p. M. S. I. Sp. z o.o., zdaniem Generalnego Inspektora, narusza jej wolności i umniejsza gwarancje i prawa, jakie jej przysługują, jej, jako konsumentowi. W sytuacji, gdy Spółka nie dysponuje odpowiednimi środkami dla egzekucji należności, mogła ją powierzyć wyspecjalizowanej firmie windykacyjnej, na podstawie umowy z art. 31 ustawy. Zgodnie z jego treścią, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych, a podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (art. 31 ust. 1 i 2 ustawy). Gdyby zatem Spółka skorzystała z powyższej możliwości, nie byłoby podstaw do kwestionowania legalności udostępniania danych osobowych i ich przetwarzania przez firmę windykacyjną.
Spółka R.wniosła o ponowne rozpatrzenie sprawy i uchylenie wydanej decyzji jako niezgodnej z prawem oraz umorzenie postępowania ze względu na jego bezprzedmiotowość. W uzasadnieniu wniosku stwierdziła, iż nie zgadza się w całości z argumentacją przytoczoną w przedmiotowej decyzji i zarzuciła, że w postępowaniu poprzedzającym jej wydanie nie dokonano wyjaśnienia stanu faktycznego, co stanowi naruszenie jednej z zasad ogólnych postępowania administracyjnego. Zdaniem Spółki, decyzja została wydana z naruszeniem przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Spółka w szczególności podkreśliła, że dokonanae przez nią przetwarzanie danych osobowych p. M. S. , jest zgodne z prawem i oparte na przesłankach wskazanych w ustawie. W ocenie Spółki brak jest jakichkolwiek podstaw, aby przepisy dotyczące niedozwolonych zapisów umownych, stosować w odniesieniu do stanów faktycznych, w których zapis danego rodzaju w umowie, ani też we wzorcu umownym nie wystąpił, jak to ma miejsce w odniesieniu do umowy zawartej pomiędzy R.S.A. a p. M. S.. Spółka wskazała również, że nie ma podstaw , aby możliwość przelewu wierzytelności bez zgody wspólnika , która wynika bezpośrednio przepisu prawa, była traktowana jako niedozwolone postanowienie umowne.Ponadto, Spółka stwierdziła, że oczywistym staje się dopuszczalność przetwarzania danych osobowych p. M. S., w celu udostępniania ich w związku z przelewem wierzytelności, na podstawie art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy. Spółka zarzuciła także, że postępowanie dotyczyło danych p. P. S., zaś w decyzji przyjęto, że osoba, której prawa w zakresie ochrony danych osobowych zostały naruszone, jest p. M.S..
Generalny Inspektor Ochrony Danych Osobowych, po ponownym rozpatrzeniu sprawy, decyzją z dnia [...] kwietnia 2004 r. zaskarżoną decyzję utrzymał w mocy.
W uzasadnieniu wskazał m.in., że w rozpatrywanej sprawie umowa przelewu pozostaje w sprzeczności z przepisami art. 3851 § 1 i art. 3853 pkt 5 Kodeksu cywilnego, a to w świetle art. 590 § 1 kodeksu cywilnego powoduje niedopuszczalność cesji. Wskazane przepisy znajdują zastosowanie w przedmiotowej sprawie, p. M. S. zawarła z R.S.A. umowę o świadczenie usług telekomunikacyjnych jako konsument w rozumieniu art. 221 kodeksu cywilnego.
Generalny Inspektor uznał też, że umowa przelewu wierzytelności między RS.S.A. a I. kształtowała prawa i obowiązki p. M.S. w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jej interesy, co czyni ją nieważną (art. 58 § 1 kodeksu cywilnego).
W związku z powyższym stwierdził, że Spółka udostępniała dane osobowe p. M. S. bez podstawy prawnej. Za nieprawdziwy uznał zarzut Spółki, iż postępowanie dotyczyło danych osobowych P. S..
Powyższa decyzja stała się przedmiotem skargi Spółki - R. do Wojewódzkiego Sądu Administracyjnego w Warszawie i żądania uchylenia zaskarżonej decyzji oraz poprzedzającej ją decyzji z dnia[...]lutego 2004 r. z uwagi na ich niezgodność z prawem.
Wydanym decyzjom skarżąca zarzuciła naruszenie przepisów art. 23 ust. 1 - 3 i 5 ustawy o ochronie danych osobowych, art. 509 Kodeksu cywilnego, a także naruszenie przepisów o właściwości.
W obszernym uzasadnieniu skargi wskazano na wadliwe przyjęcie przez Głównego Inspektora Ochrony Danych Osobowych, że w omawianym stanie faktycznym nie znajduje zastosowania żadna z przesłanek legalizujących przetwarzanie danych osobowych.
Według skarżącej, wynikające ze wskazanych przepisów przesłanki legalizujące mają zastosowania niezależnie od czynności prawnej, z którą związane jest udostępnienie danych osobowych innemu podmiotowi. W związku z tym bez znaczenia pozostaje, czy przelew wierzytelności w stosunku do p. M. S. jest zgodny z prawem, czy też nastąpił z naruszeniem norm cywilnoprawnych, bowiem przekazanie danych osobowych znajdowało oparcie w przepisach art. 23 ust. 1 pkt 1 lub pkt 3 ustawy. Osoba, której dane osobowe podlegały przetwarzaniu wyraziła zgodę na wykorzystanie ich w celach wykorzystania przez operatora w działalności statutowej, a zatem także na dochodzenie roszczeń związanych z umową. W związku z powyższym dopuszczalne było przekazanie danych osobowych na podstawie zgody osoby której dane dotyczyły i to bez względu legalność umowy przelewu wierzytelności. Przetwarzanie danych odbyło się zatem w oparciu o art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych.
Zdaniem skarżącej, uznanie przez Generalnego Inspektora Ochrony Danych Osobowych, iż umowa przelewu wierzytelności jest nieważna z uwagi na naruszenie przepisów art. 3851 § 1 i art. 3853 pkt 5 Kodeksu cywilnego jest także nietrafne. Przepisy Kodeksu Cywilnego dotyczące niedozwolonych postanowień umownych ( art. 3851 - 3853 kc) regulują następstwa prawne stosowania przez profesjonalistę, zawierającego umowy z konsumentami, klauzul umownych kształtujących prawa i obowiązki konsumenta w sposób sprzeczny z dobrymi obyczajami i naruszający jego interesy. Skutkiem prawnym zastosowania zapisów umownych sprzecznych z dobrymi obyczajami i rażąco naruszających interesy konsumenta jest nie związanie konsumenta takimi zapisami, a co za tym idzie możliwość uchylenia się przez niego od następstw prawnych wynikających z niedozwolonego zapisu umowy, przy czym strony są nadal związane umową w pozostałym zakresie (art.3851 § 2 kc). Wyłącznie taki skutek przewidział ustawodawca dla sytuacji zastosowania w umowach konsumenckich niedozwolonych postanowień umownych, co zostało wyrażone jednoznacznie w powołanym przepisie. W ocenie skarżącej nie ma natomiast podstaw wnioskowanie, że zastosowanie tego typu klauzul powoduje nieważność czynności prawnej, przy której powstaniu wykorzystano wzorzec umowy je zawierający i wykładnia .taka przedstawiona przez GIODO w uzasadnieniu obydwu zaskarżonych decyzji, jest całkowicie sprzeczna z brzmieniem art. 385§ 2 kc. Przepis art. 509 kc zezwala na dokonanie przelewu wierzytelności bez zgody dłużnika o ile nie sprzeciwia się to ustawie, zastrzeżeniu umownemu lub właściwości zobowiązania. W opinii skarżącej z uwagi na szczególny skutek, jaki ustawodawca przewidział w art.. 3851 § 2 kc dla sytuacji zastosowania niedozwolonych klauzul umownych (możliwości uchylenia się przez konsumenta od ich następstw umownych) nie można wnosić, że przepis ten wyłącza stosowanie art. 509 kc w stosunkach konsumenckich. Przepisy dotyczące niedozwolonych zapisów umownych mają ściśle określony zakres normowania (ochrona przed zastosowaniem w umowach konsumenckich zapisów niezgodnych z dobrymi obyczajami i rażąco naruszającymi interes konsumenta), zakres normowania przepisów dotyczących przelewu wierzytelności jest całkowicie odmienny. Stąd też niedopuszczalne jest traktowanie art. 3851 kc, jako lex specialis w stosunku do art. 509 § 1 kc i bark jakichkolwiek podstaw , aby możliwość przelewu wierzytelności bez zgody dłużnika, która to możliwość wynika bezpośrednio z przepisu prawa, była traktowana jako niedozwolone postanowienie umowne. Przyjęcie takiego rozumowania musiałoby prowadzić do stwierdzenia, że treść art. 509§ 1 kc, zezwalającego na dokonanie przelewu wierzytelności bez zgody dłużnika, jest sprzeczna z dobrymi obyczajami i rażąco narusza interes konsumenta, co jest bez względu na stosowne reguły wykładni absolutnie niedopuszczalne.
Ponadto zdaniem skarżącej przepisy dotyczące niedozwolonych postanowień umownych znajdują zastosowanie jedynie w przypadku przyjęcia tego rodzaj klauzul w umowie. Brak zatem podstaw aby przepisy te stosować do stanów faktycznych , w których zapis tego rodzaju w umowie nie wystąpił, jak to ma miejsce w odniesieniu do umowy zawartej z p. M. S..
W ocenie skarżącej, Generalny Inspektor Ochrony Danych Osobowych przyjmując w zaskarżonej decyzji, iż w rozpatrywanej sprawie przepis art. 509 Kodeksu cywilnego nie może stanowić podstawy do udostępnienia danych, gdyż w związku z barkiem zgody dłużnika będącego konsumentem umowa przelewu jest nieważną czynnością prawną, dokonał w istocie oceny stosunku cywilnoprawnego i wiążącej wykładni przepisów prawa cywilnego dla potrzeb sprawy administracyjnej, do czego nie był uprawniony. Rozstrzygnięcie, co do ważności umowy przelewu w stosunkach z konsumentami oraz o sposobie stosowania przepisów dotyczących niedozwolonych klauzul umownych należy do sądów powszechnych, a z uwagi na konieczność rozstrzygnięcia tych kwestii przed wydaniem decyzji administracyjnej, należało je traktować jako zagadnienie wstępne w rozumieniu art. 57 § 1 pkt 4 kpa.
Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie i podtrzymał argumenty wskazane w uzasadnieniach decyzji. Jednocześnie za bezpodstawny uznał zarzut, iż dokonał rozstrzygnięcia w sprawie cywilnej, przez co uchybił przepisowi art. 12 ustawy o ochronie danych osobowych. Wskazał, iż mając na względzie okoliczności faktyczne i prawne przedmiotowej sprawy nie dokonywał wiążącej wykładni przepisów prawa cywilnego, ale badał, czy u postaw udostępnienia kwestionowanych danych znajdowała się jedna z przesłanek przetwarzania określonych w przepisach ustawy o ochronie danych osobowych (art. 23 ust. 1 ustawy), a w szczególności czy przesłanką taką, wobec twierdzeń Spółki, może być powołany przez nią przepis art. 509 Kodeksu cywilnego. W ocenie Generalnego Inspektora Ochrony Danych Osobowych przepis ten - wobec istnienia art. 3851 § 1 i następnych Kodeksu cywilnego - nie może być uznany za przesłankę legalizującą działanie Spółki i zostało to wykazane w zaskarżonej decyzji . Warunkiem wydania przez Generalnego Inspektora Ochrony Danych Osobowych decyzji administracyjnej nakazującej administratorowi określone zachowanie (działanie lub zaniechanie) jest bowiem stwierdzenie naruszenia przepisów o ochronie danych osobowych. W niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych koncentrował się zatem wyłącznie na badaniu istnienia ww. przesłanek, gdyż to właśnie istnienie lub brak kształtuje treść decyzji administracyjnych wydawanych przez organ, a nie na dokonywaniu wiążącej wykładni przepisów prawa. Nie wkroczył zatem w kompetencje sądu powszechnego, lecz wydał rozstrzygnięcia w zakresie naruszenia przepisów ustawy o ochronie danych osobowych.
Wojewódzki Sąd Administracyjny zważył, co następuje:
W myśl art. 1 § 1 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym, stosownie do § 2 tegoż przepisu, kontrola ta sprawowana jest pod względem zgodności z prawem zaskarżonej decyzji, jeżeli ustawy nie stanowią inaczej.
Skarga analizowana w aspekcie tych podstaw zasługuje na uwzględnienie.
Przede wszystkim ma rację skarżąca Spółka zarzucając Generalnemu Inspektorowi Ochrony Danych Osobowych, że za podstawę decyzji przyjął przepisy Kodeksu cywilnego i w sprawie administracyjnej dokonał oceny umowy przelewu wierzytelności stwierdzając, że jest ona nieważna, gdyż "nie spełnia warunków z art. 385 - § 1 w zw. z art. 3853 pkt 5 Kodeksu cywilnego". Tym samym Generalny Inspektor dokonał oceny stosunku cywilnoprawnego i wykładni przepisów prawa cywilnego dla potrzeb sprawy administracyjnej, do czego nie był uprawniony. Zgodnie z art. 18 ust. 1 ustawy o ochronie danych osobowych wydaje on decyzję nakazującą przywrócenie stanu zgodnego z prawem, jeżeli dojdzie do naruszenia przepisów o ochronie danych osobowych. Oczywiście może to być naruszenie przepisów ustawy z dnia 29 sierpnia 1997 r. O ochronie danych osobowych, a także innych przepisów, których celem jest ochrona danych . Z powyższego nie wynika jednak, że zakres kompetencji Generalnego Inspektora Ochrony Danych Osobowych przysługujących mu na podstawie powołanego wyżej art. 18 jest szerszy niż zakres zastosowania ustawy o ochronie danych osobowych (por. A. Drozd "Ustawa o ochronie danych osobowych, Komentarz, Wzory pism i przepisy", Wydawnictwo prawnicze, Warszawa 2004 r. str. 104). Orzeczenie, co do ważności umowy przelewu oraz w przedmiocie stosowania przepisów dotyczących niedozwolonych klauzul umownych, nie należy więc do organu administracyjnego.
Tym samym dla oceny legalności przetwarzania danych osobowych w rozstrzyganej sprawie właściwy jest wyłącznie przepis art. 23 ust 1 pkt 1 - 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zawierający katalog przesłanek uchylających zakaz przetwarzania danych osobowych.
W myśl stanowiącego podstawę prawną wydania zaskarżonej decyzji przepisu art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w brzmieniu obowiązującym w dacie jej wydania przetwarzanie danych osobowych jest dopuszczalne, gdy zezwalają na to przepisy prawa.
Oznacza, to, że jeżeli przepis prawa zezwala na przetwarzanie o osobie, to nie jest potrzebna zgoda tej osoby. Zgoda jest bowiem odrębną przesłanką legalności przetwarzania danych (art. 23 ust. 1 pkt 1 ustawy).
Wojewódzki Sąd Administracyjny w Warszawie uznał, iż powołany w zaskarżonej decyzji przepis prawa nie mógł stanowić podstawy nakazu nieudostępniania przez skarżącą danych osobowych p. M. S., gdyż w przepisie tym chodzi wyłącznie o zezwolenie wynikające z przepisu prawa, np. art. 14 ust 4 ustawy z dnia 6 kwietnia 1990 r. O Policji (tekst jednolity Dz. U. Z 2002 r. Nr 7, poz. 58 ze zm.), art. 69 ustawy z dnia 21 lipca 2000 r. Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 85 ze zm.).
Przepisem takim nie są natomiast regulacje zawarte w Kodeksie cywilnym, bowiem kodeks ten w ogóle nie normuje problematyki przetwarzania danych osobowych. Zaskarżona decyzja zawiera zatem wskazanie błędnej podstawy prawnej. W sprawie rozważenia wymaga jednak kwestia, czy przetwarzanie danych osobowych p. M.S. było dopuszczalne w świetle art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych w myśl którego przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 lub osób trzecich, którym są przekazywane te dane, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Z woli ustawodawcy za prawnie usprawiedliwiony cel, o którym mowa w przytoczonym przepisie, uważa się m.in. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy).
Nie ulega wątpliwości, że skarżąca nabyła wierzytelność w celu jej wyegzekwowania od p. M. S.. Tym samym uzyskane dane osobowe wyżej wymienionej są jej niezbędne dla dochodzenia roszczenia wynikającego z prowadzonej działalności gospodarczej. Konstatacja ta - w świetle regulacji zawartej w art. 23 ust. 4 pkt 2 ustawy przesądza o tym, że przetwarzanie danych osobowych p. M. S. jest skarżącej niezbędne do wypełnienia prawnie usprawiedliwionego celu.
Skoro tak, to pozostaje do rozważenia jedynie kwestia, czy w konkretnym wypadku przetwarzanie danych osobowych p. M. S. nie narusza jej praw i wolności.
Oceniając spełnienie tej przesłanki nie można nie dostrzegać zasadniczego celu ustawy o ochronie danych osobowych, wobec czego konieczne staje się odwołanie do dyrektyw wykładni funkcjonalnej i wykazania in concreto, że w ustalonym stanie faktycznym przetwarzanie danych osobowych godzi w prawa i wolności osoby, której one dotyczą.
W uzasadnieniu zaskarżonej decyzji oraz decyzji ją poprzedzającej Generalny Inspektor Ochrony Danych Osobowych odwołał się ogólnie do praw i wolności konsumentów, jednak nie przytoczył konkretnych argumentów świadczących o tym, że prawa i wolności p. M. S. doznały uszczerbku. Zaniechanie wyjaśnienia wszystkich istotnych dla rozstrzygnięcia sprawy okoliczności, a w szczególności tych okoliczności, które mogły mieć wpływ na ocenę wystąpienia w sprawie przesłanki określonej w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych pozwala na stwierdzenie, iż zaskarżone decyzje zostały wydane z naruszeniem zasad postępowania wyrażonych w art. 7, 77, 80 i 107 § 3 kpa.
Skoro w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych nie wykazał, że wskutek przelewu przez skarżącą wierzytelności w stosunku do p. M. S. doszło do naruszenia jej praw i wolności uznać należy, iż przetwarzanie jej danych osobowych było w świetle art. 23 ust. 1 pkt 5 ustawy dopuszczalne. Tym samym wydane w sprawie decyzje naruszają wskazany przepis prawa.
Podkreślić należy, iż zasadą powszechnie akceptowaną, wynikającą nie tylko z przepisów prawa cywilnego, lecz także z norm moralnych, zasad współżycia społecznego oraz dobrych obyczajów jest regulowanie zaciągniętych zobowiązań (zapłata długów). Zasada ta odnosi się w pełni do podmiotów prawa mających status konsumentów.
Gdyby doszło do wykonania zobowiązania przez p. S., nie wyłoniłby się w ogóle problem przetwarzania jej danych osobowych. Dłużnik, który nie wywiązuje się ze swoich zobowiązań, musi liczyć się z konsekwencjami wynikającymi z przepisów regulujących obrót gospodarczy. Postawa dłużnika nie może bowiem prowadzić do uprzywilejowania jego sytuacji prawnej. Gdyby generalnie uznać każdy wypadek przetwarzania danych osobowych dłużnika (będącego konsumentem) za godzący w jego prawa i wolności, doszłoby z jednej strony do niczym nieuzasadnionej ochrony osób niewywiązujących się ze swoich zobowiązań, z drugiej natomiast do naruszenia zasady swobody działalności gospodarczej, co z pewnością nie było zamiarem ustawodawcy przy uchwalaniu ustawy o ochronie danych osobowych.
Z tego względu Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a, c ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł jak w pkt 1 wyroku.
O zasądzeniu kosztów postępowania na rzecz skarżącej rozstrzygnięto na podstawie art. 200 powołanej ustawy oraz § 14 ust. 2 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności radców prawnych oraz ponoszonych przez Skarb Państwa kosztów pomocy prawnej udzielonej przez radcę prawnego ustanowionego z urzędu (Dz. U. Nr 163, poz. 1349 ze zm.).
O wykonalności decyzji do chwili uprawomocnienia się wyroku orzeczono na podstawie art. 152 powołanej ustawy - Prawo o postępowaniu przed sądami administracyjnymi.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 14.07.2026. · Źródło