II SA/Wa 1443/05
WyrokWSA w Warszawie2005-09-21
Skład orzekający: Stanisław Marek Pietras, Andrzej Kołodziej, Jacek Fronczyk
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy Generalny Inspektor Ochrony Danych Osobowych jest właściwy do badania dopuszczalności umowy przelewu wierzytelności na gruncie przepisów Kodeksu cywilnego w kontekście przetwarzania danych osobowych dłużnika?Ratio decidendi
Generalny Inspektor Ochrony Danych Osobowych nie jest właściwy do badania dopuszczalności umowy przelewu wierzytelności na gruncie przepisów Kodeksu cywilnego, gdyż jego kompetencje ograniczają się do oceny zgodności przetwarzania danych z przepisami ustawy o ochronie danych osobowych. Ocena ważności i skuteczności umowy przelewu należy do sądów powszechnych. W przypadku braku wykazania przez GIODO naruszenia praw i wolności osoby, której dane dotyczą, art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych mógł stanowić podstawę prawną przetwarzania danych.Stan faktyczny
Spółka E. S.A. przejęła wierzytelność od A. Sp. z o.o. wobec A. A. na podstawie umowy o przelew wierzytelności, uzyskując przy tym dane osobowe A. A. bez jego zgody. Generalny Inspektor Ochrony Danych Osobowych (GIODO) nakazał E. S.A. usunięcie tych danych, uznając ich przetwarzanie za nieuprawnione. E. S.A. złożyła skargę do WSA, zarzucając GIODO błędną wykładnię przepisów prawa cywilnego i ochrony danych osobowych.Rozstrzygnięcie
Wojewódzki Sąd Administracyjny w Warszawie uchylił zaskarżoną decyzję GIODO oraz poprzedzającą ją decyzję, zasądził od GIODO na rzecz E. S.A. zwrot kosztów postępowania i wstrzymał wykonanie zaskarżonej decyzji.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący: Sędzia WSA Stanisław Marek Pietras Asesor WSA Andrzej Kołodziej Asesor WSA Jacek Fronczyk (spr.) Protokolant: Agnieszka Kolasa po rozpoznaniu na rozprawie w dniu 21 września 2005 r. sprawy ze skargi E. S.A. z siedzibą w B. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [....] maja 2004r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] marca 2004r. nr [...] 2. zaskarżona decyzja nie podlega wykonaniu w całości; 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz E. S.A. z siedzibą w B. kwotę 455 zł (czterysta pięćdziesiąt pięć złotych) tytułem zwrotu kosztów postępowania.
W dniu 30 października 2003 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych została skierowana przez A. A. skarga, w której skarżący zwrócił się o zbadanie legalności udostępnienia przez A. Sp. z o.o. z siedzibą w W. jego danych osobowych podmiotowi zajmującemu się windykacją należności, tj. Spółce E. z siedzibą w B.
W toku postępowania administracyjnego Generalny Inspektor Ochrony Danych Osobowych ustalił, że w dniu 26 stycznia 1996 r. A. A. zawarł z A.Sp. z. o.o. umowę na dostarczanie sygnału telewizji kablowej do zajmowanego przez niego lokalu, która to umowa została następnie przez A. Sp. z o.o. rozwiązana z powodu zalegania przez skarżącego z płatnościami wynikającymi z jej realizacji.
W dniu 5 czerwca 2002 r. A. Sp. z o.o., na podstawie art. 509 i nast. ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.), zawarła umowę o przelew wierzytelności z E. S.A., na mocy której E. S.A. przejęła wierzytelności A. Sp. z o.o., w tym także wierzytelność wobec A. A.. W wyniku powyższej umowy E. S.A. uzyskała dane osobowe skarżącego, obejmujące nazwisko i imię oraz adres zamieszkania. Organ ustalił również, że A. A. nie wyrażał zgody na przekazanie przez A. Sp. z o.o. osobie trzeciej uprawnień wynikających z zawartej z nim umowy na dostarczanie sygnału telewizji kablowej.
W dniu [...] marca 2004 r. Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 104 § 1 ustaw z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 1 w związku z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) i art. 3851 § 1 w związku z art. 3853 pkt 5 Kc, wydał decyzję administracyjną, mocą której nakazał E. S.A. usunięcie danych osobowych A. A., pozyskanych w związku z przelewem wierzytelności, bez jego zgody [...].
W motywach rozstrzygnięcia organ podał, że E. S.A. przetwarza dane osobowe A. A. w sposób nieuprawniony, czym naruszyła przepisy ustawy o ochronie danych osobowych. GIODO wskazał, że zgodnie z art. 23 ust. 1 ustawy, administrator danych powinien legitymować się przynajmniej jedną z przesłanek przetwarzania danych enumeratywnie wymienionych w tym przepisie. Przetwarzanie danych osobowych jest dopuszczalne m.in. wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę (art. 23 ust. 1 pkt 1) lub gdy zezwalają na to przepisy prawa (art. 23 ust. 1 pkt 2) natomiast, w myśl przepisu art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych osobowych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel, o którym mowa powyżej, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy).
GIODO zaznaczył, że skarżący nie wyrażał zgody na przekazanie jego danych, zatem przepis art. 23 ust. 1 pkt 1 ustawy nie znajduje w ogóle zastosowania. Również przepis art. 23 ust. 1 pkt 2 nie może stanowić legalnej podstawy przetwarzania jego danych, gdyż przepis art. 509 Kc, na który powołuje się Spółka, zawiera jedynie upoważnienie na dokonanie cesji wierzytelności, natomiast nie stanowi podstawy prawnej dla udostępnienia E. S.A. danych osobowych A. A.. Skoro umowa na dostarczanie sygnału telewizji kablowej została zawarta w 1996 r., a do dnia 1 lipca 2000 r. nie została wykonana, to w oczywisty sposób znajdują zastosowanie przepisy ustawy z dnia 2 marca 2000 r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny (Dz. U. Nr 22, poz. 271 z późn. zm.), mocą której zmieniony został przepis art. 3851 § 1 Kc. Stanowi on, że postanowienia umowy zawieranej z konsumentem nieuzgodnione indywidualnie nie wiążą go, jeżeli kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy (niedozwolone postanowienia umowne). Natomiast, w myśl art. 3853 pkt 5 Kc w razie wątpliwości uważa się, że niedozwolonymi postanowieniami umownymi są te, które w szczególności zezwalają kontrahentowi konsumenta na przeniesienie praw i przekazanie obowiązków wynikających z umowy bez zgody konsumenta. Wykładnia funkcjonalna powołanych powyżej przepisów wskazuje, że za niedozwolone uznać należy postanowienia umowy zawieranej z konsumentem, dopuszczające przeniesienie wierzytelności na osobę trzecią bez zgody konsumenta. W sposób jednoznaczny uznać należy zatem, że zakaz przekazania obowiązków jest lex specialis wobec unormowania zezwalającego na cesję wierzytelności bez zgody konsumenta.
Odnosząc się do przepisu art. 23 ust. 1 pkt 5 ustawy, Generalny Inspektor Ochrony Danych Osobowych wskazał, iż z treści postanowień umowy na dostarczanie sygnału telewizji kablowej nie wynika, aby A. A. wyraził zgodę na udostępnienie jego danych osobowych innym niż A. Sp. z o.o. podmiotom. Wprawdzie ustawodawca zadecydował, iż przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 lub osób trzecich - w tym do dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej, jednak powyższe prawo nie jest nieograniczone. Organ skonstatował, że w myśl wskazanego przepisu przetwarzanie danych osobowych w powyższym celu jest dopuszczalne wtedy, gdy nie narusza praw i wolności osoby, której dane dotyczą.
Udostępnienie danych osobowych A. A. przez A. Sp. z o.o., w wyniku zawartej umowy przelewu wierzytelności, nie było niezbędne do dochodzenia roszczeń wynikających z umowy na dostarczanie sygnału telewizji kablowej, toteż nie znajduje również zastosowania przepis art. 23 ust. 1 pkt 5 przedmiotowej ustawy. W opinii Generalnego Inspektora udostępnienie przez A. Sp. z o.o. danych osobowych A. A. E. S.A. naruszyło jego prawa i wolności, dlatego też przepis ten nie może stanowić legalnej podstawy przetwarzania danych zainteresowanego.
E. S.A. złożyła wniosek o ponowne rozpatrzenie sprawy. We wniosku tym Spółka zażądała uchylenia decyzji jako niezgodnej z prawem. Wskazała, że organ powołuje się w swym rozstrzygnięciu na art. 3851 § 1 i art. 3853 pkt 5 Kc stwierdzając, że zbycie wierzytelności stanowiło niedozwoloną klauzulę umowną w umowie między A. A. a A. Sp. z o.o., podczas gdy art. 509 nie stanowi dla takiej transakcji zbycia wierzytelności dostatecznej podstawy prawnej. Zbycie wierzytelności bez zgody dłużnika przewidziane jest w ustawie, a nie w żadnej umowie. Nie można zatem mówić o przeniesieniu praw i obowiązków wynikających z umowy. Obrót wierzytelnościami jest prawnie dopuszczalny, zatem kwestia przetwarzania danych osobowych dłużnika, która z tym się wiąże podlega tej regulacji. Dodał, że A. A. nadal nie uregulował swego długu.
Po ponownym rozpatrzeniu sprawy Generalny Inspektor Ochrony Danych Osobowych, nie znajdując podstaw do uwzględnienia wniosku, wydał w dniu [...] maja 2004 r. decyzję [...], mocą której utrzymał swoją decyzję pierwszoinstancyjną nakazującą E. S.A. usunięcie danych osobowych A. A., przetwarzanych w związku z przelewem wierzytelności bez jego zgody.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9 czerwca 2004 r., złożonej za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych, E. S.A. wniosła o uchylenie decyzji GIODO oraz o zasądzenie kosztów postępowania. Zarzuciła organowi naruszenie prawa polegające na błędnej wykładni i niewłaściwym zastosowaniu przepisu art. 23 ust. 1 pkt 1 i 5 ustawy o ochronie danych osobowych oraz art. 3853 pkt 5 Kc. Zdaniem skarżącej, kluczowe znaczenie w niniejszej sprawie ma ustalenie, czy przekazanie danych A. A. nastąpiło na podstawie postanowienia zawartej z nim umowy, czy też na podstawie powszechnie obowiązującego prawa. W ocenie Spółki, podstawą prawną, zezwalającą na przelew wierzytelności był art. 509 Kc, zaś na gruncie ustawy o ochronie danych osobowych przepis art. 23 ust. 1 pkt 5, który jest legalną podstawą przetwarzania danych, gdyż pozwala realizować usprawiedliwiony cel administratora danych, którym w tym przypadku było prawo dochodzenia roszczeń z tytułu prowadzenia działalności gospodarczej.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując w uzasadnieniu swego stanowiska procesowego argumenty zaprezentowane w wydanych decyzjach.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonego aktu administracyjnego i to z przepisami obowiązującymi w dacie jego wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.
Skarga analizowana pod tym kątem zasługuje na uwzględnienie.
W niniejszej sprawie zawarta została pomiędzy A. Sp. z o.o. a E. S.A. umowa przelewu wierzytelności, na podstawie art. 509 § 1 Kc, z jednoczesnym udostępnieniem danych osobowych dłużników skarżącej. Celem tej transakcji, co jasno wynika z zawartej umowy, było przeniesienie wierzytelności, jednak dla realizacji celu podstawowego, było niezbędne jednoczesne przekazanie danych osobowych dłużników, w tym również A. A..
W tego rodzaju sprawach należy wyraźnie rozgraniczyć dwa aspekty, wynikające z różnych regulacji prawnych, albowiem zawarcie umowy przelewu wywołuje skutki prawne regulowane przepisami Kodeksu cywilnego i przepisami ustawy o ochronie danych osobowych. Ocena dopuszczalności, skuteczności czy też ważności umowy przelewu należy do sądów powszechnych, ewentualnie w niektórych jej aspektach, może być również przedmiotem zainteresowań Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Jest to aspekt cywilnoprawny tej sprawy, który nie może być przedmiotem zainteresowań organu administracji publicznej.
Oznacza to, że przedmiotem kontroli Generalnego Inspektora Ochrony Danych Osobowych, zgodnie z art. 12 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), powinna być jedynie zgodność przetwarzania danych z przepisami o ochronie danych osobowych. W tym konkretnym zaś przypadku kontrola ta powinna polegać na zbadaniu, czy w wyniku zawartej umowy przelewu wierzytelności, E. S.A. mogła przetwarzać dane osobowe A. A., zgodnie z przepisami ustawy o ochronie danych osobowych. GIODO nie jest natomiast uprawniony do badania dopuszczalności umowy przelewu wierzytelności, zgodnie z przepisami Kodeksu cywilnego, przekazującej dane osobowe A.. A., gdyż w tym przypadku organ administracji publicznej, jakim niewątpliwie jest GIODO, wykracza poza swoje ustawowo określone kompetencje. Dla GIODO zawarta umowa przeniesienia wierzytelności powinna być czynnością prawną nie podlegającą jego ocenie, wywołującą skutki prawne do czasu, dopóki nie zostanie zakwestionowana w formie i trybie przewidzianym przez prawo. Innymi słowy, przekazanie danych osobowych A. A., nastąpiło wprawdzie w wyniku zawartej pomiędzy skarżącą a A. Sp. z o.o. umowy, jednak dla oceny tego zdarzenia, z punktu widzenia przepisów ustawy o ochronie danych osobowych, nie jest konieczna ocena samej umowy, gdyż jej przedmiotem był przelew wierzytelności, a nie przetwarzanie danych osobowych. Dane osobowe były tu tylko elementem niezbędnym do wykonania tej umowy i jest to niejako efekt wtórny zawartej umowy. Mogą być jednak sytuacje, w których same dane osobowe, a ściślej ich przetwarzanie, jest przedmiotem umowy - transakcji, o czym stanowi art. 31 uodo.
"Przetwarzanie danych" (art. 7 pkt 2 uodo), zgodnie z określeniem ustawowym, stanowi szereg różnych operacji (działań, czynności), które mogą być dokonywane na danych osobowych, wyliczenie to jednak, nie stanowi katalogu zamkniętego czynności, które mogą prowadzić do pozyskania danych osobowych. Pozyskanie danych osobowych może mieć charakter pierwotny (bezpośrednio od osoby, której dane dotyczą), bądź wtórny (od innego podmiotu, niż osoba, której dane dotyczą). Jednak z punktu widzenia przepisów ustawy o ochronie danych osobowych, nie jest istotna forma pozyskania danych, lecz sam fakt wejścia w posiadanie danych osobowych i ocena tego w oparciu o przepisy tej ustawy (A. Mednis, Ustawa o ochronie danych osobowych, Komentarz, Wyd. Praw. Warszawa 1999, s.28).
Ponieważ ustawodawca nie określił w Kodeksie cywilnym, ani w ustawie o ochronie danych osobowych, w sposób szczególny wzajemnych relacji pomiędzy przepisami tych dwu ustaw, przyjąć zatem należy, że są to dwie autonomiczne jednocześnie obowiązujące regulacje prawne, rządzące się własnymi regułami, z założenia niekolidujące wzajemnie.
Dane osobowe mieszczą się w szeroko rozumianym pojęciu dóbr osobistych i jako takie, do czasu wejścia w życie przepisów ustawy o ochronie danych osobowych, podlegały ochronie na podstawie art. 23 i art. 24 Kc. Wejście w życie ustawy o ochronie danych osobowych, nie spowodowało uchylenia ani zmiany ww. przepisów Kodeksu cywilnego, gdyż te dopuszczają również ochronę wynikającą z innych przepisów, np. prawa karnego, prawa o wykroczeniach, czy też prawa administracyjnego. Tak więc ustawodawca celowo utrzymał (zachował) wielość form ochrony, opartych na różnych przepisach. Niektóre z nich, z uwagi na zastosowanie metody regulacji prawnej, mają charakter cywilnoprawny, inne zaś administracyjnoprawny. Wzajemna relacja przepisów Kodeksu cywilnego, w tym zakresie i innych przepisów, może polegać na kumulatywnym lub alternatywnym stosowaniu środków ochrony w nich przewidzianych, zależy to od osoby zainteresowanej (S. Dmowski, S. Rudnicki, Komentarz do kodeksu cywilnego, Księga pierwsza, część ogólna, Wyd. Praw. Lexis Nexis W-wa 2004, s. 102 i 114-115).
Przyjmując takie założenie, orzeczenie sądu powszechnego, oceniające na podstawie przepisów Kodeksu cywilnego, zawartą umowę, nie powoduje automatycznie konsekwencji na płaszczyźnie administracyjnoprawnej, czyli nie wpływa bezpośrednio na byt prawny aktu administracyjnego - decyzji wydanej przez GIODO w oparciu o przepisy ustawy o ochronie danych osobowych - i odwrotnie. Nie można przecież wykluczyć sytuacji, w których ocena samej umowy, z punktu widzenia przepisów Kodeksu cywilnego, może być negatywna, natomiast przetwarzanie danych w rozumieniu art. 7 pkt 2 uodo, w oparciu o przepisy ustawy o ochronie danych osobowych, może być ocenione pozytywnie jako nienaruszające przepisów o ochronie danych osobowych - i odwrotnie. Dlatego też, czym innym jest zgoda, o której mowa w przepisach art. 509 § 1, art. 3853 § 1 i art. 3853 pkt 5 Kc, a czym innym zgoda na przetwarzanie danych osoby, której dane dotyczą, w rozumieniu art. 23 ust. l pkt 1 uodo. Są to pojęcia równobrzmiące, jednak z uwagi na zamieszczenie ich w różnych przepisach i w różnych kontekstach, mają różne znaczenie i konsekwencje prawne. Zgoda, o której mowa w pierwszym przypadku podlega ocenie sądu powszechnego w oparciu o przepisy Kodeksu cywilnego, a zgoda, o której mowa w art. 23 ust. l pkt 1 uodo podlega ocenie GIODO i sądów administracyjnych - w oparciu o przepisy ustawy o ochronie danych osobowych. Mamy bowiem w rozpoznawanej sprawie do czynienia z dwiema czynnościami prawnymi: zawarciem umowy cywilnoprawnej i udostępnieniem danych osobowych, regulowanymi przepisami należącymi do dwu różnych gałęzi prawa (vide: wyrok Naczelnego Sądu Administracyjnego z dnia 16 grudnia 2004 r., sygn. akt OSK 829/04, niepublikowany).
Nie oznacza to jednak, że w sprawie administracyjnej w ogóle nie jest możliwe ocenianie znaczenia i skutków umowy dla potrzeb rozstrzygnięcia administracyjnego, jeśli prawo administracyjne odsyła do prawa cywilnego, o czym w dalszej części niniejszych rozważań.
Decyzje GIODO należy uznać za wadliwe, oparte na błędnych założeniach, tym samym większość tez zawartych w uzasadnieniach tych aktów jest bezużyteczna i zbędna w tym postępowaniu. Organ uznając za konieczne przesądzenie w pierwszej kolejności, czy było dopuszczalne zawarcie umowy na podstawie art. 509 § 1 Kc w świetle regulacji prawnych art. 3851 § 1 i art. 3853 pkt 5 Kc, przeniósł następnie dokonaną w tym zakresie ocenę na płaszczyznę art. 23 uodo, w którym zostały wymienione przesłanki dopuszczalności przetwarzania danych osobowych. Tymczasem wystarczyło dokonać oceny, czy dane osobowe A. A. przetwarzane są przez E. S.A. w oparciu o jedną chociażby z przesłanek wymienionych w art. 23 ust. l uodo.
Wszystkie zawarte w tym przepisie przesłanki są równorzędne i niezależne od siebie, a dla przesądzenia o tym, że przetwarzanie danych jest dopuszczalne, wystarczy wskazanie jednej z nich. Sąd celowo pomija w swych rozważaniach przesłanki z pkt. 1, 3 i 4 art. 23 ust. 1 uodo, albowiem w sposób oczywisty nie znajdują one zastosowania w niniejszej sprawie. Choć w skardze do Sądu E. S.A. wskazała jako podstawę udostępnienia danych osobowych A. A. przepisy art. 23 ust. l pkt 1 i 5 uodo, to jednak, zdaniem Sądu, przywołanie punktu pierwszego tego przepisu nie ma tu żadnego uzasadnienia i fakt ten należy traktować jako oczywistą omyłkę pisarską.
Sytuacja, w której przetwarzanie danych jest dopuszczalne, gdy "zezwalają na to przepisy prawa" (art. 23 ust. l pkt 2 uodo w brzmieniu sprzed dnia 1 maja 2004 r.), niezależnie od tego, jak ten warunek się rozumie, budzić on musi wiele wątpliwości z uwagi na to, że w większości źródeł powszechnie obowiązującego prawa w Polsce, nie ma w ogóle mowy o przetwarzaniu danych osobowych. W dużej części, jest to spowodowane zapewne tym, że ustawa o ochronie danych osobowych obowiązuje dopiero od ośmiu lat, zaś samą ustawą wprowadzono zmiany zaledwie w kilku regulacjach. Tymczasem w obrocie prawnym, w różnych dziedzinach i w różnym zakresie, dane osobowe - szczególnie te podstawowe, są w powszechnym użyciu. Nie można jednak przyjąć za dorozumiane istnienie takiego zezwolenia. Zezwolenie, o którym mowa w art. 23 ust. l pkt 2 uodo, musi być wyraźnie wyartykułowane w przepisach, bądź wynikać z ich kontekstu. Przepis art. 509 § 1 Kc nie zawiera w sobie zezwolenia, o którym mowa w art. 23 ust. l pkt 2 uodo, podobnie jak i inne przepisy tego Kodeksu. GIODO w zaskarżonej decyzji, jak i w decyzji ją poprzedzającej, wskazuje jako jedną z podstaw prawnych właśnie przepis art. 23 ust. 1 pkt 2 uodo, przy czym w uzasadnieniach stwierdza, że ta przesłanka nie ma w sprawie zastosowania. Przyjęcie takiej konstrukcji wskazuje na istnienie wewnętrznych sprzeczności w wydanych rozstrzygnięciach.
Brzmienie przepisu art. 23 ust. 1 pkt 2 uodo w odniesieniu do Dyrektywy 95/46 Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych, ujęte zostało zbyt szeroko. W związku z powyższym, mając na uwadze zalecenie Komisji Europejskiej, ustawą z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych (Dz. U. Nr 33, poz. 285), zmieniono brzmienie art. 23 ust. l pkt 2 uodo. Zgodnie z aktualnym brzmieniem tego przepisu, przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
W swych rozstrzygnięciach organ przyjął, że dochodzenie roszczeń jest prawnie usprawiedliwionym celem administratora danych, w związku z czym przetwarzanie danych (udostępnienie) jest dopuszczalne, jako niezbędne do realizacji tego celu, pod warunkiem jednak, że nie narusza to praw i wolności osoby, której dane dotyczą, w tym przypadku A. A. (przepis art. 23 ust. l pkt 5 uodo w brzmieniu sprzed dnia 1 maja 2004 r.). W sytuacji tak opisanej w art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 2 uodo, nie jest wymagana zgoda osoby, której dane dotyczą.
Sąd podziela pogląd, że dochodzenie roszczeń wynikających z prowadzonej działalności gospodarczej może być prawnie usprawiedliwionym celem administratora danych. Pytanie jednak, czy cel ten może rodzić potrzebę (niezbędność) przetwarzania danych osoby, której te roszczenia dotyczą, wobec ustawowego zastrzeżenia, zgodnie z którym w takiej sytuacji nie może dojść do naruszenia praw i wolności tej osoby. Innymi słowy, czy cel administratora danych uzasadnia niezbędność przetwarzania danych, a jeśli tak to, czy nie narusza to praw i wolności osoby, której dane dotyczą. Pozostaje więc do rozważenia, czy w rozpoznawanej sprawie, po stronie administratora danych cel uzasadniał niezbędność przetwarzania danych i czy w wyniku udostępnienia danych osobowych, zostały naruszone prawa i wolności A. A.
W ocenie GIODO, A. Sp. z o.o. nie mogła udostępnić firmie E. S.A. danych osobowych A. A., a w związku z tym E. S.A. nie mogła przetwarzać jego danych w oparciu o treść art. 23 ust. l pkt 5 uodo, ponieważ w świetle przepisów dotyczących umów konsumenckich dochodzi do pogorszenia jego sytuacji prawnej.
Obecna redakcja tego przepisu nie zmienia jego brzmienia w zakresie będącym przedmiotem zainteresowania. Przesłanka ta odnosi się wprost do administratora danych osobowych lub odbiorcy danych, którzy aby zrealizować prawnie dopuszczalne cele zmuszeni są przetwarzać dane osobowe, pod warunkiem jednak, że nie naruszy to praw i wolności osoby, której dane dotyczą.
Ustalenie, że administrator danych osobowych (odbiorca danych) realizuje cel prawnie usprawiedliwiony nie może przesądzić o dopuszczalności przetwarzania danych osobowych (udostępniania tych danych innemu podmiotowi) bez zgody osoby, której dane dotyczą. Konieczne jest zatem dokonanie oceny, czy jest to niezbędne dla realizacji tego celu, a co najważniejsze, dokonanie wyważenia interesów administratora danych, zwłaszcza w aspekcie prawa do prowadzenia działalności gospodarczej, prawa dochodzenia roszczeń i interesów osoby, której dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności. Z art. 1 uodo wynika, że każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 ustawy, dopuszczalne jest tylko ze względu na określone dobra i tylko w zakresie i trybie określonym ustawą. Realizacja prawnie usprawiedliwionego celu przez administratora danych w żadnym razie nie może naruszać praw i wolności osoby, której dane dotyczą. Zatem ocena ta ma służyć wyważeniu racji i interesów, z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes, aby jej dane osobowe nie były przetwarzane bez jej zgody, a z drugiej strony administratora danych, który ma także objęty ochroną prawną interes polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia, co w przypadku administratora danych, będącego wierzycielem, obejmuje jego prawo do uzyskania należnego świadczenia od dłużnika.
Przepisy ustawy z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz. 424 z późn. zm.) regulują zasady i tryb udostępniania przez przedsiębiorców informacji gospodarczych, a w tym i danych osobowych osób fizycznych, dotyczących wiarygodności płatniczej innych przedsiębiorców i konsumentów, w szczególności danych o zwłoce w wykonywaniu zobowiązań pieniężnych osobom trzecim nieoznaczonym w chwili przeznaczenia tych danych do udostępnienia. Przepisy tej ustawy dobitnie wskazują, że ochrona danych osobowych na podstawie ustawy o ochronie danych osobowych nie powinna być absolutyzowana, ponieważ jej przepisy muszą być stosowane i interpretowane łącznie z innymi przepisami ustawowymi służącymi ochronie także innych wartości (vide: wyrok Naczelnego Sądu Administracyjnego w składzie 7 sędziów z dnia 6 czerwca 2005 r., sygn. akt I OPS 2/05, niepublikowany).
W tym też znaczeniu rozstrzygnięcie organu administracyjnego korzystać będzie z innych regulacji, zwłaszcza gdy prawo administracyjne odsyła do innych gałęzi prawa (np. prawa cywilnego). W przypadku art. 23 ust. 1 pkt 5 uodo takie odesłanie ma miejsce.
Mówiąc o naruszeniu praw i wolności obywatelskich, należy odnieść się tu do katalogu tych praw i wolności szeroko uwzględnionych w Konstytucji RP, a mających swoje rozwinięcie w szeregu innych ustaw. Wskazać zatem należy, które z nich konkretnie zostały naruszone. Takiej egzemplifikacji GIODO nie dokonał, wskazując enigmatycznie, że nastąpiło pogorszenie sytuacji prawnej właściciela danych osobowych - A. A. (w świetle przepisów dotyczących umów konsumenckich). Ocena GIODO w tym przypadku odwołuje się do kryteriów pozaustawowych, nieznanych przepisowi art. 23 ust. l pkt 5 uodo. Jest więc dowolna i gołosłowna. Stwierdzenie, że nastąpiło pogorszenie sytuacji prawnej A. A. nie jest równoznaczne z naruszeniem praw i wolności obywatelskich, o czym mowa w ustawie.
Reasumując, skoro więc organ nie wykazał w sposób jednoznaczny, że zostały naruszone prawa i wolności A. A., to należy przyjąć, że art. 23 ust. l pkt 5 uodo mógł stanowić podstawę prawną przetwarzania jego danych osobowych. Okoliczność ta w głównej mierze przesądza o uwzględnieniu skargi.
Konsekwencją stwierdzenia, że dane osobowe były przetwarzane na podstawie art. 23 ust. l pkt 5 uodo, jest brak naruszenia przepisów o ochronie danych osobowych i w związku z tym brak przesłanek do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem. Oznacza to, że w sprawie doszło również do naruszenia art. 18 ust. l uodo w świetle samego rozstrzygnięcia - osnowy tej decyzji.
Decyzja administracyjna jako akt władczy (akt administracyjny) organu administracji publicznej w swojej podstawie prawnej, powinna przywoływać przepisy administracyjnego prawa materialnego i przepisy postępowania - najczęściej przepisy Kodeksu postępowania administracyjnego (art. 107 § 1 Kpa). Nie ma też chyba wątpliwości, że przepisy Kodeksu cywilnego, nie należą do przepisów prawa administracyjnego, a tym bardziej, że organy administracji publicznej, nie mogą się powoływać na nie w swoich rozstrzygnięciach. Rozstrzygnięcie sprawy administracyjnej, zawarte w osnowie decyzji, nie może też być odnoszone do warunków, wynikających z przepisów Kodeksu cywilnego, chyba żeby ustawodawca tak wyraźnie postanowił. Decyzja administracyjna wydana na podstawie art. 104 § 1 Kpa, powinna rozstrzygać sprawę co do jej istoty, jednak orzeczenie to musi być oparte na przepisach prawa administracyjnego, co wynika wprost z art. 19 i następnych Kpa. Decyzja administracyjna jest rozstrzygnięciem władczym organu administracji publicznej, opartym na konkretnym stanie faktycznym (art. 7, 77 § 1 Kpa), niezależnie od tego, czy ten stan jest zgodny z prawem, czy też nie. Samo rozstrzygnięcie zawarte w osnowie decyzji przesądza dopiero o tym, czy istniejący stan faktyczny (podjęte przez stronę działania) jest zgodny z prawem, czy też nie. Decyzje wydawane na podstawie art. 18 ust. l uodo, co wynika z jego brzmienia, mają na celu "przywrócenie stanu zgodnego z prawem", a więc z istoty swej, dotyczą sytuacji (przetwarzania danych), w których doszło do naruszenia przepisów o ochronie danych osobowych.
Ustawa o ochronie danych osobowych służy ochronie danych osobowych i przyjąć należy, że w tym zakresie ma charakter kompleksowy. Jeśli zasadą jest, że dane osobowe mogą być przetwarzane za zgodą osoby, której dotyczą, to wszelkie wyjątki od niej muszą być interpretowane ściśle. Ustawa wprowadza wiele rozwiązań, które umożliwiają swobodne i zarazem dopuszczalne przetwarzanie danych osobowych w różnych sytuacjach.
Z drugiej zaś strony, dokonując wykładni przepisów ustawy o ochronie danych osobowych należy również wziąć pod uwagę cele i podstawowe jej założenia, określone w art. 1 ust. 2, gdzie wskazano, iż przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich. Mając na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony własnej prywatności, ma swoje źródło w przepisach, art. 47, art. 49, art. 50 i art. 51 Konstytucji RP. W praktyce prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie.
Nie można też tak rozumieć przepisów ustawy, że udostępnienie danych osobowych dłużnika w celu windykacji należności, narusza dobro tej osoby, gdyż byłoby to niczym nieuzasadnione jej uprzywilejowanie. Zawierając umowę cywilnoprawną, należy liczyć się z jej konsekwencjami, a także z tym, że obowiązek wykonania umowy dotyczy jednej i drugiej strony, nawet jeżeli jedna z nich jest konsumentem. Ochrona dóbr jednych nie może się odbywać kosztem naruszania praw innych, co można pośrednio, bądź bezpośrednio wywieźć z wielu przepisów Konstytucji RP (art. 2, art. 22, art. 31 ust. 3, art. 32 ust. 1, art. 83).
Dokonując ponownej analizy sprawy, GIODO zobowiązany będzie przede wszystkim do rozważenia jej stanu faktycznego zgodnie z obowiązującym stanem prawnym oraz wydania rozstrzygnięcia w trybie administracyjnym, w oparciu o przepisy ustawy o ochronie danych osobowych z uwzględnieniem wszelkich aspektów ochrony dóbr, interesów i uprawnień odnoszących się do zainteresowanych w sprawie podmiotów.
Sąd zwraca również uwagę organu na konieczność zbadania prawidłowości w zakresie reprezentacji skarżącej Spółki. Zgodnie z Kodeksem spółek handlowych to zarząd, a nie rada nadzorcza, reprezentuje spółkę akcyjną na zewnątrz (w tym także udziela dalszych stosownych pełnomocnictw do jej reprezentowania). W aktach administracyjnych sprawy znajduje się pełnomocnictwo dla r. pr. J. M. N. do reprezentowania Spółki E. S.A. udzielone przez Przewodniczącego Rady Nadzorczej. Z pozostałych dokumentów nie wynika, że jest on do tego uprawniony (że został np. delegowany do czasowego pełnienia czynności Prezesa Zarządu).
Z uwagi na powyższe, Wojewódzki Sąd Administracyjny w Warszawie w oparciu o art. 145 § 1 pkt 1 lit. "a" i "c" ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.) orzekł, jak w sentencji wyroku. W oparciu o art. 152 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, Sąd wstrzymał wykonanie zaskarżonej decyzji w całości.
O kosztach orzeczono na podstawie art. 200, art. 205 § 2 i art. 209 ustawy - Prawo o postępowaniu przed sądami administracyjnymi. Sąd zasądzając na rzecz skarżącej Spółki kwotę 455 zł uwzględnił w niej wartość uiszczonego wpisu w wysokości 200 zł, 15 zł z tytułu poniesionej opłaty skarbowej od udzielonego pełnomocnictwa oraz wynagrodzenie pełnomocnika w kwocie 240 zł, zgodnie z § 14 ust. 2 pkt 1 lit. "c" rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności radców prawnych oraz ponoszenia przez Skarb Państwa kosztów pomocy prawnej udzielonej przez radcę prawnego ustanowionego z urzędu (Dz. U. Nr 163, poz. 1349 z późn. zm.).
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 14.07.2026. · Źródło