II SA/Wa 1069/09

WyrokWSA w Warszawie2010-01-08

Skład orzekający: Janusz Walawski, Joanna Kube, Sławomir Antoniuk

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy Generalny Inspektor Ochrony Danych Osobowych jest uprawniony do badania ważności i skuteczności umów cywilnoprawnych, w tym umów przelewu wierzytelności, w kontekście przetwarzania danych osobowych?
Ratio decidendi
Generalny Inspektor Ochrony Danych Osobowych nie jest uprawniony do badania ważności ani skuteczności umów cywilnoprawnych, w tym umów przelewu wierzytelności. Jego kompetencje ograniczają się do kontroli zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych. Badanie aspektów cywilnoprawnych umów, takich jak ich ważność, skuteczność, zasadność roszczeń czy istnienie długu, należy do wyłącznej kognicji sądów powszechnych. Przetwarzanie danych osobowych przez administratora lub odbiorcę danych w celu realizacji prawnie usprawiedliwionych celów, takich jak windykacja należności, jest dopuszczalne na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, o ile nie narusza praw i wolności osoby, której dane dotyczą, co wymaga wyważenia interesów.
Stan faktyczny
Skarżący B. T. złożył skargę na decyzję Generalnego Inspektora Ochrony Danych Osobowych (GIODO), która nakazała G. S.A. usunięcie uchybień w procesie przetwarzania danych osobowych skarżącego poprzez wypełnienie obowiązku informacyjnego. Skarżący zarzucił GIODO naruszenie prawa materialnego i przepisów proceduralnych, w tym błędne uznanie jego pozycji jako konsumenta, brak wskazania podstawy prawnej powiadomienia go o danych, naruszenie zasady równości stron, brak odniesienia się do pogorszenia jego sytuacji jako dłużnika oraz błędne ustalenie stanu faktycznego udostępnienia jego danych firmie U. GIODO utrzymał w mocy swoją poprzednią decyzję, wskazując, że nie jest uprawniony do badania ważności umów cywilnoprawnych ani zasadności roszczeń.
Rozstrzygnięcie
Oddalono skargę.

Pełny tekst orzeczenia

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA - Janusz Walawski (spr.), Sędziowie WSA - Joanna Kube, - Sławomir Antoniuk, Protokolant - Eliza Kusy, po rozpoznaniu na rozprawie w dniu 8 stycznia 2010 r. sprawy ze skargi B. T. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2009 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22, art. 23 ust. 1 pkt 5 oraz art. 25 ust. 1 pkt 2, 4 i 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), w dniu [...] lutego 2009 r. wydał decyzję nr [...] którą 1) nakazał G. S.A. z siedzibą w W. przy ul. [...] usunięcie uchybień w procesie przetwarzania danych osobowych B. T. zam. w G. przy ul. [...], poprzez wypełnienie wobec niego obowiązku informacyjnego, o którym mowa w: - art. 25 ust. 1 pkt 2 ustawy o ochronie danych osobowych, w części dot. poinformowania ww. o zakresie pozyskanych jego danych osobowych i o odbiorcach lub kategoriach odbiorców tych danych, - art. 25 ust. 1 pkt 4 powyżej powołanej ustawy, w części dotyczącej poinformowania B. T. o prawie dostępu do treści swoich danych oraz o prawie do ich poprawienia, - art. 25 ust. 1 pkt 5 przedmiotowej ustawy, poprzez poinformowanie ww. o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy o ochronie danych osobowych, 2) w pozostałym zakresie odmówił uwzględnienia wniosku. W uzasadnieniu decyzji Generalny Inspektor Ochrony Danych Osobowych podał, iż B. T. złożył do niego skargę na przetwarzanie jego danych osobowych przez O. Sp. z o. o. z siedzibą w W. przy ul. [...] oraz G. S.A. z siedzibą w W. przy ul. [...]. Skarżący wskazał, że pierwszy z podmiotów gospodarczych udostępnił drugiemu jego dane osobowe, a ten udostępnił jego dane komornikowi w G. oraz firmie U. z siedzibą w L. przy ul. [...]. Skarżący wniósł o wydanie decyzji zabraniającej przetwarzania jego danych osobowych oraz ich usunięcie przez G. S.A. Organ wskazał, że ustawa o ochronie danych osobowych nakłada na administratora danych obowiązek udzielenia osobie, której dane dotyczą, określonych informacji. W zależności od tego, czy dane zbierane są bezpośrednio od zainteresowanego, czy innego źródła, obowiązek ten wyznaczają art. 24 lub 25 powołanej ustawy. Skarżący nie udostępnił swoich danych osobowych G. S.A., tak więc w sprawie znajduje zastosowanie art. 25 ust. 1 przedmiotowej ustawy. Zgodnie z tym przepisem, w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców, 3) źródle danych, 4) prawie dostępu do treści swoich danych oraz ich poprawiania, 5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy. Organ podniósł, że z akt sprawy wynika, iż G. S.A. nie dopełniła wobec skarżącego obowiązku informacyjnego, określonego w art. 25 ust. 1 pkt 2, 4 i 5 ustawy o ochronie danych osobowych. Pismem z dnia 19 listopada 2002 r. powyżej określona spółka poinformowała bowiem skarżącego jedynie o adresie swojej siedziby i pełnej nazwie oraz o celu i źródle pozyskania danych, jednakże nie udzieliła mu informacji o zakresie pozyskanych danych, o odbiorcach lub kategoriach odbiorców tych danych, o prawie dostępu do treści swoich danych oraz ich poprawienia, a także o uprawnieniach, wynikających z art. 32 ust. 1 pkt 7 i 8 powołanej ustawy. W związku z powyższym, w ocenie organu, stosowne do dyspozycji zawartej w art. 18 ust. 1 ustawy o ochronie danych osobowych, celowe jest nakazanie G. S.A. usunięcie uchybień w procesie przetwarzania danych osobowych skarżącego poprzez wypełnienie wobec niego obowiązku informacyjnego, określonego w art. 25 ust. 1 pkt 2, 4 i 5 powołanej ustawy. Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz praw osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 powołanej ustawy). Przetwarzanie danych osobowych jest zgodne z prawem jedynie wówczas, gdy administrator danych legitymuje się posiadaniem co najmniej jednej, spośród wymienionych w art. 23 ust. 1 ustawy o ochronie danych osobowych, materialnych przesłanek dopuszczalności przetwarzania. Zdaniem organu, stosownie do art. 23 ust. 1 powołanej ustawy, przetwarzanie danych osobowych jest dopuszczalne m.in. wtedy, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 ustawy). Podstawę prawną udostępnienia G. S.A. przez O. Sp. z o. o. stanowił art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Przepis ten ściśle związany z art. 23 ust. 4 pkt 2 powołanej ustawy, zgodnie z którym za prawnie usprawiedliwiony cel uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Windykację wierzytelności należy uznać za realizację zarówno przez administratora (O. Sp. z o. o.), jak i odbiorcę danych (G. S.A.) prawnie usprawiedliwionego celu, który obejmuje prawo do uzyskania należnego świadczenia od dłużnika. Fakt, iż odbiorca danych pozyskał i przetwarza dane osobowe skarżącego w celu uzyskania od niego zapłaty z tytułu zawartej przez skarżącego z administratorem danych ugody, nabytej w drodze przelewu wierzytelności, stwierdzić również należy, że obecnie przetwarzanie danych osobowych skarżącego w zbiorze o nazwie "Baza Dłużników" przez odbiorcę danych znajduje uzasadnienie w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Generalny Inspektor Ochrony Danych Osobowych uznał, iż poza jego kompetencjami jest badanie, czy dochodzone od skarżącego należności pozostają bezsporne, co do zasady i wysokości. O ile taka wątpliwość istnieje, jej rozstrzygnięcie powinno nastąpić w trybie i na zasadach określonych w odrębnych przepisach, którymi niewątpliwie nie są przepisy ustawy o ochronie danych osobowych. Poza kompetencjami organu ochrony danych osobowych pozostaje również zagadnienie związane z badaniem ważności, czy też skuteczności, zawartej przez podmioty gospodarcze umowy przelewu wierzytelności. Do dokonywania oceny umów cywilnoprawnych, pod kątem ich legalności, właściwy jest wyłącznie sąd powszechny. Jeżeli w ocenie skarżącego, w wyniku przetwarzania danych osobowych, doszło do naruszenia jego dóbr osobistych, istnieje możliwość wytoczenia powództwa cywilnego. Organ podkreślił, że wszelkich roszczeń, związanych z naruszeniem tych dóbr, można dochodzić w trybie i na zasadach przewidzianych w ustawie z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz. U. Nr 43, poz. 296 z późn. zm.). B. T., od powyższej decyzji, złożył do Generalnego Inspektora Ochrony Danych Osobowych wniosek o ponowne rozpatrzenie sprawy. Zaskarżonej decyzji zarzucił, iż została wydana z "naruszeniem prawa materialnego zawartego w kc art. 509 par. 1, kpa art. 6,7,9,77 par. 4, art. 78 par. 1, 84 par. 1, 107 par. 1, 3" oraz jego "uprawnień wynikających z ustawy o ochronie danych osobowych poprzez: 1. Błędne uznanie mojej pozycji jako konsumenta w sporze z przedsiębiorcą. Wskazują na to przytaczane przez GIODO wyroki Sądów Administracyjnych, stanowiące podstawę wydania decyzji przez GIODO. Ja mam w tej sprawie status pracownika i należy w stosunku do mojej osoby uwzględnić także prawo pracy, a nie zapisy dotyczące konsumentów. 2. Brak wskazania podstawy prawnej, uznania za skuteczne, wypełnienia obowiązku nałożonego na administratora danych (G. S.A.) czyli skutecznego powiadomienia mnie przez osobę przetwarzającą moje dane osobowe, wskazanego w art. 25 ust. 1 pkt 1 (...). 3. Naruszenie zasady równości stron, poprzez brak podstaw do stwierdzenia zawartego w punkcie 2 stanu faktycznego ustalonego przez GIODO "2. W dniu 20 września 2002 r. O. Sp. z o. o. zawarła umowę przelewu ww. wierzytelności z G. S.A. (...). 4. GIODO nie odniósł się w ogóle do podnoszonego pogorszenia sytuacji dłużnika (...). 5. GIODO błędnie ustalił stan faktyczny udostępnienia moich danych osobowych osobie trzeciej: firmie U. która nigdy nie była moim dłużnikiem albo pracodawcą (...). 6. GIODO nie odniósł się do naruszenia prawa polegającego na udostępnieniu mojej osobie informacji osobowych innych osób (czego sobie nie życzyłem) oraz nie wyjaśnił w ogóle, czy moje dane osobowe udostępniono innym osobom przekazując im treść rzekomej umowy przelewu wierzytelności. 7. GIODO, nie ustalił, kto był winny naruszenia moich praw zgodnie z ustawą o ochronie danych osobowych w zakresie nadania prawomocnej klauzuli wykonalności na nieprawomocnym postanowieniu sądu powszechnego pierwszej instancji (...)". Podnosząc powyższe zarzuty, B. T. wezwał organ do podjęcia działań, mających na celu ochronę jego praw, naruszonych w sposób opisany powyżej oraz o ustalenie winnych tego naruszenia. Generalny Inspektor Ochrony Danych Osobowych, po rozpoznaniu wniosku o ponowne rozpatrzenie sprawy, na podstawie art. 138 § 1 pkt 1 Kpa, art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22, art. 23 ust. 1 pkt 5 oraz art. 25 ust. 1 pkt 2, 4 i 5 ustawy o ochronie danych osobowych, w dniu [...] maja 2009 r. wydał decyzję nr [...], którą utrzymał w mocy decyzję poprzedzającą. W uzasadnieniu decyzji organ odniósł się do zarzutów, podniesionych przez skarżącego we wniosku o ponowne rozpatrzenie sprawy. Organ stwierdził, iż wbrew twierdzeniu skarżącego, że został błędnie uznany za konsumenta w sporze z przedsiębiorcą, takie ustalenia nie zostały poczynione. Z punktu widzenia przepisów o ochronie danych osobowych bez znaczenia jest, czy skarżący posiada status pracownika, czy też konsumenta. Zdaniem organu, skoro skarżący posiadał wiedzę w zakresie określonym w art. 25 ust. 1 pkt 1 ustawy o ochronie danych osobowych, to wydanie decyzji nakazującej G. S.A. udzielenie skarżącemu informacji, określonych w tym przepisie, byłoby niecelowe. Organ ponownie podał, iż poza jego kompetencjami pozostaje badanie ważności, czy też skuteczności zawartej pomiędzy podmiotami gospodarczymi umowy przelewu wierzytelności i w tym zakresie powołał się na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 6 lipca 2006 r. sygn. akt II SA/Wa 2226/05. Sąd stwierdził w tym wyroku, że "dopóki ważność umowy nie zostanie podważona we właściwym trybie i formie, umowa stanowi dokument wywołujący określone skutki prawne podlegające także ocenie w świetle ustawy o ochronie danych osobowych." Organ stwierdził, iż nie jest uprawniony do badania umowy przelewu wierzytelności pod kątem pogorszenia sytuacji dłużnika (skarżącego), gdyż jest to uprawnienie zastrzeżone dla sądu powszechnego, po wniesieniu stosownego powództwa. Odnosząc się do zarzutu skarżącego, że Generalny Inspektor Ochrony Danych Osobowych nie odniósł się do "podnoszonego pogorszenia sytuacji dłużnika", organ podał, iż jego kompetencje zostały określone w art. 12 powołanej ustawy. Natomiast ocena umowy przelewu wierzytelności pod kątem pogorszenia sytuacji dłużnika należy do kompetencji sądu powszechnego, po wniesieniu stosownego powództwa. Ustosunkowując się do zarzutu, że "GIODO błędnie ustalił stan faktyczny udostępnienia moich danych osobowych osobie trzeciej: firmie U, organ stwierdził, że zarzut ten jest niezrozumiały, bowiem z załączonych przez skarżącego do skargi dokumentów wynika, iż pismem z dnia 22 lipca 2008 r. komornik sądowy przy Sądzie Rejonowym w G. poinformował skarżącego, że na wniosek wierzyciela G., zajął wierzytelność należną skarżącemu od U. Odnosząc się do zarzutu skarżącego, iż "GIODO nie odniósł się do naruszenia prawa polegającego na udostępnieniu mojej osobie informacji osobowych innych osób (...) oraz nie wyjaśnił czy moje dane osobowe udostępniono innym osobom przekazując im treść rzekomej umowy przelewu wierzytelności", organ podał, że zgodnie z art. 353 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 1964 r. Nr 16, poz. 93 z późn. zm.), strony zawierające umowę mogą ułożyć stosunek prawny według swego uznania, byleby jego treść lub cel nie sprzeciwiały się właściwości (naturze) stosunku, ustawie ani zasadom współżycia społecznego. Strony zawierające umowy mogą dowolnie kształtować ich treść, natomiast Generalny Inspektor Ochrony Danych Osobowych nie jest uprawniony do badania, czy też ingerowania w treść zawieranych przez strony umów. Generalny Inspektor Ochrony Danych Osobowych, odnosząc się do zarzutu skarżącego, iż "GIODO nie ustalił, kto był winny naruszenia moich praw zgodnie z ustawą o ochronie danych osobowych w zakresie nadania prawomocnej klauzuli wykonalności na nieprawomocnym postanowieniu sądu powszechnego pierwszej instancji", wskazał, iż nie jest uprawniony do zbadania, czy nadanie tej klauzuli było zgodne z prawem, gdyż podjęcie działania w tym zakresie byłoby ingerencją w uprawnienia innych organów. Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2009 r. stała się przedmiotem skargi wniesionej przez B. T. do Wojewódzkiego Sądu Administracyjnego w Warszawie. Skarżący w skardze zarzucił, że zaskarżona decyzja została wydana "z naruszeniem prawa zawartego w kc. 509 par. 1, kpa art. 6, 7, 9 ,77 par. 4, art. 78 par. 1, 84 par. 1, art. 107 par. 1, 3 oraz moich uprawnień wynikających z ustawy o ochronie danych osobowych". Podnosząc powyższe zarzuty skarżący wniósł o uchylenie: " 1. decyzji i nakazanie ponownego rozpatrzenia mojej skargi i uwzględnienia moich zarzutów w wniesionych w oparciu o konkretne przepisy prawa a nie własne opinie GIODO. 2. zdania 18 od góry na stronie 4 decyzji z dnia [...].05.2009 zawierającego brzmienie: ".. w sytuacji, gdy Skarżący uchyla się od odebrania .. korespondencji" i zakazanie posługiwania się GIODO wobec mnie takim zwrotem ponieważ narusza ono moje dobra osobiste". W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko przedstawione w uzasadnieniu zaskarżonej decyzji. Uczestnik postępowania, G. S.A., wniósł o oddalenie skargi. Skarżący w piśmie procesowym z dnia 3 czerwca 2009 r., stanowiącym odpowiedź na pismo GIODO z dnia 8 lipca 2009 r. (odpowiedź na skargę), podtrzymał skargę w całości, twierdząc, iż jest ona uzasadniona i wskazał w niej szczegółowo przepisy, na podstawie których została ona oparta. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje: Zgodnie z art. 1 i art. 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 z późn. zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta sprawowana jest pod względem zgodności z prawem. Oznacza to, iż przedmiotem sprawy jest ocena przez Sąd prawidłowości prowadzonego przez organ administracji publicznej postępowania administracyjnego oraz wydanego w tym postępowaniu rozstrzygnięcia. Skarga nie może zostać uwzględniona, gdyż zaskarżona decyzja jest zgodna z prawem, obowiązującym w dniu jej wydania. Na wstępie należy podkreślić, że przedmiotem niniejszego postępowania jest wyłącznie kontrola decyzji Generalnego Inspektora Ochrony Danych Osobowych w przedmiocie pozyskania i przetwarzania danych osobowych skarżącego przez uczestnika postępowania – G. S.A. z siedzibą w W. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) reguluje zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Powołana ustawa w art. 12 określa kompetencje Generalnego Inspektora Ochrony Danych Osobowych. Zgodnie z tym przepisem do zadań Generalnego Inspektora należy w szczególności: 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, 4) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, 5) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, 6) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. Przytoczony powyżej przepis statuuje główne zadania i kompetencje Generalnego Inspektora Ochrony Danych Osobowych, który pełni zarówno funkcję organu kontrolującego zgodność przetwarzania danych osobowych stosownie z obowiązującymi przepisami, rzecznika interesów poszczególnych osób i interesów publicznych, jak i organu, który w tym zakresie został wyposażony we władcze kompetencje wydawania decyzji administracyjnych i rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych. Należy podkreślić, że z tego przepisu nie wynikają uprawnienia dla Generalnego Inspektora Ochrony Danych Osobowych do ingerowania w określone ustawowo kompetencje innych organów (sądów), wkraczania w prowadzone - w zakresie ich właściwości - postępowania i dokonywania merytorycznej oceny poszczególnych czynności, wykonywanych w ramach tych postępowań. Generalny Inspektor Ochrony Danych Osobowych nie dokonuje oceny umów cywilnoprawnych, nie bada także zasadności roszczeń, ani wymagalności wierzytelności. Nie może także oceniać prawidłowości wykonywania umów, wprowadzania do nich zmian, nie ma prawa kontrolować podstaw ich wypowiadania, czy rozwiązywania. Dotyczy to wszelkich umów cywilnoprawnych, w tym także umów przelewu wierzytelności. Problematyka ta podlega bowiem kognicji sądów powszechnych, ze względu na ich aspekt cywilnoprawny. Tym samym wszelkie zarzuty związane z prawem cywilnym, zawarte w skardze i piśmie procesowym skarżącego z dnia 3 czerwca 2009 r., należy uznać za bezzasadne, nie mające związku z meritum sprawy administracyjnej. Przedmiotem kontroli Generalnego Inspektora Ochrony Danych Osobowych, w świetle art. 12 pkt 1 ustawy o ochronie danych osobowych, jest zgodność przetwarzania danych z przepisami o ochronie danych osobowych. W niniejszej sprawie kontrola ta powinna polegać na zbadaniu, czy w wyniku zawartej umowy przelewu wierzytelności, uczestnik postępowania – G. S.A. - mogła przetwarzać dane osobowe skarżącego, przekazane w drodze umowy przelewu wierzytelności z dnia 20 września 2002 r. przez O. Sp. z o. o. i czy przekazanie danych odbyło się zgodnie z przepisami ustawy o ochronie danych osobowych. Generalny Inspektor Ochrony Danych Osobowych nie jest natomiast uprawniony do badania zgodności umów cywilnoprawnych z przepisami Kodeksu cywilnego. Nie może więc badać, czy umowa jest ważna i prawnie skuteczna, gdyż w tym przypadku organ administracji publicznej, jakim niewątpliwie jest Generalny Inspektor Ochrony Danych Osobowych, wykraczałby poza swoje ustawowo określone kompetencje. Tym bardziej, organ nie mógł się wypowiadać w kwestii istnienia, bądź nieistnienia długu, jak i obowiązku jego zwrotu. Dla Generalnego Inspektora Ochrony Danych Osobowych zawarta umowa powinna być czynnością prawną nie podlegającą jego ocenie, wywołującą skutki prawne do czasu, dopóki nie zostanie zakwestionowana w formie i trybie przewidzianym przez prawo. Uznanie skarżącego przez uczestnika postępowania - G. S.A. - za jego dłużnika nie mogło podlegać jakiejkolwiek kontroli ze strony Generalnego Inspektora Ochrony Danych Osobowych. Organ nie mógł badać zasadności roszczeń, zobowiązany był natomiast uwzględnić okoliczność istnienia roszczeń, jako jednego z elementów stanu faktycznego sprawy. Generalny Inspektor Ochrony Danych Osobowych miał więc ocenić legalność przetwarzania danych osobowych skarżącego przez uczestnika postępowania - G. S.A. - w zaistniałym stanie faktycznym, co też uczynił. Organ prawidłowo ustalił, że uczestnik postępowania - G. S.A. - mogła legalnie przetwarzać dane osobowe skarżącego, w świetle ustawy o ochronie danych osobowych. Legitymacja ta wynikała bowiem z zawartej umowy przelewu wierzytelności. Zgodnie z art. 1 ust. 2 ustawy o ochronie danych osobowych, przysługujące każdemu prawo do ochrony dotyczących jego danych osobowych nie ma charakteru absolutnego, bowiem przetwarzanie danych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. Stosownie zaś do art. 7 pkt 2 powołanej ustawy, przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Przesłanki dopuszczalności przetwarzania danych osobowych zostały określone w art. 23 ust. 1 przedmiotowej ustawy. Przetwarzanie danych osobowych jest więc dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę; 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; 3) jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; 5) jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Powyższe przesłanki mają charakter autonomiczny i niezależny. Wystarczy zatem wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych. W związku z zawartą umową przelewu wierzytelności, uczestnik postępowania - G. S.A. - mogła legalnie przetwarzać dane skarżącego, w oparciu o przesłankę z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Jak już zostało wspomniane wcześniej, przesłanki z art. 23 ust. 1 przedmiotowej ustawy mają charakter autonomiczny i niezależny. Stanowią przy tym swoistą gradację podstaw legalnego przetwarzania danych osobowych, poczynając od zgody osoby, której dane dotyczą, kończąc zaś na usprawiedliwionych celach administratorów danych lub odbiorców danych. Wystarczy zatem wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. W rozpoznawanej sprawie istota sporu dotyczy tego, czy art. 23 ust. 1 pkt 5 przedmiotowej ustawy pozwalał uczestnikowi postępowania, jako administratorowi danych osobowych, na ich przetwarzanie przez udostępnienie innemu podmiotowi bez zgody skarżącego, jego danych osobowych. Przesłanka, określona w tym przepisie odnosi się bowiem wprost do administratora lub odbiorcy, którzy - aby zrealizować prawnie dopuszczalny cel - zobowiązani są udostępnić dane osobowe, po spełnieniu warunku, że nie dojdzie do naruszenia praw i wolności osoby, której dane dotyczą. Ocena ta, to wyważenie racji i interesów, z jednej strony tej osoby, której dane dotyczą, a z drugiej strony administratora danych, będącego w niniejszej sprawie wierzycielem. Oznacza to, że w przypadku przetwarzania danych osobowych przez administratora, bez zgody osoby, której dane osobowe dotyczą, należy przede wszystkim ustalić i ocenić, czy spełniona jest ustawowa przesłanka do przetwarzania danych osobowych bez zgody osoby, której dane dotyczą, a następnie dokonać oceny spornych interesów. Zdaniem Sądu, organ dokonał takiej oceny. Interpretując przepisy ustawy o ochronie danych osobowych, należy za każdym razem wyważać dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony własnej prywatności, ma swoje źródło w przepisach art. 47, art. 49, art. 50 i art. 51 Konstytucji RP. W praktyce prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie. Nie można też tak rozumieć przepisów ustawy, że udostępnienie danych osobowych dłużnika w celu windykacji należności, narusza dobro tej osoby, gdyż byłoby to niczym nieuzasadnione jej uprzywilejowanie. Zawierając umowę cywilnoprawną, należy liczyć się z jej konsekwencjami, a także z tym, że obowiązek wykonania umowy dotyczy jednej i drugiej strony, nawet jeżeli jedna z nich jest konsumentem. Ochrona dóbr jednych nie może się odbywać kosztem naruszania praw innych, co można pośrednio, bądź bezpośrednio wywieść z wielu przepisów Konstytucji RP (art. 2, art. 22, art. 31 ust. 3, art. 32 ust. 1, art. 83) (por. wyrok WSA w Warszawie z dnia 21 września 2005 r. sygn. akt II SA/ Wa 1443/09). W takim stanie sprawy nie można podzielić zarzutów, podniesionych w skardze, a w szczególności naruszenia wskazanych w niej przepisów. Z samego bowiem faktu, że decyzja jest niekorzystna dla strony, nie można wyprowadzać wniosku o łamaniu tych przepisów. Niezadowolenie skarżącego z wydanej decyzji wyraża jedynie jego subiektywne odczucia, natomiast poddanie decyzji kontroli instancyjnej oraz sądowej umożliwia weryfikację rozstrzygnięcia nie tylko w aspekcie zastosowanych norm prawa materialnego, ale także przepisów proceduralnych, w tym w szczególności zasad procesowych, których naruszenia Sąd nie stwierdził. Zarówno argumentacja skargi, jak i analiza akt sprawy nie ujawniły wad, które mogłyby mieć istotny wpływ na rozstrzygnięcie. Reasumując, przeprowadzona przez Sąd kontrola legalności wydanych w sprawie decyzji wykazuje, że przetwarzanie danych osobowych skarżącego było zgodne z przepisami ustawy o ochronie danych osobowych, zatem wydane w sprawie decyzje należy uznać za prawidłowe. Z uwagi na powyższe, nie mając podstaw do uwzględnienia skargi, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.), orzekł, jak w sentencji.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 14.07.2026. · Źródło