II SA/Wa 139/05
WyrokWSA w Warszawie2005-11-16
Skład orzekający: Ewa Kwiecińska, Ewa Pisula-Dąbrowska, Maria Werpachowska
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy Generalny Inspektor Ochrony Danych Osobowych jest uprawniony do oceny dopuszczalności umowy przelewu wierzytelności na gruncie przepisów Kodeksu cywilnego, czy też jego kompetencje ograniczają się wyłącznie do oceny legalności przetwarzania danych osobowych na gruncie ustawy o ochronie danych osobowych?Ratio decidendi
Generalny Inspektor Ochrony Danych Osobowych (GIODO) nie jest uprawniony do oceny dopuszczalności, skuteczności czy ważności umowy przelewu wierzytelności na gruncie przepisów Kodeksu cywilnego. Jego kompetencje ograniczają się do badania zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych. Ocena cywilnoprawna umowy należy do właściwości sądów powszechnych.Stan faktyczny
Sprawa dotyczyła decyzji Generalnego Inspektora Ochrony Danych Osobowych (GIODO), która nakazała firmie P. S.A. nieudostępnianie danych osobowych M. G. w związku z przelewem wierzytelności, bez zgody M. G. oraz nakazała usunięcie tych danych. GIODO uznał, że udostępnienie danych było niezgodne z ustawą o ochronie danych osobowych, ponieważ nie spełniono przesłanek z art. 23 ust. 1. P. S.A. wniosła skargę, zarzucając m.in. niewłaściwą wykładnię przepisów Kodeksu cywilnego i ustawy o ochronie danych osobowych oraz przekroczenie kompetencji przez GIODO.Rozstrzygnięcie
Wojewódzki Sąd Administracyjny w Warszawie uchylił zaskarżoną decyzję oraz poprzedzającą ją decyzję, a także stwierdził, że zaskarżona decyzja nie podlega wykonaniu w całości.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska (spr.), Sędziowie WSA Ewa Pisula-Dąbrowska, WSA, Maria Werpachowska, Protokolant Łukasz Pilip, po rozpoznaniu na rozprawie w dniu 16 listopada 2005 r. sprawy ze skargi P. S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2004 r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] sierpnia 2004 r. nr [...] 2. zaskarżona decyzja nie podlega wykonaniu w całości.
Decyzją z dnia [...] sierpnia 2004 r., znak [...],Generalny Inspektor Ochrony Danych Osobowych nakazał firmie P. S.A. z siedzibą w W. nieudostępnianie danych osobowych M. G. w związku z przelewem wierzytelności, bez spełnienia warunków określonych w art. 3851 § 1 i art. 3853 pkt 5 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm.), zwanej dalej k.c., tj. bez zgody M. G. oraz nakazał firmie P.. Sp. z o.o. z siedzibą w W. usunięcie ze zbioru danych osobowych dłużników - danych osobowych M.G. pozyskanych bez jego zgody od P. S.A., w związku z przelewem wierzytelności.
W toku postępowania administracyjnego organ ustalił, że dnia [...] listopada 1997 r. M.G., jako konsument w rozumieniu art. 221 Kodeksu cywilnego, zawarł z P. S.A. umowę o świadczenie usług telekomunikacyjnych. W dniu [...]marca 2002 r. P. S.A. zawarła z P. Sp. z o.o. umowę o przelew wierzytelności wynikających z umów o świadczenie usług telekomunikacyjnych. Umowa ta dotyczyła również wierzytelności M. G. i w wykonaniu tej umowy P. S.A. udostępniła P. Sp. z o.o. jego dane osobowe. Jako podstawa udostępnienia danych osobowych wskazany został przepis art. 509 § 1 Kodeksu cywilnego. Zakres udostępnionych P. Sp. z o.o. danych M.G. obejmował m.in. nazwisko i imię, adres zameldowania na pobyt stały, adres do korespondencji oraz numer PESEL. Organ ustalił także, iż M. G. nie wyrażał zgody na przekazanie przez P. S.A. osobom trzecim praw i obowiązków wynikających z zawartej z nim umowy o świadczenie usług telekomunikacyjnych.
Wydając decyzję z dnia [...] sierpnia 2004 r., Generalny Inspektor podkreślił, że przetwarzanie danych osobowych jest zgodne z prawem jedynie wówczas, gdy administrator danych legitymuje się posiadaniem co najmniej jednej, spośród wymienionych w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), zwanej dalej uodo, materialnych przesłanek dopuszczalności przetwarzania.
Organ wskazał, iż zgodnie z art. 509 k.c. wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania (§ 1). Wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, w szczególności roszczenie o zaległe odsetki (§ 2). Stosownie natomiast do treści przepisu art. 3851 § 1 zdanie pierwsze k.c., postanowienia umowy zawieranej z konsumentem, nieuzgodnione indywidualnie, nie wiążą go, jeżeli kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy (niedozwolone postanowienie umowne). W myśl art. 3853 pkt 5 k.c., w razie wątpliwości uważa się, że niedozwolonymi postanowieniami umownymi są te, które w szczególności zezwalają kontrahentowi konsumenta na przeniesienie praw i obowiązków wynikających z umowy, bez zgody konsumenta.
Generalny Inspektor podkreślił, iż z treści powołanych przepisów Kodeksu cywilnego wynika zatem wprost, że przelew wierzytelności przysługującej wobec konsumenta podlega szczególnym zasadom, określonym w art. 3851 § 1 i następne Kodeksu cywilnego i stanowi wyjątek od postanowienia art. 509 § 1 Kodeksu cywilnego. Wskazane przepisy dotyczące niedozwolonych postanowień umownych znajdują, w ocenie organu, zastosowanie w niniejszej sprawie, albowiem M. G. podpisał z P.S.A. umowę o świadczenie usług telekomunikacyjnych, jako konsument w rozumieniu art. 221 Kodeksu cywilnego oraz nie wyraził zgody na zmianę wierzyciela.
W ocenie Generalnego Inspektora, umowa przelewu wierzytelności zawarta między firmą P.S.A. a P. Sp. z o.o. ukształtowała prawa i obowiązki M.G. w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy. W świetle powyższego organ uznał, iż udostępnienie danych osobowych M.G. przez P.S.A. oraz ich pozyskanie przez P.. Sp. z o.o. nie znajdowało podstaw w art. 23 ust. 1 pkt 2 i 5 uodo.
Organ wskazał ponadto, iż udostępnienie przez P. S.A. danych osobowych M. G. nie było również działaniem koniecznym dla realizacji zawartej z nim umowy o świadczenie usług telekomunikacyjnych. Tym samym, nie można, zdaniem Generalnego Inspektora, przyjąć, że przetwarzanie przedmiotowych danych było dopuszczalne na podstawie art. 23 ust. 1 pkt 3 ustawy. P. S.A. nie dysponując odpowiednimi środkami dla egzekucji należności, mogła powierzyć jej prowadzenie firmie windykacyjnej na podstawie art. 31 uodo.
Podstawy prawnej udostępnienia przez P. S.A. danych osobowych M.G. oraz ich pozyskania przez P.. Sp. z o.o. nie stanowi także, zdaniem organu, art. 23 ust. 1 pkt 1 ustawy. Z zebranego w sprawie materiału dowodowego wynika bowiem bezspornie, iż M. G. nie wyraził zgody na przeniesienie przez P. S.A. przysługujących wobec niego praw i obowiązków na inne podmioty.
Reasumując, Generalny Inspektor stwierdził, że udostępnienie przez P. S.A. danych osobowych M.G. firmie P.. Sp. z o.o. nie znajdowało uzasadnienia w żadnej z przesłanek określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Brak jest również, zdaniem organu, podstaw pozyskania i dalszego przetwarzania tych danych przez P.. Sp. z o.o.
We wniosku o ponowne rozpatrzenie sprawy P. S.A. zarzuciła niewłaściwą wykładnię przepisów Kodeksu cywilnego i ustawy o ochronie danych osobowych, wywodząc, iż podstawę do przetwarzania danych stanowiły przepisy art. 23 ust. 1 pkt 2 i 5 tej ustawy, stąd też brak było ustawowej przesłanki do zastosowania środków przewidzianych w art. 18 ustawy.
Nieprawidłowość zaskarżonej decyzji polega, zdaniem wnioskodawcy, przede wszystkim na dokonaniu przez organ, na gruncie przepisów art. 3851 i art. 3853 pkt 5 Kodeksu cywilnego, oceny czynności prawnej przedsiębiorcy z osobą trzecią, gdy tymczasem do oceny wadliwych praktyk (działań) w relacjach przedsiębiorca-konsumenci służą inne instrumenty prawne, nieleżące w kompetencji GIODO.
Ponadto we wniosku podniesiono między innymi, iż ze stanowiska organu wyrażonego w uzasadnieniu kwestionowanej decyzji nie wynika, czy Generalny Inspektor uznał, że sam przelew wierzytelności lub dochodzenie należności przez P.. Sp. z o.o. ze swej istoty nie mieści się w ramach tzw. usprawiedliwionego celu, czy może mieści się w tych ramach, jednakże takie przetwarzanie narusza prawa i wolności człowieka. W ocenie wnioskodawcy, przetwarzanie danych w przedmiotowej sprawie nie narusza praw i wolności M.G..
P. S.A. podniosła nadto, iż Generalny Inspektor badał nie tylko legalność przetwarzania danych. Organ badał również legalność samego przelewu wierzytelności, do czego nie był uprawniony.
Wnioskodawca podkreślił także, iż wykonanie nakazu, jaki został skierowany w pkt 2 decyzji wobec P. Sp. z o.o., będzie równoznaczne z pozbawieniem Spółki możliwości wykonywania swego uprawnienia, jakie wynika dlań z cesji wierzytelności. Jeśli bowiem Spółka usunie dane M. G., to nie będzie mogła dochodzić wierzytelności. Ponadto we wniosku o ponowne rozpatrzenie sprawy podniesiono, że nakaz zawarty w pkt 1 decyzji jest niewykonalny dla P. S.A., gdyż Spółka przeniosła już swe wszystkie wierzytelności wobec M.G., niemożliwe jest zatem kolejne udostępnienie jego danych osobowych.
Decyzją z dnia [...] listopada 2004 r. nr [...]Generalny Inspektor Ochrony Danych Osobowych, utrzymał w mocy zaskarżoną decyzję. W uzasadnieniu decyzji organ podkreślił, iż dokonał jedynie oceny legalności przetwarzania danych M. G., a nie oceny istnienia lub nieistnienia wierzytelności, czy też słuszności roszczeń cywilnoprawnych. Mając na względzie okoliczności faktyczne i prawne przedmiotowej sprawy, organ badał (co wynika zarówno ze sfery jego praw, jak i obowiązków), czy u podstaw udostępnienia kwestionowanych danych znajdowała się jedna z przesłanek określonych w przepisach art. 23 ust. 1 ustawy o ochronie danych osobowych, a w szczególności, czy przesłanką taką, wobec twierdzeń Spółek, może być powołany przez nie przepis prawa, tj. art. 509 Kodeksu cywilnego. Generalny Inspektor Ochrony Danych Osobowych wskazał ponadto, iż zarówno P. S.A., jak i P... Sp. z o.o. nie spełniły żadnej z przesłanek, o których mowa w przepisie art. 23 ust. 1 pkt 5 ustawy i podtrzymał poprzednią argumentację. Nadto organ stwierdził, że w związku z tym, iż P. S.A. udostępniła przedmiotowe dane osobowe bez spełnienia jakiejkolwiek z przesłanek przetwarzania danych osobowych określonych w art. 23 ust. 1 ustawy, to w wyniku zawartej przez nią z P.. Sp. z o.o. umowy o przelew wierzytelności - nie zmienił się administrator tych danych i jest nim nadal P. S.A. Uzasadnione było zatem nałożenie na Spółkę nakazu nieudostępniania w przyszłości tych danych osobowych, przetwarzanych w związku z przelewem wierzytelności, bez zgody zainteresowanego.
Skargę na decyzję tę złożyła do Wojewódzkiego Sądu Administracyjnego w Warszawie P.S.A. W skardze podniesiono zarzuty naruszenia: art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 509 § 1 i art. 3851 oraz art. 3853 pkt 5 Kodeksu cywilnego - poprzez przyjęcie, że art. 509 § 1 k.c. nie może stanowić podstawy prawnej przetwarzania danych osobowych dłużnika cedowanej cesji, niezbędnych stronom cesji do identyfikacji wierzytelności, art. 23 ust. 1 pkt 5 w zw. z ust. 4 ustawy o ochronie danych osobowych, art. 12 i art. 18 tejże ustawy oraz art. 6, art. 7 i 77 § 1 k.p.a., a także art. 107 k.p.a.
Spółka podniosła, że art. 3853 pkt 5 Kodeksu cywilnego nie ma zastosowania w niniejszej sprawie z uwagi na fakt, że nie było substratu umownego, do którego mógłby odnosić się art. 3853 pkt 5 k.c. Zarzuciła też Generalnemu Inspektorowi Ochrony Danych Osobowych, że omawiany przepis dotyczy wyłącznie "cesji umowy", a w niniejszej sprawie doszło tylko do przelewu wierzytelności. Podkreśliła, że art. 509 k.c. stanowi dostateczną podstawę zezwalającą wierzycielowi na swobodne dysponowanie wierzytelnością oraz jej zbycie.
Skarżąca wskazała, że cesja wierzytelności, jaką P. S.A. posiadał wobec M. G., dokonana na rzecz P. Sp. z o.o., bez zgody dłużnika, była dopuszczalna i skuteczna. W wyniku tej cesji P. Sp. z o.o. nabyła wierzytelność pieniężną, a dla jej oznaczenia, a jednocześnie - w celu wykonywania wszelkich uprawnień, jakie Spółka ta nabyła w wyniku cesji, niezbędne było uzyskanie przez nią danych osobowych dłużnika. Z tego względu, w ocenie skarżącej, przekazanie przez P. S.A. Spółce P. Sp. z o.o. danych osobowych M. G. było dopuszczalne na podstawie art. 23 ust. 1 pkt 2 ustawy.
Ponadto skarżąca podniosła, iż Generalny Inspektor dokonał oceny ważności i skuteczności umowy cesji, do czego nie był uprawniony. Ocena ta jest, zdaniem skarżącej, zastrzeżona do kompetencji sądów powszechnych w ramach powództwa o ustalenie lub o zapłatę. Nakaz zawarty w zaskarżonej decyzji pozbawia P.. Sp. z o.o. - jako nabywcę wierzytelności - możliwości podjęcia kroków prawnych przed sądem powszechnym, który mógłby ocenić, czy wierzytelność przysługuje Spółce i na jakich zasadach. Usunięcie danych osobowych M. G. spowoduje, że P.. Sp. z o.o., nie posiadając danych osobowych dłużnika, nie będzie mogła spełnić wymagań formalnych stawianych pozwowi i pismom procesowym.
Skarżąca wskazała nadto, iż cesja wierzytelności oraz dochodzenie należności spełnia kryterium prawne usprawiedliwionego celu, o którym mowa w przepisie art. 23 ust. 1 pkt 5 uodo. Rozważania organu nie dotyczą, zdaniem skarżącej, rzekomego naruszenia praw i wolności M. G.. Przesłanka ta nie została przez organ przeanalizowana.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie i podtrzymał argumentację zawartą w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonego aktu administracyjnego i to z przepisami obowiązującymi w dacie jego wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.
Skarga analizowana pod tym kątem zasługuje na uwzględnienie.
W niniejszej sprawie zawarta została pomiędzy P. S.A. z siedzibą w W. a P. Sp. z o.o. umowa przelewu wierzytelności, na podstawie art. 509 § 1 k.c., z jednoczesnym udostępnieniem skarżącej danych osobowych dłużników. Celem tej transakcji, co jasno wynika z zawartej umowy, było przeniesienie wierzytelności, jednak dla realizacji tego celu, było niezbędne jednoczesne przekazanie danych osobowych dłużników, w tym również M. G..
W tego rodzaju sprawach należy wyraźnie rozgraniczyć dwa aspekty, wynikające z różnych regulacji prawnych, albowiem zawarcie opisanej umowy przelewu wierzytelności wywołuje skutki prawne regulowane zarówno przepisami Kodeksu cywilnego, jak i przepisami ustawy o ochronie danych osobowych. Ocena dopuszczalności, skuteczności, czy też ważności umowy przelewu należy do sądów powszechnych, ewentualnie w niektórych jej aspektach, może być również przedmiotem zainteresowań Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Jest to aspekt cywilnoprawny tej sprawy, który nie może być przedmiotem zainteresowań organu administracji publicznej.
Oznacza to, że przedmiotem kontroli Generalnego Inspektora Ochrony Danych Osobowych, zgodnie z art. 12 pkt 1 ustawy o ochronie danych osobowych, powinna być jedynie zgodność przetwarzania danych z przepisami o ochronie danych osobowych. W tym konkretnym zaś przypadku kontrola ta powinna polegać na zbadaniu, czy w wyniku zawartej umowy cywilnoprawnej P.S.A. mogła przekazać firmie P. Sp. z o.o. dane osobowe M.G., zgodnie z przepisami tej ustawy. GIODO nie jest natomiast uprawniony do badania dopuszczalności umowy przelewu wierzytelności, zgodnie z przepisami Kodeksu cywilnego, przekazującej dane osobowe M. G., gdyż w tym przypadku organ administracji publicznej, jakim niewątpliwie jest GIODO, wykracza poza swoje ustawowo określone kompetencje. Wskazać należy, iż przekazanie danych osobowych M. G., nastąpiło wprawdzie w wyniku zawartej pomiędzy skarżącą a P. S.A. umowy, jednak dla oceny tego zdarzenia, z punktu widzenia przepisów ustawy o ochronie danych osobowych, nie jest konieczna ocena samej umowy, gdyż jej przedmiotem był przelew wierzytelności, a nie udostępnienie (przekazanie) danych osobowych. Przekazanie danych osobowych było tu tylko elementem niezbędnym do wykonania tej umowy. Należy zwrócić uwagę, iż mogą wystąpić sytuacje, w których samo przetwarzanie danych osobowych jest przedmiotem umowy, o czym stanowi art. 31 uodo.
Przetwarzanie danych (art. 7 pkt 2 uodo), zgodnie z określeniem ustawowym, stanowi szereg różnych operacji (działań, czynności), które mogą być dokonywane na danych osobowych, wyliczenie to jednak nie stanowi katalogu zamkniętego czynności, które mogą prowadzić do pozyskania danych osobowych. Pozyskanie danych osobowych może mieć charakter pierwotny (bezpośrednio od osoby, której dane dotyczą), bądź wtórny (od innego podmiotu, niż osoba, której dane dotyczą). Jednak z punktu widzenia przepisów ustawy o ochronie danych osobowych, nie jest istotna forma pozyskania danych, lecz sam fakt wejścia w posiadanie danych osobowych i ocena tego w oparciu o przepisy tej ustawy (A. Mednis, Ustawa o ochronie danych osobowych, Komentarz, Wyd. Praw. Warszawa 1999, s. 28).
Ponieważ ustawodawca nie określił w Kodeksie cywilnym, ani w ustawie o ochronie danych osobowych, w sposób szczególny wzajemnych relacji pomiędzy przepisami tych dwu ustaw, przyjąć zatem należy, że są to dwie autonomiczne, jednocześnie obowiązujące regulacje prawne, rządzące się własnymi regułami, z założenia niekolidujące wzajemnie.
Dane osobowe mieszczą się w szeroko rozumianym pojęciu dóbr osobistych i jako takie, do czasu wejścia w życie przepisów ustawy o ochronie danych osobowych, podlegały ochronie na podstawie art. 23 i art. 24 k.c. Wejście w życie ustawy o ochronie danych osobowych nie spowodowało uchylenia, ani zmiany ww. przepisów Kodeksu cywilnego, gdyż te dopuszczają również ochronę wynikającą z innych przepisów, np. prawa karnego, prawa o wykroczeniach, czy też prawa administracyjnego. Tak więc ustawodawca celowo utrzymał (zachował) wielość form ochrony, opartych na różnych przepisach. Niektóre z nich, z uwagi na zastosowanie metody regulacji prawnej, mają charakter cywilnoprawny, inne zaś administracyjnoprawny. Wzajemna relacja przepisów Kodeksu cywilnego w tym zakresie i innych przepisów, może polegać na kumulatywnym lub alternatywnym stosowaniu środków ochrony w nich przewidzianych, zależy to od osoby zainteresowanej (S. Dmowski, S. Rudnicki, Komentarz do kodeksu cywilnego, Księga pierwsza, część ogólna, Wyd. Praw. Lexis Nexis W-wa 2004, s. 102 i 114-115).
Przyjmując takie założenie, orzeczenie sądu powszechnego, oceniające na podstawie przepisów Kodeksu cywilnego zawartą umowę, nie powoduje automatycznie konsekwencji na płaszczyźnie administracyjnoprawnej, czyli nie wpływa bezpośrednio na byt prawny aktu administracyjnego - decyzji wydanej przez GIODO w oparciu o przepisy ustawy o ochronie danych osobowych - i odwrotnie. Nie można przecież wykluczyć sytuacji, w których ocena samej umowy, z punktu widzenia przepisów Kodeksu cywilnego, może być negatywna, natomiast przetwarzanie danych w rozumieniu art. 7 pkt 2 uodo, w oparciu o przepisy ustawy o ochronie danych osobowych, może być ocenione pozytywnie jako nienaruszające przepisów o ochronie danych osobowych - i odwrotnie. Dlatego też, czym innym jest zgoda, o której mowa w przepisach art. 509 § 1, art. 3851 § 1 i art. 3853 pkt 5 k.c., a czym innym zgoda na przetwarzanie danych osoby, której dane dotyczą, w rozumieniu art. 23 ust. l pkt 1 uodo. Pojęcia te z uwagi na zamieszczenie ich w różnych przepisach i w różnych kontekstach, mają różne znaczenie i konsekwencje prawne. Zgoda, o której mowa w pierwszym przypadku podlega ocenie sądu powszechnego w oparciu o przepisy Kodeksu cywilnego, a zgoda, o której mowa w art. 23 ust. l pkt 1 uodo podlega ocenie GIODO i sądów administracyjnych - w oparciu o przepisy ustawy o ochronie danych osobowych. Mamy bowiem w rozpoznawanej sprawie do czynienia z dwiema czynnościami: zawarciem umowy cywilnoprawnej i udostępnieniem danych osobowych, regulowanymi przepisami należącymi do dwu różnych gałęzi prawa (vide: wyrok Naczelnego Sądu Administracyjnego z dnia 16 grudnia 2004 r., sygn. akt OSK 829/04, niepublikowany).
Nie oznacza to jednak, że w sprawie administracyjnej w ogóle nie jest możliwe ocenianie znaczenia i skutków umowy dla potrzeb rozstrzygnięcia administracyjnego, jeśli prawo administracyjne odsyła do prawa cywilnego, o czym w dalszej części niniejszych rozważań.
Decyzje GIODO należy uznać za wadliwe, oparte na błędnych założeniach, tym samym większość tez zawartych w uzasadnieniach tych aktów jest bezużyteczna i zbędna w tym postępowaniu. Organ uznając za konieczne przesądzenie w pierwszej kolejności, czy było dopuszczalne zawarcie umowy na podstawie art. 509 § 1 k.c. w świetle regulacji prawnych art. 3851 § 1 i art. 3853 pkt 5 k.c., przeniósł następnie dokonaną w tym zakresie ocenę na płaszczyznę art. 23 uodo, w którym zostały wymienione przesłanki dopuszczalności przetwarzania danych osobowych. Tymczasem wystarczyło dokonać oceny, czy dane osobowe M. G. zostały udostępnione przez P.S.A. firmie P.. Sp. z o.o. w oparciu o jedną chociażby z przesłanek wymienionych w art. 23 ust. l uodo.
Wszystkie zawarte w tym przepisie przesłanki są równorzędne i niezależne od siebie, a dla przesądzenia o tym, że przetwarzanie danych jest dopuszczalne, wystarczy wskazanie jednej z nich. Sąd celowo pomija w swych rozważaniach przesłanki z pkt 1, 3 i 4 art. 23 ust. 1 uodo., albowiem w sposób oczywisty nie znajdują one zastosowania w niniejszej sprawie, co jest zresztą bezsporne. P.. Sp. z o.o. wskazywała jako podstawę udostępnienia danych osobowych M.G. przepisy art. 23 ust. l pkt 2 i 5 uodo. GIODO nie podzielił tego stanowiska.
Sytuacja, w której przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla realizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 uodo), niezależnie od tego, jak ten warunek się rozumie, budzić musi wiele wątpliwości z uwagi na to, że w większości źródeł powszechnie obowiązującego prawa w Polsce, nie ma w ogóle mowy o przetwarzaniu danych osobowych. W dużej części jest to spowodowane zapewne tym, że ustawa o ochronie danych osobowych obowiązuje dopiero od ośmiu lat, zaś samą ustawą wprowadzono zmiany zaledwie w kilku regulacjach. Tymczasem w obrocie prawnym, w różnych dziedzinach i w różnym zakresie, dane osobowe - szczególnie te podstawowe, są w powszechnym użyciu.
W ocenie Sądu, omawiana podstawa dopuszczalności przetwarzania danych osobowych odnosi się jedynie do uprawnień i obowiązków, które polegają na przetwarzaniu danych osobowych, a nie do innych, które jedynie związane są z przetwarzaniem danych. Słusznie zatem Generalny Inspektor w uzasadnieniu zaskarżonej decyzji, jak i w decyzji ją poprzedzającej, stwierdza, że przesłanka ta ma w sprawie zastosowanie. Przepis art. 509 § 1 k.c. nie zawiera bowiem zezwolenia na przetwarzanie danych osobowych.
W swych rozstrzygnięciach organ przyjął, że dochodzenie roszczeń jest prawnie usprawiedliwionym celem administratora danych, w związku z czym przetwarzanie danych (udostępnienie) jest dopuszczalne, jako niezbędne do realizacji tego celu, pod warunkiem jednak, że nie narusza to praw i wolności osoby, której dane dotyczą, w tym przypadku M.G.(art. 23 ust. l pkt 5 uodo). W sytuacji opisanej w art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 2 uodo, nie jest wymagana zgoda osoby, której dane dotyczą.
Sąd podziela pogląd, że dochodzenie roszczeń wynikających z prowadzonej działalności gospodarczej może być prawnie usprawiedliwionym celem administratora danych. Pytanie jednak, czy cel ten może rodzić potrzebę (niezbędność) przetwarzania danych osoby, której te roszczenia dotyczą, wobec ustawowego zastrzeżenia, zgodnie z którym w takiej sytuacji nie może dojść do naruszenia praw i wolności tej osoby. Innymi słowy, czy cel administratora danych uzasadnia niezbędność przetwarzania danych, a jeśli tak to, czy nie narusza to praw i wolności osoby, której dane dotyczą. Pozostaje więc do rozważenia, czy w rozpoznawanej sprawie, po stronie administratora danych cel uzasadniał niezbędność przetwarzania danych i czy w wyniku udostępnienia danych osobowych, zostały naruszone prawa i wolności M. G..
W ocenie GIODO, P. S.A. nie mogła udostępnić firmie P... Sp. z o.o. danych osobowych M.G. w oparciu o treść art. 23 ust. l pkt 5 uodo, ponieważ w świetle przepisów dotyczących umów konsumenckich dochodzi do pogorszenia jego sytuacji prawnej.
Przesłanka ta odnosi się wprost do administratora danych osobowych lub odbiorcy danych, którzy aby zrealizować prawnie dopuszczalne cele, zmuszeni są przetwarzać dane osobowe, pod warunkiem jednak, że nie naruszy to praw i wolności osoby, której dane dotyczą.
Ustalenie, że administrator danych osobowych (odbiorca danych) realizuje cel prawnie usprawiedliwiony nie może przesądzić o dopuszczalności przetwarzania danych osobowych (udostępniania tych danych innemu podmiotowi) bez zgody osoby, której dane dotyczą. Konieczne jest zatem dokonanie oceny, czy jest to niezbędne dla realizacji tego celu, a co najważniejsze, dokonanie wyważenia interesów administratora danych, zwłaszcza w aspekcie prawa do prowadzenia działalności gospodarczej, prawa dochodzenia roszczeń i interesów osoby, której dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności. Z art. 1 uodo wynika, że każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 ustawy, dopuszczalne jest tylko ze względu na określone dobra i tylko w zakresie i trybie określonym ustawą. Realizacja prawnie usprawiedliwionego celu przez administratora danych w żadnym razie nie może naruszać praw i wolności osoby, której dane dotyczą. Zatem ocena ta ma służyć wyważeniu racji i interesów, z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes, aby jej dane osobowe nie były przetwarzane bez jej zgody, a z drugiej strony administratora danych, który ma także objęty ochroną prawną interes, polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia, co w przypadku administratora danych, będącego wierzycielem, obejmuje jego prawo do uzyskania należnego świadczenia od dłużnika.
Przepisy ustawy z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz. 424 z późn. zm.) regulują zasady i tryb udostępniania przez przedsiębiorców informacji gospodarczych, a w tym i danych osobowych osób fizycznych, dotyczących wiarygodności płatniczej innych przedsiębiorców i konsumentów, w szczególności danych o zwłoce w wykonywaniu zobowiązań pieniężnych osobom trzecim nieoznaczonym w chwili przeznaczenia tych danych do udostępnienia. Przepisy tej ustawy dobitnie wskazują, że ochrona danych osobowych na podstawie ustawy o ochronie danych osobowych nie powinna być absolutyzowana, ponieważ jej przepisy muszą być stosowane i interpretowane łącznie z innymi przepisami ustawowymi służącymi ochronie także innych wartości (vide: wyrok Naczelnego Sądu Administracyjnego w składzie 7 sędziów z dnia 6 czerwca 2005 r., sygn. akt I OPS 2/05, niepublikowany).
W tym też znaczeniu rozstrzygnięcie organu administracyjnego korzystać będzie z innych regulacji, zwłaszcza gdy prawo administracyjne odsyła do innych gałęzi prawa (np. prawa cywilnego). W przypadku art. 23 ust. 1 pkt 5 uodo takie odesłanie ma miejsce.
Mówiąc o naruszeniu praw i wolności obywatelskich, należy odnieść się tu do katalogu tych praw i wolności, szeroko uwzględnionych w Konstytucji RP, a mających swoje rozwinięcie w szeregu innych ustaw, wskazać zatem należy, które z nich konkretnie zostały naruszone. Takiej egzemplifikacji GIODO nie dokonał, wskazując enigmatycznie, że nastąpiło pogorszenie sytuacji prawnej właściciela danych osobowych - M. G. (w świetle przepisów dotyczących umów konsumenckich). Ocena GIODO w tym przypadku odwołuje się do kryteriów pozaustawowych, nieznanych przepisowi art. 23 ust. l pkt 5 uodo. Jest więc dowolna i gołosłowna. Stwierdzenie, że nastąpiło pogorszenie sytuacji prawnej M. G. nie jest równoznaczne z naruszeniem praw i wolności obywatelskich, o czym mowa w ustawie.
Reasumując, skoro więc organ nie wykazał w sposób jednoznaczny, że zostały naruszone prawa i wolności M. G., to należy przyjąć, że art. 23 ust. l pkt 5 uodo mógł stanowić podstawę prawną udostępnienia jego danych osobowych.
Konsekwencją stwierdzenia, że dane osobowe zostały udostępnione na podstawie art. 23 ust. l pkt 5 uodo, jest brak naruszenia przepisów o ochronie danych osobowych i w związku z tym brak przesłanek do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem. Oznacza to, że w sprawie doszło również do naruszenia art. 18 ust. l uodo.
Decyzje wydawane na podstawie art. 18 ust. l uodo, co wynika z jego brzmienia, mają na celu "przywrócenie stanu zgodnego z prawem", a więc z istoty swej, dotyczą sytuacji (przetwarzania danych), w których doszło do naruszenia przepisów o ochronie danych osobowych.
Ustawa o ochronie danych osobowych służy ochronie danych osobowych i przyjąć należy, że w tym zakresie ma charakter kompleksowy. Jeśli zasadą jest, że dane osobowe mogą być przetwarzane za zgodą osoby, której dotyczą, to wszelkie wyjątki od niej muszą być interpretowane ściśle. Ustawa wprowadza wiele rozwiązań, które umożliwiają swobodne i zarazem dopuszczalne przetwarzanie danych osobowych w różnych sytuacjach.
Z drugiej zaś strony, dokonując wykładni przepisów ustawy o ochronie danych osobowych, należy również wziąć pod uwagę cele i podstawowe jej założenia, określone w art. 1 ust. 2, gdzie wskazano, iż przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich. Mając na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony prywatności, ma swoje źródło w przepisach, art. 47, art. 49, art. 50 i art. 51 Konstytucji RP. Prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, nie jest to więc prawo o charakterze absolutnym.
Nie można też tak rozumieć przepisów ustawy, że udostępnienie danych osobowych dłużnika w celu windykacji należności, narusza dobro tej osoby, gdyż byłoby to niczym nieuzasadnione jej uprzywilejowanie. Zawierając umowę cywilnoprawną, należy liczyć się z jej konsekwencjami, a także z tym, że obowiązek wykonania umowy dotyczy jednej i drugiej strony, nawet jeżeli jedna z nich jest konsumentem. Ochrona dóbr jednych nie może się odbywać kosztem naruszania praw innych, co można pośrednio, bądź bezpośrednio wywieźć z wielu przepisów Konstytucji RP (art. 2, art. 22, art. 31 ust. 3, art. 32 ust. 1, art. 83).
Dokonując ponownej analizy sprawy, GIODO zobowiązany będzie przede wszystkim do rozważenia stanu faktycznego niniejszej sprawy, zgodnie z obowiązującym stanem prawnym oraz wydania rozstrzygnięcia w trybie administracyjnym, w oparciu o przepisy ustawy o ochronie danych osobowych z uwzględnieniem wszelkich aspektów ochrony dóbr, interesów i uprawnień odnoszących się do zainteresowanych w sprawie podmiotów.
Z uwagi na powyższe, Wojewódzki Sąd Administracyjny w Warszawie w oparciu o art. 145 § 1 pkt 1 lit. "a" i "c" ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.) orzekł, jak w sentencji wyroku. W oparciu o art. 152 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, Sąd wstrzymał wykonanie zaskarżonej decyzji w całości.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 18.07.2026. · Źródło