GI-DEC-DS-36/04
2007-05-14
Warszawa, dnia 13 lutego 2004 r.
(dotyczy udostępnienia danych osobowych Skarżącej przez Operatora podmiotowi zajmującemu się windykacją i obrotem wierzytelnościami)
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 1 w związku art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz z art. 385¹ § 1 w związku z art. 385³ pkt 5 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.),
po przeprowadzeniu postępowania administracyjnego w sprawie udostępnienia przez Operatora S.A., Spółce z o.o., danych osobowych.
nakazuję Operatorowi S.A., nieudostępnianie danych osobowych Skarżącej, przetwarzanych w związku z przelewem wierzytelności, bez spełnienia warunków określonych w art. 3851 § 1 w związku z art. 3853 pkt 5 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.), tj. bez zgody Skarżącej.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga, w której Skarżąca zwróciła się o zbadanie legalności udostępnienia przez Operatora, jej danych osobowych Spółce z o.o. - podmiotowi zajmującemu się windykacją i obrotem wierzytelnościami.
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie, Generalny Inspektor Ochrony Danych Osobowych ustalił następujące okoliczności faktyczne:
1. W dniu 20 grudnia 2000 r. Skarżąca zawarła z Operatorem „umowę oświadczenie usług telekomunikacyjnych z abonentem indywidualnym” (kserokopia umowy w aktach sprawy), która została następnie przez Operatora rozwiązana w dniu 26 czerwca
2002 r., z powodu zalegania przez Skarżącą z płatnościami za świadczone przez Operatora usługi.
2. W dniu 20 maja 2003 r. Operator zawarł umowę o przelew wierzytelności ze Spółką z o.o., (kopia umowy w aktach sprawy), na mocy której Spółka Sp. z o.o. przejęła wierzytelności Operatora, w tym wierzytelność wobec Skarżącej. Zarówno u podstaw udostępnienia przez Operatora, jak i pozyskania przez Spółkę Sp. z o.o. przedmiotowych danych wskazano art. 509 i nast. ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.), zwanej dalej Kc.
3. Zakres udostępnionych przez Operatora danych Skarżącej obejmował: nazwisko i imię dłużnika, numer PESEL, numer dowodu osobistego, adres zamieszkania, numer telefonu oraz dane niezbędne do ustalenia wysokości i tytułu wierzytelności.
4. Pismem z dnia 17 czerwca 2003 r. Spółka Sp. z o.o. poinformowała Skarżącą, że na podstawie umowy przelewu-cesji, nabyła od Operatora jego wierzytelność wobec Skarżącej, wynikającą z umowy o świadczenie usług telekomunikacyjnych oraz wskazała na jakie konto jest ona zobowiązana dokonać wpłaty na poczet powyższej wierzytelności.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane
w zbiorach danych (art. 2 ust. 1 ustawy). Przetwarzanie danych osobowych jest zgodne z prawem jedynie wówczas, gdy administrator danych legitymuje się posiadaniem co najmniej jednej, spośród wymienionych w art. 23 ust. 1 ustawy, materialnej przesłanki dopuszczalności przetwarzania.
W myśl powołanego wyżej przepisu przetwarzanie danych osobowych, w tym ich udostępnienie – stosownie do art. 7 pkt 2 ustawy, jest dopuszczalne tylko wtedy, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), zezwalają
na to przepisy prawa (pkt 2), jest konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem umowy (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 ustawy, tj. osób fizycznych i prawnych oraz jednostek organizacyjnych nie posiadających osobowości prawnej, które przetwarzają dane
w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, lub osób trzecich, którym są przekazywane te dane – a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Przy czym, jak to określa art. 23 ust. 4 ustawy, za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5 ustawy, uważa się w szczególności: marketing bezpośredni własnych produktów lub usług administratora danych (pkt 1), dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (pkt 2).
Mając na uwadze stan faktyczny rozpatrywanej sprawy, stwierdzić należy, iż podstawy prawnej udostępnienia przez Operatora danych osobowych Skarżącej nie stanowi art. 23 ust. 1 pkt 1. Z treści postanowień umownych nie wynika bowiem, aby Skarżąca wyraziła zgodę
na przeniesienie przez Operatora przysługujących wobec niej uprawnień w drodze przelewu na inne podmioty.
Jako podstawę udostępnienia danych Skarżącej Operator wskazał m.in. przepis art. 509 Kc. Zgodnie z jego treścią wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania (§1). Wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, w szczególności roszczenie o zaległe odsetki (§2).
W ocenie Generalnego Inspektora Ochrony Danych Osobowych, przepis art. 509 Kc, nie stanowi podstawy prawnej dla udostępnienia Spółce Sp. z o.o. danych osobowych Skarżącej. Podkreślić bowiem należy, iż z dniem 1 lipca 2000 r., mocą ustawy z dnia 2 marca 2000 r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny (Dz. U. Nr 22, poz. 271 z późn. zm.), zmieniony został przepis art. 3851 § 1 Kc. Obecnie stanowi on, że postanowienia umowy zawieranej z konsumentem nieuzgodnione indywidualnie nie wiążą go, jeżeli kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy (niedozwolone postanowienia umowne). Nie dotyczy to postanowień określających główne świadczenia stron, w tym cenę lub wynagrodzenie, jeżeli zostały sformułowane w sposób jednoznaczny. Natomiast w myśl art. 3853 pkt 5 Kc, w razie wątpliwości uważa się, że niedozwolonymi postanowieniami umownymi są te, które w szczególności zezwalają kontrahentowi konsumenta na przeniesienie praw i przekazanie obowiązków wynikających z umowy bez zgody konsumenta. Wykładnia funkcjonalna powołanych powyżej przepisów wskazuje zatem, że za niedozwolone uznać należy postanowienia umowy zawieranej z konsumentem dopuszczające przeniesienie wierzytelności na osobę trzecią bez zgody konsumenta.
Słuszność przedstawionej powyżej interpretacji przepisów Kodeksu cywilnego potwierdził Prezes Urzędu Ochrony Konkurencji i Konsumentów. W jego opinii cesja długów abonenta pomiędzy przedsiębiorcą, a firmą windykacyjną bez zgody konsumenta spełnia ogólne przesłanki niedozwolonego postanowienia umownego, określonego w art. 3853 pkt 5 Kc, tj. nie jest uzgodnione indywidualnie, kształtuje prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami i naruszający interesy konsumenta. O ile zatem brak jest formalnego zapisu przedmiotowego postanowienia we wzorcu umownym – nie może być uznane za dozwolone postanowienie umowne. Brak formalnego sformułowania postanowienia, przy jednoczesnym stosowaniu analogicznego warunku stanowi w praktyce naruszenie zasad uczciwego obrotu i czyn nieuczciwej konkurencji
w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji
(Dz. U. Nr 47, poz. 211 z późn. zm.).
Zdaniem Generalnego Inspektora Ochrony Danych Osobowych, udostępnienie przez Spółkę Sp. z o.o. danych osobowych Skarżącej nie było działaniem koniecznym dla realizacji zawartej z nią umowy. Tym samym, nie można przyjąć, iż przetwarzanie przedmiotowych danych było dopuszczalne na podstawie z art. 23 ust. 1 pkt 3 ustawy. Z tych samych względów, stwierdzić należy, iż podstawy prawnej udostępnienia danych osobowych Skarżącej nie stanowi również przepis art. 69 ust. 1 z dnia 21 lipca 2000 r. Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852 z późn. zm.). W rozpatrywanej sprawie nie zachodzą również okoliczności wskazane art. 23 ust. 1 pkt 4 ustawy, bez wątpienia nie chodzi w niej bowiem o przetwarzanie danych osobowych Skarżącej dla dobra publicznego.
Konkludując, stwierdzić należy, iż niedopuszczalne jest udostępnianie przez Operatora w drodze przelewu wierzytelności osobom (podmiotom) trzecim danych Skarżącej wyłącznie na podstawie art. 509 Kc. Działanie powyższe – nie poprzedzone zgodą Skarżącej przyjmuje bowiem charakter niedozwolonych postanowień umownych, o których mowa w art. 3853 pkt 5 Kc, te zaś zgodnie z art. 3851 § 1 Kc nie są dla Skarżącej (konsumenta) wiążące. W świetle przepisów o ochronie danych osobowych oznacza to, że Operator, zbywając wierzytelność Skarżącej, bez jej zgody udostępnił jej dane w sposób nieuprawniony, tj. nie dysponował żadną z przesłanek określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych.
Mając powyższe na uwadze, w tym stanie prawnym i faktycznym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak we wstępie.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych, stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od daty jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku
o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).
