II SA/Wa 1288/13
WyrokWSA w Warszawie2014-01-16
Skład orzekający: Andrzej Kołodziej, Sławomir Fularski, Ewa Grochowska - Jung
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy Generalny Inspektor Ochrony Danych Osobowych jest właściwy do oceny ważności umowy cywilnoprawnej (umowy sprzedaży wierzytelności) w kontekście przetwarzania danych osobowych dłużnika, a także czy przekazanie danych osobowych dłużnika nabywcy wierzytelności w celu dochodzenia roszczeń jest zgodne z ustawą o ochronie danych osobowych i prawem telekomunikacyjnym?Ratio decidendi
Generalny Inspektor Ochrony Danych Osobowych nie jest właściwy do oceny ważności umów cywilnoprawnych, gdyż kompetencje w tym zakresie posiadają sądy powszechne. Przekazanie danych osobowych dłużnika nabywcy wierzytelności w celu dochodzenia roszczeń, w tym danych takich jak NIP, PESEL i numer dowodu osobistego, jest dopuszczalne na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, jako niezbędne do wypełnienia prawnie usprawiedliwionych celów (dochodzenie roszczeń), a także zgodne z przepisami prawa telekomunikacyjnego, jeśli dotyczy to zobowiązań zaciągniętych w ramach działalności gospodarczej.Stan faktyczny
Skarżący C. P. złożył skargę na decyzję Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dotyczącą przetwarzania jego danych osobowych. Skarżący zarzucił, że jego dane osobowe (NIP, PESEL, numer dowodu osobistego) zostały przekazane przez poprzedniego operatora telekomunikacyjnego (P. S.A.) firmie windykacyjnej (U. Sp. z o.o.) bez jego zgody, co naruszało tajemnicę telekomunikacyjną. GIODO odmówił uwzględnienia wniosku, uznając, że przekazanie danych było dopuszczalne na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, jako niezbędne do dochodzenia roszczeń wynikających z umowy sprzedaży wierzytelności, a sam organ nie jest właściwy do oceny ważności umów cywilnoprawnych.Rozstrzygnięcie
Oddalono skargę.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej Sędziowie WSA Sławomir Fularski Ewa Grochowska - Jung (spr.) Protokolant starszy referent Marcin Borkowski po rozpoznaniu na rozprawie w dniu 16 stycznia 2014 r. sprawy ze skargi C. P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2013 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] maja 2013 r. nr [...] wydaną na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2013 r. poz. 267) oraz art. 12 pkt 2, art. 22 i art. 23 ust. 1 pkt 5 i art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), po rozpoznaniu wniosku C. P., utrzymał w mocy swoją wcześniejszą decyzję z dnia [...] stycznia 2013 r. nr [...] dotyczącą przetwarzania danych osobowych skarżącego. Do wydania decyzji doszło w następującym stanie faktycznym i prawnym. Pismem z dnia [...] maja 2012 r. C. P. wystąpił do Biura Generalnego Inspektora Ochrony Danych Osobowych ze skargą na przekazanie jego danych osobowych przez P. S.A. z siedzibą w W. przy [...], zwaną dalej [...], na rzecz U., dla której obsługę wierzytelności prowadzi U. Sp. z o.o. z siedzibą w W. przy [...], zwana dalej U. Skarżący wniósł o “przeprowadzenie kontroli a następnie wydanie decyzji GIODO w zakresie usunięcie uchybień, zabezpieczenie danych, zastosowanie środków zabezpieczających dane oraz skorzystania z uprawnień wynikłych z art. 19 ustawy o ochronie danych osobowych''. Skarżący wskazał, że od [...] marca 1997 r. był klientem [...] [...] jako przedsiębiorca prowadzący działalność gospodarczą pod firmą [...] C. P. W roku 2004 umowa z [...] została rozwiązana, a następnie otrzymał zawiadomienie z dnia [...] marca 2007 r. o podpisaniu umowy przelewu wierzytelności wobec [...] C. P. na rzecz U. Oprócz danych publicznych identyfikujących przedsiębiorcę, określonych w załączonym wpisie do ewidencji działalności gospodarczej oraz w bazie REGON oraz danych identyfikujących wierzytelność [...] przekazał zagranicznej firmie windykacyjnej informacje poufne, na których przekazanie nie wyraził zgody, takie jak numer NIP, PESEL oraz numer dowodu osobistego. Tym samym, zdaniem skarżącego, doszło do naruszenia przez [...] S.A. tajemnicy telekomunikacyjnej chronionej w oparciu o art. 161 i art. 159 prawa telekomunikacyjnego.
W wyniku prowadzonego postępowania Generalny Inspektor Ochrony Danych Osobowych ustalił, że skarżący był klientem [...] od 1997 r. do 2004 r. Pismem z dnia [...] października 2004 r. Spółka rozwiązała z nim umowę o świadczenie usług telekomunikacyjnych ze skutkiem natychmiastowym w związku z zaległością na koncie abonenckim. Dane osobowe skarżącego w zakresie firmy prowadzonej działalności gospodarczej, imienia i nazwiska skarżącego, daty urodzenia numeru ewidencyjnego PESEL, numeru dowodu osobistego, adresu zameldowania lub zamieszkania oraz numeru telefonu U. Spółka z o.o. w W. uzyskała od U. S.A. z siedzibą w L. na podstawie umowy sprzedaży wierzytelności zawartej w dniu [...] marca 2007 r. o oświadczenie usług windykacyjnych i administrowanie portfelami wierzytelności, na mocy której doszło do przeniesienia na Spółkę wierzytelności wobec skarżącego jako osoby prowadzącej działalność gospodarczą.
Decyzją z dnia [...] stycznia 2013 r. Generalny Inspektor Ochrony Danych Osobowych odmówił uwzględnienia wniosku skarżącego, uznając, że nie jest właściwy do zbadania kwestii istnienia lub nieistnienia wierzytelności.
Podkreślił natomiast, że działając na podstawie i w granicach ustawowych kompetencji przyznanych mu ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych może zbadać, czy u podstaw przetwarzania przez Spółkę danych osobowych skarżącego znajdowała się co najmniej jedna, spośród wymienionych w art. 23 ust. 1 ustawy, przesłanka dopuszczalności przetwarzania danych. Stosownie do 23 ust. 1 ustawy, przetwarzanie danych jest dopuszczalne gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Organ wyjaśnił, że zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z ustawą, również wówczas, gdy administrator danych wykaże spełnienie jednej z wyżej wymienionych przesłanek.
Odnosząc się do kwestii udostępnienia danych osobowych skarżącego przez [...] na rzecz U. S.A. z siedzibą w L. Organ wskazał, że przekazanie to nastąpiło w oparciu o przesłankę wymienioną w art. 23 ust. 1 pkt 5 ustawy, a co do legalności tego udostępniania zgoda skarżącego nie była wymagana. Spółka U. pozyskała dane osobowe skarżącego w drodze powierzenia na podstawie art. 31 ustawy od U. S.A. z siedzibą w L.
Organ podkreślił, że ustawa o ochronie danych osobowych reguluje status podmiotów innych niż administrator danych, które mogą przetwarzać dane osobowe w imieniu i na rzecz tego administratora. Jakkolwiek bowiem administrator danych może przetwarzać dane samodzielnie, art. 31 ustawy o ochronie danych osobowych upoważnia go również do powierzenia, w drodze zawartej w formie pisemnej umowy przetwarzania tych danych innemu podmiotowi. W przypadku zatem, gdy administrator danych skorzysta z upoważnienia wynikającego z brzmienia powołanego przepisu, dochodzi do zlecenia "na zewnątrz" przetwarzania danych. Podmiot, któremu administrator powierzył przetwarzanie danych (procesor), może je jednak przetwarzać wyłączne w przewidzianym umową zakresie i w określonym w umowie celu (art. 31 ust. 2 ustawy o ochronie danych osobowych). Procesor jest ponadto obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a ustawy. W zakresie przestrzegania tych przepisów wskazany podmiot ponosi odpowiedzialność jak administrator danych (art. 31 ust. 3 tej ustawy). Zgodnie art. 31 ust. 5 powołanej ustawy, do kontroli zgodności przetwarzania danych przez podmiot, któremu zostały powierzone dane, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14 -19 ustawy.
Organ uznał, iż działania [...] realizowane za pośrednictwem spółki U. były dopuszczalne z mocy art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.
Od powyższej decyzji skarżący złożył wniosek o ponowne rozpatrzenie sprawy, w którym zarzucił GIODO niesłuszne twierdzenie, że przesłanką przekazania jego danych osobowych był art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Zdaniem skarżącego doszło do naruszenia tajemnicy telekomunikacyjnej chronionej w oparciu o art. 161 i 159 prawa telekomunikacyjnego wskutek braku jego zgody na ujawnienie osobom trzecim jego danych osobowych.
W wyniku ponownego rozpatrzenia sprawy Generalny Inspektor Ochrony Danych Osobowych wskazaną na wstępie decyzją z dnia [...] maja 2013 r. utrzymał w mocy zaskarżoną decyzję.
W uzasadnieniu decyzji organ podniósł, że rozstrzygnięcie zawarte w decyzji z dnia [...] stycznia 2013 r. jest prawidłowe a okoliczności podniesione we wniosku o ponowne rozpatrzenie sprawy nie uzasadniają zamiany tego rozstrzygnięcia. Organ podkreślił, że przetworzenie przez spółkę danych osobowych skarżącego – w takim zakresie w jakim organ może dokonać oceny tego procesu – jest dopuszczalne ze względu na istnienie po stronie spółki prawnie usprawiedliwionych celów, dla wypełnienia których jest niezbędne przetwarzanie danych osobowych skarżącego.
Odnosząc się do podtrzymanego przez skarżącego we wniosku o ponowne rozpatrzenie sprawy zarzutu naruszenia przez [...] tajemnicy telekomunikacyjnej, obowiązującej spółkę jako operatora telekomunikacyjnego, organ powołał się na przepisy ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 ze zm.). Stosownie do art. 159 ust. 1 pkt 1 tej ustawy tajemnica telekomunikacyjna obejmuje m.in. dane dotyczące użytkownika (ust. 1 pkt 1). Wg ust. 2 tego przepisu zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że: 1) będzie to przedmiotem usługi lub będzie to niezbędne do jej wykonania; 2) nastąpi za zgodą nadawcy lub odbiorcy, których dane te dotyczą; 3) dokonanie tych czynności jest niezbędne w celu rejestrowania komunikatów i związanych z nimi danych transmisyjnych, stosowanego w zgodnej z prawem praktyce handlowej dla celów zapewnienia dowodów transakcji handlowej lub celów łączności w działalności handlowej; 4) będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi. Wg ust. 3 ww. przepisu z wyjątkiem przypadków określonych ustawą, ujawnianie lub przetwarzanie treści albo danych objętych tajemnicą telekomunikacyjną narusza obowiązek zachowania tajemnicy telekomunikacyjnej.
Stosownie do art. 161 ust. 1 Prawa telekomunikacyjnego z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywanie, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej "przetwarzaniem", dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych. Takim przepisem jest art. 164 Prawa telekomunikacyjnego, według którego dane, użytkowników końcowych mogą być przetwarzane w okresie obowiązywania umowy, a po jej zakończeniu w okresie dochodzenia roszczeń lub wykonywania innych zadań przewidzianych w ustawie lub przepisach odrębnych.
W świetle powołanych przepisów Prawa telekomunikacyjnego organ stwierdził, że ustawa ta daje podstawę do przyjęcia, że przetwarzanie danych osobowych w celu realizacji umowy o świadczenie usług telekomunikacyjnych, a po jej wygaśnięciu w celu dochodzenia roszczeń jest zgodne z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
W skardze na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie C. P. wniósł o uchylenie zaskarżonej decyzji oraz poprzedzającej ją decyzji z dnia [...] stycznia 2013 r.
W uzasadnieniu skargi skarżący wskazał jak we wniosku o ponowne rozpatrzenie sprawy, iż GIODO niewłaściwie zastosowano art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych oraz dokonało bęłdnej interpretacji zapisów umowy pomiędzy [...] [...] U. Ponownie wskazął, iż jego zdaniem doszło do naruszenia tajemnicy telekomunikacyjnej.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując swoje dotychczasowe argumenty faktyczne i prawne.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Sąd administracyjny wykonuje wymiar sprawiedliwości, poddając kontroli decyzje wydawane przez, organy administracji publicznej pod względem ich zgodności z prawem, badając czy właściwie zastosowano przepisy prawa materialnego i przestrzegano przepisów proceduralnych w postępowaniu administracyjnym. Tylko w przypadku stwierdzenia naruszenia prawa Sąd władny jest wzruszyć zaskarżoną decyzję. Artykuł 145 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., poz. 270 – dalej jako p.p.s.a.) określa w jakich sytuacjach decyzje podlegają uchyleniu.
Dokonując oceny zasadności skargi C. P. na decyzję Generalnego Inspektora Danych Osobowych z [...] maja 2013 r. Sąd doszedł do przekonania, że skarga ta nie ma usprawiedliwionych podstaw.
Zgodnie z art. 18 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1. usunięcie uchybień,
2. uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
3. zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4. wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5. zabezpieczenie danych lub przekazanie ich innym podmiotom,
6. usunięcie danych osobowych.
W rozpoznawanej sprawie organ uznał, że brak jest podstaw do wydania nakazu przywrócenia stanu zgodnego z prawem i zdaniem Sądu ocena stanu faktycznego sprawy dokonana przez organ jest prawidłowa.
Jako podstawę materiainoprawną zaskarżonej decyzji organ wskazał art. 23 ust. 1 pkt 5 ww. ustawy. Zgodnie z tym przepisem przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Za prawnie usprawiedliwiony cel, o którym mowa w tym przepisie, uważa się – stosownie do treści art. 23 ust. 4 pkt 2 ustawy – dochodzenie roszczeń z tytułu prowadzonej działalności.
Dokonując wykładni przepisów ustawy o ochronie danych osobowych, należy wziąć pod uwagę cele i podstawowe założenia tej ustawy, określone w jej art. 1 ust. 2, gdzie podano, że przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich i że należy za każdym razem wyważyć dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych jako jeden z elementów prawa do ochrony własnej prywatności ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie. Zasadą wypracowaną przy stosowaniu ustawy o ochronie danych osobowych stało się przetwarzanie danych osobowych za zgodą osoby zainteresowanej, której dane te dotyczą (art. 23 ust. 1 pkt 1 ustawy). Nie oznacza to jednak, iż przesłanka uzyskania zgody na przetwarzanie danych osobowych ma pierwszeństwo stosowania przed innymi przesłankami dopuszczającymi przetwarzanie danych osobowych, wg określonych ustawowo zawężonych kryteriów, bez zgody osoby zainteresowanej. Przesłanki zawarte w przepisie art. 23 ust. 1 pkt 1-5 ustawy o ochronie danych osobowych są równorzędne, niezależne od siebie i dla przesądzenia o tym, że przetwarzanie danych jest dopuszczalne wystarczy wykazanie zaistnienia jednej z nich.
Jak wynika z ustaleń organu, skarżący prowadził działalność gospodarczą pod nazwą [...] C. P., która to działalaność została wykreślona z ewidencji działalnosci gospodarczej (jak wskazuje sam skarżący) w lipcu 2007 r. Ze znajdujacego sie w aktach sprawy fragmentu decyzji Samorządowego Kolegium Odwołującego w W. z dnia [...] sierpnia 2007 r. wynika, iż dzialalność ta została wykreślona z dniem [...] lipca 2007 r.
Wobec skarżącego jako osoby prowdzącej działalność gospodarczą P. S.A., obecnie [...] S.A. z siedzibą w W., posiadała wierzytelność z tytułu zapłaty za usługi telekomunikacyjne, którą to wierzytelność na podstawie umowy sprzedaży wierzytelności z dnia [...] marca 2007 r. nabyła U. S.A. Na podstawie umowy o świadczenie usług windykacyjnych i zarządzenia portfelem wierzytelności z dnia [...] marca 2007 r. zawartej pomiędzy U. a U. Spółką z o.o. U. Spółka z o.o. uzyskała dane osobowe skarżącego jako przedsiębiorcy prowadzącego działalność gospodarczą.
W realiach rozpoznawanej sprawy i wobec zarzutów formułowanych przez skarżącego zwrócić należy uwagę, że skoro skarżący prowadził działalność gospodarczą jako osoba fizyczna, to po wykreśleniu tej działalności z odpowiedniego rejestru, skarżący odpowiada za zobowiązania zaciągnięte w trakcie jej prowadzenia całym majątkiem. W sprawie nie jest sporne, że P. miała prawo posiadać i przetwarzać dane osobowe skarżącego w związku z łączącą strony umową o świadczenie usług telekomunikacyjnych.
Wskazać należy, że zasadnie w swoich decyzjach zwrócił uwagę organ, że Generalny Inspektor Ochrony Danych Osobowych nie jest władny do dokonywania oceny prawidłowości umów cywlnoprawnych i powstałych na tym gruncie sporów, gdyż właściwość rzeczową w tym zakresie posiadają jedynie sądy powszechne. Organ nie może badać, czy umowa jest ważna i prawnie skuteczna, albowiem w tym przypadku organ administracji publicznej, jakim niewątpliwie jest GIODO, wykraczałby poza swoje ustawowo określone kompetencje. Dla Generalnego Inspektora Ochrony Danych Osobowych zawarta umowa jest czynnością prawną niepodlegającą jego ocenie, wywołującą skutki prawne do czasu, dopóki nie zostanie zakwestionowana w formie i trybie przewidzianym przez prawo. Powyższy pogląd jest już utrwalony w orzecznictwie sądowoadministracyjnym (por. np. wyrok NSA z 26 maja 2009 r., I OSK 808/08, Lex nr 513109, wyrok WSA w Warszawie z 19 lipca 2007 r., II SA/Wa 678/07, Lex nr 368229). Ustawa o ochronie danych osobowych nie ogranicza swobody prowadzenia działalności gospodarczej przez przedsiębiorców. Zawarcie umowy przelewu wierzytelności wywołuje skutki prawne regulowane zarówno przepisami Kodeksu cywilnego, jak i przepisami ustawy o ochronie danych osobowych. Ocena dopuszczalności, skuteczności, czy też ważności umowy przelewu należy do sądów powszechnych, ewentualnie w niektórych jej aspektach, może być również przedmiotem zainteresowania Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Jest to aspekt cywilnoprawny tej sprawy, który nie może być przedmiotem zainteresowania organu administracji publicznej. Zadanie organu ograniczało się zatem do zbadania w toku postępowania, czy w wyniku zawartej umowy cywilnoprawnej spółka P. mogła udostępnić dane osobowe skarżącego, zgodnie z przepisami ustawy o ochronie danych osobowych. Generalny Inspektor Ochrony Danych Osobowych wykazał w toku prowadzonego postępowania, iż podjęte przez spółkę [...] działania, w zakresie dokonania cesji wierzytelności, nie pozostawały w sprzeczności z postanowieniami ustawy o ochronie danych osobowych. Organ nie był natomiast uprawniony do badania kwestii istnienia lub nieistnienia wierzytelności
Organ słusznie stwierdził, iż dokonanie przelewu wierzytelności nierozerwalnie związane jest z przekazaniem danych osobowych dłużnika. Zgodnie z art. 509 § 2 kc. wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, a więc i prawo do dysponowania danymi osobowymi dłużnika w celu realizacji długu. Nabywca wierzytelności, poprzez dokonaną czynność cywilnoprawną, staje się samoistnym posiadaczem danych osobowych dłużnika. Staje się zatem administratorem danych osobowych i przetwarza dane osobowe na własny rachunek i ryzyko. Korzysta z takich samych praw i obowiązków w zakresie przetwarzania danych osobowych jakie przysługiwały poprzedniemu administratorowi danych.
W sytuacji zatem, gdy doszło do zbycia wierzytelności, uznać należy, że stanowiło to działanie mieszczące się w pojęciu dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej. Na podkreślenie zasługuje przy tym, że prawnie usprawiedliwiony cel administratora danych osobowych, zezwalający na ich przetwarzanie, znajduje oparcie w przepisie art. 66 kc. odnoszącym się do oferty zawarcia umowy. Oferta sprzedaży wierzytelności musi zawierać istotne postanowienia umowy, co m.in. oznacza, że wierzytelność musi być skonkretyzowana. W rozpoznawanej sprawie Spółka ujawniła tylko te dane, które były do tego celu niezbędne.
Zdaniem Sądu organ prawidłowo ocenił legalność zebrania danych osobowych skarżącego, zważywszy zwłaszcza, że działalność gospodarcza została wykreślona z ewidencji działalności gospodarczej w lipcu 2007 r. a do umowy sprzedaży wierzytelności doszło w marcu 2007 r. Nie ulega wątpliwości, że ze względu na treść art. 7a ust. 2 ustawy z 19 listopada 3 999 r. Prawo działalności gospodarczej (Dz. U. z 1999 r. Nr 101, poz. 1178 ze zm.) dane zawarte w ewidencji działalności gospodarczej były wyłączone spod obowiązywania ustawy o ochronie danych osobowych. Zebranie pozostałych danych, niewynikających z tej ewidencji, było, tak jak i ich późniejsze udostępnienie, niezbędne dla wypełnienia prawnie usprawiedliwionego celu, którym w tym wypadku jest dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Wskazać przy tym należy, że przetwarzanie danych osobowych skarżącego nie narusza jego praw i wolności. Rozstrzygając o legalności przetwarzania danych osobowych, trzeba każdorazowo znaleźć równowagę między prawami i wolnościami jednostki a prawnie usprawiedliwionym interesem osoby trzeciej (por. wyrok Sądu Apelacyjnego w Warszawie z 5 lutego 2008 r., VI ACa 891.07, Lex nr 434473). Za słuszne należy uznać wywody organu, że gdyby każdy przypadek przetwarzania danych osobowych dłużnika uznać za godzący w jego prawa i wolności, to doszłoby z jednej strony do niczym nieusprawiedliwionej ochrony podmiotów niewywiązujących się ze swoich zobowiązań, z drugiej natomiast do naruszenia zasady swobody działalności gospodarczej. Zasadnie organ przyjął, że skarżący, jako dłużnik, musi liczyć się z tym, że popadając w zwłokę w spełnianiu zobowiązania jego prawo do prywatności może zostać ograniczone ze względu na roszczenia dochodzone przez wierzyciela. W orzecznictwie podkreśla się przy tym, że ochrona dóbr jednych nie może odbywać się kosztem naruszenia praw innych, co można pośrednio bądź bezpośrednio wywieść z wielu przepisów Konstytucji RP (art. 2, art. 22, art. 31 ust. 3, art. 32 ust. 1, art. 83) (por. wyrok WSA w Warszawie z 21 września 2005 r., II SA/Wa 1443/05, Lex nr 204649).
Odnosząc się do twierdzeń skarżącego należy jeszcze raz podkreślić, że zebranie danych osobowych skarżącego nastąpiło w związku z wierzytelnością wynikającą z umowy zawartej przez niego jako podmiot prowadzący działalność gospodarczą. Tym samym decyzja Generalnego Inspektora Ochrony Danych Osobowych nie narusza prawa.
Mając wszystkie powyższe względy na uwadze Sąd, na zasadzie art. 151 p.p.s.a., skargę jako niezasadną oddalił.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło