Projekt Unijnego Rozporządzenia dot. ochrony danych osobowych
Na stronie internetowej KE możemy zapoznać się z projektem nowego aktu prawnego, który ma obowiązywać również w Polsce....

  
Wyszukiwarka orzeczeń i decyzji

Jeśli są Państwo zainteresowani otrzymaniem darmowego newslettera z informacjami dotyczącymi prawnej ochrony danych prosimy o podanie adresu e-mail:


Dodaj Usuń

Administratorem Twoich danych osobowych, udostępnionych dobrowolnie, jest Omni Modo z siedzibą w Warszawie (03-937), przy ul. Zwycięzców 45/29. Dane osobowe będą przetwarzane w celu przesyłania newslettera oraz będą udostępniane innym podmiotom współpracującym z Administratorem. Przysługuje Ci prawo dostępu do treści swoich danych oraz ich poprawiania.

Wyrażam zgodę na przesyłanie na udostępniony przeze mnie adres poczty elektronicznej newslettera zawierającego informację handlową w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 nr 144 poz. 1204 z późn. zm.).

Więcej informacji dotyczących ochrony danych osobowych Użytkowników i Regulamin świadczenia usług drogą elektroniczną tutaj


  

>Orzecznictwo>WSA>2005 >



II SA/Wa 1444/05
2009-04-09

Orzeczenie prawomocne

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 21 września 2005 r.

Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 21 września 2005 r. sprawy ze skargi A…… Sp. z o.o. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 7 maja 2004r. nr…w przedmiocie ochrony danych osobowych

1)    uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia 12 marca 2004r. nr……;
2)    zaskarżona decyzja nie podlega wykonaniu w całości;
3)    zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz A…… Sp. z o.o. z siedzibą w W…… kwotę …… tytułem zwrotu kosztów postępowania.

 

UZASADNIENIE

    W dniu 30 października 2003 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych została skierowana przez Andrzeja A. skarga, w której skarżący zwrócił się o zbadanie legalności udostępnienia przez A…… Sp. z o.o. z siedzibą W…… jego danych osobowych podmiotowi zajmującemu się windykacją należności, tj. Spółce E…… S.A. z siedzibą w B…...
W toku postępowania administracyjnego Generalny Inspektor Ochrony Danych Osobowych ustalił, że w dniu 26 stycznia 1996 r. Andrzej A. zawarł z A…… Sp. z. o.o. umowę na dostarczanie sygnału telewizji kablowej do zajmowanego przez niego lokalu, która to umowa została następnie przez A…… Sp. z o.o. rozwiązana z powodu zalegania przez skarżącego z płatnościami wynikającymi z jej realizacji.
W dniu 5 czerwca 2002 r. A…… Sp. z o.o., na podstawie art. 509 i nast. ustawy z dnia 23 kwietnia 1964r. – Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.), zawarła umowę o przelew wierzytelności z E…… S.A., na mocy której E…… S.A. przejęła wierzytelności A…… Sp. z o.o., w tym także wierzytelność wobec Andrzeja A.
W wyniku powyższej umowy E…… S.A. uzyskała dane osobowe skarżącego, obejmujące nazwisko i imię oraz adres zamieszkania. Organ ustalił również, że Andrzej A. nie wyrażał zgody na przekazanie przez A…… Sp. z o.o. osobie trzeciej uprawnień wynikających z zawartej z nim umowy na dostarczanie sygnału telewizji kablowej.
W dniu 12 marca 2004 r. Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 104 § 1 ustaw z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 1 w związku z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926 z późn. zm.) i art. 3851 § 1 w związku z art. 3853 pkt 5 Kc, wydał decyzję administracyjną, mocą której nakazał A…… Sp. z o.o. nieudostępnianie danych osobowych Andrzeja A., przetwarzanych w związku z przelewem wierzytelności, bez spełnienia warunków określonych w art. 3851 § 1 w związku z art. 3853 pkt 5 Kc, tj. bez zgody Andrzeja A.
W motywach rozstrzygnięcia organ podał, że A…… Sp. z o.o. udostępniła dane osobowe Andrzeja A., bez jego wiedzy i zgody, Spółce E…… S.A., czym naruszyła przepisy ustawy o ochronie danych osobowych. GIODO wskazał, że zgodnie z art. 23 ust. 1 ustawy, administrator danych powinien legitymować się przynajmniej jedną z przesłanek przetwarzania danych enumeratywnie wymienionych w tym przepisie. Przetwarzanie danych osobowych jest dopuszczalne m.in. wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę (art. 23 ust. 1 pkt 1) lub gdy zezwalają na to przepisy prawa (art. 23 ust. 1 pkt 2) natomiast, w myśl przepisu art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych osobowych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel, o którym mowa powyżej, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy).
GIODO zaznaczył, że skarżący nie wyrażał zgody na przekazanie jego danych, zatem przepis art. 23 ust. 1 pkt 1 ustawy nie znajduje w ogóle zastosowania. Również przepis art. 23 ust. 1 pkt 2 nie może stanowić legalnej podstawy przetwarzania jego danych, gdyż przepis art. 509 Kc, na który powołuje się Spółka, zawiera jedynie upoważnienie na dokonanie cesji wierzytelności, natomiast nie stanowi podstawy prawnej dla udostępnienia E…… S.A. danych osobowych Andrzeja A. Skoro umowa na dostarczanie sygnału telewizji kablowej została zawarta w 1996 r., a do dnia 1 lipca 2000 r. nie została wykonana, to w oczywisty sposób znajdują zastosowanie przepisy ustawy z dnia 2 marca 2000 r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny (Dz. U. Nr 22, poz. 271 z późn. zm.), mocą której zmieniony został przepis art. 3851 § 1 Kc. Stanowi on, że postanowienia umowy zawieranej z konsumentem nieuzgodnione indywidualnie nie wiążą go, jeżeli kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy (niedozwolone postanowienia umowne). Natomiast, w myśl art. 3853 pkt 5 Kc w razie wątpliwości uważa się, że niedozwolonymi postanowieniami umownymi są te, które w szczególności zezwalają kontrahentowi konsumenta na przeniesienie praw i przekazanie obowiązków wynikających z umowy bez zgody konsumenta. Zdaniem organu, wykładnia funkcjonalna powołanych powyżej przepisów wskazuje, że za niedozwolone uznać należy postanowienia umowy zawieranej z konsumentem, dopuszczające przeniesienie wierzytelności na osobę trzecią bez zgody konsumenta, zatem zakaz przekazania obowiązków jest lex specialis wobec unormowania zezwalającego na cesję wierzytelności bez zgody konsumenta.
Powyższe powoduje, że również przepis art. 23 ust. 1 pkt 5 ustawy nie ma w sprawie zastosowania. Wprawdzie ustawodawca zadecydował, iż przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 lub osób trzecich - w tym do dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej, jednak powyższe prawo nie jest nieograniczone. W myśl wskazanego przepisu przetwarzanie danych osobowych w powyższym celu jest dopuszczalne wtedy, gdy nie narusza praw i wolności osoby, której dane dotyczą. Organ skonstatował, że w świetle przepisów dotyczących umów konsumenckich przekazanie danych osobowych w związku z cesją wierzytelności narusza prawa i wolności osoby, której dane dotyczą.
Udostępnienie danych osobowych Andrzeja A. przez A…… Sp. z o.o., w wyniku zawartej umowy przelewu wierzytelności, nie było niezbędne do dochodzenia roszczeń wynikających z umowy na dostarczanie sygnału telewizji kablowej. W ocenie Generalnego Inspektora, jeżeli A…… Sp. z o.o. uznała, iż nie dysponuje wystarczającymi środkami organizacyjnymi skutecznego egzekwowania wobec Andrzeja A. należności, mogła tę kwestię powierzyć wyspecjalizowanej firmie windykacyjnej, na podstawie umowy, co byłoby zgodne z art. 31 ustawy i nie skutkowałoby zmianą administratora danych.
Zgodnie z tym przepisem, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (art. 31 ust. 1 ustawy), a podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (art. 31 ust. 2 ustawy). Zdaniem organu, gdyby zatem A…… Sp. z o.o. skorzystała z powyższej konstrukcji prawnej, nie byłoby podstaw do kwestionowania legalności takiego działania. W opinii Generalnego Inspektora, udostępnienie przez A…… Sp. z o.o. danych osobowych Andrzeja A. E…… S.A. naruszyło jego prawa i wolności.
A…… Sp. z o.o. złożyła wniosek o ponowne rozpatrzenie sprawy. We wniosku tym Spółka zażądała uchylenia decyzji jako wydanej z rażącym naruszeniem prawa. A…… Sp. z o.o. wskazała, że organ powołuje się w swym rozstrzygnięciu na art. 3851 § 1 i art. 3853 pkt 5 Kc stwierdzając, że zbycie wierzytelności stanowiło niedozwoloną klauzulę umowną w umowie między Andrzejem A. a A…… Sp. z o.o., podczas gdy art. 509 Kc nie stanowi dla takiej transakcji zbycia wierzytelności dostatecznej podstawy prawnej. A…… Sp. z o.o. podniosła, że w chwili dokonywania cesji wierzytelności umowa na dostarczanie sygnału telewizji kablowej była już rozwiązana, zatem powoływanie się przez GIODO na niedozwolone zapisy umowne jest nieuzasadnione. Według przepisów art. 384 i nast. Kc klauzule abuzywne – aby naruszały w sposób rażący interesy konsumenta – muszą istnieć w umownym wzorcu, który obowiązuje pomiędzy konsumentem i jego kontrahentem, gdyż tylko wówczas może taka klauzula kształtować prawa i obowiązki konsumenta. Brak klauzul we wzorcu umownym skutkuje zastosowaniem obowiązujących przepisów – w tym przypadku przepisu art. 509 Kc.
Ponadto Spółka zarzuciła, że organ ograniczył swoją decyzją prawo podmiotowe – prawo wynagrodzenia szkody – nie mając do tego podstaw prawnych, ani oparcia w okolicznościach faktycznych wobec braku niedozwolonych klauzul w umowie abonenckiej, nieobowiązywania umowy w momencie dokonywania cesji wierzytelności powstałych w wyniku jej niewykonania.
W ocenie Spółki, cesja wierzytelności jest prawnie usprawiedliwionym celem administratora danych, o którym mowa w art. 23 ust. 1 pkt 5 ustawy i nie wymaga zgody osoby na przetwarzanie jej danych osobowych w związku z cesją. Skonstatowała, że ratio legis art. 3853 pkt 5 Kc jest w istocie odmienne, gdyż chodzi w nim o zbycie praw i obowiązków wynikających z umowy konsumenckiej, a nie o cesję wierzytelności, tym samym w przypadku podmiotowych zmian umowy nie mogą zdarzać się takie standardowe zapisy, które z góry wyrażać będą zgodę konsumenta na dokonanie „generalnej cesji umowy” niemającej określonego celu lub przyczyny.
Po ponownym rozpatrzeniu sprawy Generalny Inspektor Ochrony Danych Osobowych, nie znajdując podstaw do uwzględnienia wniosku, wydał w dniu 7 maja 2004 r. decyzję, mocą której utrzymał swoją decyzję pierwszoinstancyjną nakazującą A…… Sp. z o.o. nieudostępnianie danych osobowych Andrzeja A., przetwarzanych w związku z przelewem wierzytelności bez jego zgody.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 31 maja 2004 r., złożonej za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych, A…… Sp. z o.o. wniosła o uchylenie decyzji GIODO oraz o zasądzenie kosztów postępowania. Zarzuciła organowi rażące naruszenie prawa, polegające na błędnej wykładni i niewłaściwym zastosowaniu przepisu art. 23 ust. 1 pkt 2 i 5 ustawy o ochronie danych osobowych oraz art. 3851 § 1 w związku z art. 3853 pkt 5 Kc, art. 509 Kc, art. 2 § 1 Kpc i art. 97 § 1 pkt 4 Kpa.
    A…… Sp. z o.o. wskazała, że cesja wierzytelności jest prawnie usprawiedliwionym celem administratora danych, albowiem celem cesji jest zaspokojenie roszczeń operatora telewizji kablowej, natomiast podstawą prawną jest w takim przypadku art. 471 Kc, zgodnie z którym dłużnik jest obowiązany do naprawienia szkody wyrządzonej na skutek niewykonania lub nienależytego wykonania umowy, chyba że odpowiedzialności nie ponosi oraz art. 509 Kc ustanawiający prawo podmiotowe wierzyciela do dokonywania przelewu wierzytelności bez zgody dłużnika.
Spółka podniosła, że art. 3853 pkt 5 Kc nie ma zastosowania w niniejszej sprawie z uwagi na fakt, że nie było substratu umownego, do którego mógłby odnosić się art. 3853 pkt 5 Kc.
A…… Sp. z o.o. zarzuciła Generalnemu Inspektorowi Ochrony Danych Osobowych, że omawiany przepis dotyczy wyłącznie „cesji umowy”, a w niniejszej sprawie doszło tylko do przelewu wierzytelności. Podkreśliła również, że art. 509 Kc stanowi dostateczną podstawą zezwalającą wierzycielowi na swobodne dysponowanie wierzytelnością oraz jej zbycie w związku z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. W ocenie Spółki, przepis art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych również w zakresie realizacji celu administratora danych będzie wystarczającym uzasadnieniem dla udostępnienia danych Andrzeja A. w ramach cesji wierzytelności.
Ponadto GIODO w sposób nieuprawniony wypowiedział się w sprawie ważności umowy przelewu, co należy do właściwości sądu powszechnego, którego opinia w tym względzie powinna, zdaniem skarżącej Spółki, poprzedzać wydanie przez organ decyzji. W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując w uzasadnieniu swego stanowiska procesowego argumentację zaprezentowaną w wydanych w sprawie decyzjach.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonego aktu administracyjnego i to z przepisami obowiązującymi w dacie jego wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.
Skarga analizowana pod tym kątem zasługuje na uwzględnienie.
W niniejszej sprawie zawarta została pomiędzy A…… Sp. z o.o. a E…… S.A. umowa przelewu wierzytelności, na podstawie art. 509 § 1 Kc, z jednoczesnym udostępnieniem danych osobowych dłużników skarżącej. Celem tej transakcji, co jasno wynika z zawartej umowy, było przeniesienie wierzytelności, jednak dla realizacji celu podstawowego, było niezbędne jednoczesne przekazanie danych osobowych dłużników, w tym również Andrzeja A.
W tego rodzaju sprawach należy wyraźnie rozgraniczyć dwa aspekty, wynikające z różnych regulacji prawnych, albowiem zawarcie umowy przelewu wywołuje skutki prawne regulowane przepisami Kodeksu cywilnego i przepisami ustawy o ochronie danych osobowych. Ocena dopuszczalności, skuteczności czy też ważności umowy przelewu należy do sądów powszechnych, ewentualnie w niektórych jej aspektach, może być również przedmiotem zainteresowań Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Jest to aspekt cywilnoprawny tej sprawy, który nie może być przedmiotem zainteresowań organu administracji publicznej.
Oznacza to, że przedmiotem kontroli Generalnego Inspektora Ochrony Danych Osobowych, zgodnie z art. 12 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), powinna być jedynie zgodność przetwarzania danych z przepisami o ochronie danych osobowych. W tym konkretnym zaś przypadku kontrola ta powinna polegać na zbadaniu, czy w wyniku zawartej umowy cywilnoprawnej, A…… Sp. z o.o. mogła przekazać firmie E…… S.A. dane osobowe Andrzeja A., zgodnie z przepisami ustawy o ochronie danych osobowych. GIODO nie jest natomiast uprawniony do badania dopuszczalności umowy przelewu wierzytelności, zgodnie z przepisami Kodeksu cywilnego, przekazującej dane osobowe Andrzeja A., gdyż w tym przypadku organ administracji publicznej, jakim niewątpliwie jest GIODO, wykracza poza swoje ustawowo określone kompetencje. Dla GIODO zawarta umowa przeniesienia wierzytelności powinna być czynnością prawną niepodlegającą jego ocenie, wywołującą skutki prawne do czasu, dopóki nie zostanie zakwestionowana w formie i trybie przewidzianym przez prawo. Innymi słowy, przekazanie danych osobowych Andrzeja A., nastąpiło wprawdzie w wyniku zawartej pomiędzy skarżącą a E…… S.A. umowy, jednak dla oceny tego zdarzenia, z punktu widzenia przepisów ustawy o ochronie danych osobowych, nie jest konieczna ocena samej umowy, gdyż jej przedmiotem był przelew wierzytelności, a nie udostępnienie (przekazanie) danych osobowych. Dane osobowe były tu tylko elementem niezbędnym do wykonania tej umowy i jest to niejako efekt wtórny zawartej umowy. Mogą być jednak sytuacje, w których same dane osobowe, a ściślej ich przetwarzanie, jest przedmiotem umowy – transakcji, o czym stanowi art. 31 uodo.
„Przetwarzanie danych” (art. 7 pkt 2 uodo), zgodnie z określeniem ustawowym, stanowi szereg różnych operacji (działań, czynności), które mogą być dokonywane na danych osobowych, wyliczenie to jednak, nie stanowi katalogu zamkniętego czynności, które mogą prowadzić do pozyskania danych osobowych. Pozyskanie danych osobowych może mieć charakter pierwotny (bezpośrednio od osoby, której dane dotyczą), bądź wtórny (od innego podmiotu, niż osoba, której dane dotyczą). Jednak z punktu widzenia przepisów ustawy o ochronie danych osobowych, nie jest istotna forma pozyskania danych, lecz sam fakt wejścia w posiadanie danych osobowych i ocena tego w oparciu o przepisy tej ustawy (A. Mednis, Ustawa o ochronie danych osobowych, Komentarz, Wyd. Praw. Warszawa 1999, s. 28).
Ponieważ ustawodawca nie określił w Kodeksie cywilnym, ani w ustawie o ochronie danych osobowych, w sposób szczególny wzajemnych relacji pomiędzy przepisami tych dwu ustaw, przyjąć zatem należy, że są to dwie autonomiczne jednocześnie obowiązujące regulacje prawne, rządzące się własnymi regułami, z założenia niekolidujące wzajemnie.
Dane osobowe mieszczą się w szeroko rozumianym pojęciu dóbr osobistych i jako takie, do czasu wejścia w życie przepisów ustawy o ochronie danych osobowych, podlegały ochronie na podstawie art. 23 i art. 24 Kc. Wejście w życie ustawy o ochronie danych osobowych, nie spowodowało uchylenia ani zmiany ww. przepisów Kodeksu cywilnego, gdyż te dopuszczają również ochronę wynikającą z innych przepisów, np. prawa karnego, prawa o wykroczeniach, czy też prawa administracyjnego. Tak więc ustawodawca celowo utrzymał (zachował) wielość form ochrony, opartych na różnych przepisach. Niektóre z nich, z uwagi na zastosowanie metody regulacji prawnej, mają charakter cywilnoprawny, inne zaś administracyjnoprawny. Wzajemna relacja przepisów Kodeksu cywilnego, w tym zakresie i innych przepisów, może polegać na kumulatywnym lub alternatywnym stosowaniu środków ochrony w nich przewidzianych, zależy to od osoby zainteresowanej (S. Dmowski, S. Rudnicki, Komentarz do kodeksu cywilnego, Księga pierwsza, część ogólna, Wyd. Praw. Lexis Nexis W-wa 2004, s. 102 i 114-115).
Przyjmując takie założenie, orzeczenie sądu powszechnego, oceniające na podstawie przepisów Kodeksu cywilnego, zawartą umowę, nie powoduje automatycznie konsekwencji na płaszczyźnie administracyjnoprawnej, czyli nie wpływa bezpośrednio na byt prawny aktu administracyjnego – decyzji wydanej przez GIODO w oparciu o przepisy ustawy o ochronie danych osobowych – i odwrotnie. Nie można przecież wykluczyć sytuacji, w których ocena samej umowy, z punktu widzenia przepisów Kodeksu cywilnego, może być negatywna, natomiast przetwarzanie danych w rozumieniu art. 7 pkt 2 uodo, w oparciu o przepisy ustawy o ochronie danych osobowych, może być ocenione pozytywnie jako nienaruszające przepisów o ochronie danych osobowych – i odwrotnie. Dlatego też, czym innym jest zgoda, o której mowa w przepisach art. 509 § 1, art. 3853 § 1 i art. 3853 pkt 5 Kc, a czym innym zgoda na przetwarzanie danych osoby, której dane dotyczą, w rozumieniu art. 23 ust. l pkt 1 uodo. Są to pojęcia równobrzmiące, jednak z uwagi na zamieszczenie ich w różnych przepisach i w różnych kontekstach, mają różne znaczenie i konsekwencje prawne. Zgoda, o której mowa w pierwszym przypadku podlega ocenie sądu powszechnego w oparciu o przepisy Kodeksu cywilnego, a zgoda, o której mowa w art. 23 ust. l pkt 1 uodo podlega ocenie GIODO i sądów administracyjnych – w oparciu o przepisy ustawy o ochronie danych osobowych. Mamy bowiem w rozpoznawanej sprawie do czynienia z dwiema czynnościami prawnymi: zawarciem umowy cywilnoprawnej i udostępnieniem danych osobowych, regulowanymi przepisami należącymi do dwu różnych gałęzi prawa (vide: wyrok Naczelnego Sądu Administracyjnego z dnia 16 grudnia 2004 r., sygn. akt OSK 829/04, niepublikowany).
Nie oznacza to jednak, że w sprawie administracyjnej w ogóle nie jest możliwe ocenianie znaczenia i skutków umowy dla potrzeb rozstrzygnięcia administracyjnego, jeśli prawo administracyjne odsyła do prawa cywilnego, o czym w dalszej części niniejszych rozważań.
Decyzje GIODO należy uznać za wadliwe, oparte na błędnych założeniach, tym samym większość tez zawartych w uzasadnieniach tych aktów jest bezużyteczna i zbędna w tym postępowaniu. Organ uznając za konieczne przesądzenie w pierwszej kolejności, czy było dopuszczalne zawarcie umowy na podstawie art. 509 § 1 Kc w świetle regulacji prawnych art. 3851 § 1 i art. 3853 pkt 5 Kc, przeniósł następnie dokonaną w tym zakresie ocenę na płaszczyznę art. 23 uodo, w którym zostały wymienione przesłanki dopuszczalności przetwarzania danych osobowych. Tymczasem wystarczyło dokonać oceny, czy dane osobowe Andrzeja A. zostały udostępnione przez A…… Sp. z o.o. firmie E…… S.A. w oparciu o jedną chociażby z przesłanek wymienionych w art. 23 ust. l uodo.
Wszystkie zawarte w tym przepisie przesłanki są równorzędne i niezależne od siebie, a dla przesądzenia o tym, że przetwarzanie danych jest dopuszczalne, wystarczy wskazanie jednej z nich. Sąd celowo pomija w swych rozważaniach przesłanki z pkt 1, 3 i 4 art. 23 ust. 1 uodo., albowiem w sposób oczywisty nie znajdują one zastosowania w niniejszej sprawie, co jest zresztą bezsporne. A…… Sp. z o.o. wskazywała jako podstawę udostępnienia danych osobowych Andrzeja A. przepisy art. 23 ust. l pkt 2 i 5 uodo. GIODO nie podzielił tego stanowiska.
Sytuacja, w której przetwarzanie danych jest dopuszczalne, gdy „zezwalają na to przepisy prawa” (art. 23 ust. l pkt 2 uodo w brzmieniu sprzed dnia 1 maja 2004 r.), niezależnie od tego, jak ten warunek się rozumie, budzić on musi wiele wątpliwości z uwagi na to, że w większości źródeł powszechnie obowiązującego prawa w Polsce, nie ma w ogóle mowy o przetwarzaniu danych osobowych. W dużej części, jest to spowodowane zapewne tym, że ustawa o ochronie danych osobowych obowiązuje dopiero od ośmiu lat, zaś samą ustawą wprowadzono zmiany zaledwie w kilku regulacjach. Tymczasem w obrocie prawnym, w różnych dziedzinach i w różnym zakresie, dane osobowe – szczególnie te podstawowe, są w powszechnym użyciu. Nie można jednak tak, jak wywodzi skarżąca Spółka, przyjąć za dorozumiane istnienie takiego zezwolenia. Zezwolenie, o którym mowa w art. 23 ust. l pkt 2 uodo, musi być wyraźnie wyartykułowane w przepisach, bądź wynikać z ich kontekstu. Przepis art. 509 § 1 Kc nie zawiera w sobie zezwolenia, o którym mowa w art. 23 ust. l pkt 2 uodo, podobnie jak i inne przepisy tego Kodeksu. GIODO w zaskarżonej decyzji, jak i w decyzji ją poprzedzającej, wskazuje jako jedną z podstaw prawnych właśnie przepis art. 23 ust. 1 pkt 2 uodo, przy czym w uzasadnieniach stwierdza, że ta przesłanka nie ma w sprawie zastosowania. Przyjęcie takiej konstrukcji wskazuje na istnienie wewnętrznych sprzeczności w wydanych rozstrzygnięciach.
Brzmienie przepisu art. 23 ust. 1 pkt 2 uod. w odniesieniu do Dyrektywy 95/46 Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych, ujęte zostało zbyt szeroko. W związku z powyższym, mając na uwadze zalecenie Komisji Europejskiej, ustawą z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych (Dz. U. Nr 33, poz. 285), zmieniono brzmienie art. 23 ust. l pkt 2 uodo. Zgodnie z aktualnym brzmieniem tego przepisu, przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
W swych rozstrzygnięciach organ przyjął, że dochodzenie roszczeń jest prawnie usprawiedliwionym celem administratora danych w związku z czym przetwarzanie danych (udostępnienie) jest dopuszczalne, jako niezbędne do realizacji tego celu, pod warunkiem jednak, że nie narusza to praw i wolności osoby, której dane dotyczą, w tym przypadku Andrzeja A. (przepis art. 23 ust. l pkt 5 uodo w brzmieniu sprzed dnia 1 maja 2004 r.). W sytuacji tak opisanej w art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 2 uodo, nie jest wymagana zgoda osoby, której dane dotyczą.
Sąd podziela pogląd, że dochodzenie roszczeń wynikających z prowadzonej działalności gospodarczej może być prawnie usprawiedliwionym celem administratora danych. Pytanie jednak, czy cel ten może rodzić potrzebę (niezbędność) przetwarzania danych osoby, której te roszczenia dotyczą, wobec ustawowego zastrzeżenia, zgodnie z którym w takiej sytuacji nie może dojść do naruszenia praw i wolności tej osoby. Innymi słowy, czy cel administratora danych uzasadnia niezbędność przetwarzania danych, a jeśli tak to, czy nie narusza to praw i wolności osoby, której dane dotyczą. Pozostaje więc do rozważenia, czy w rozpoznawanej sprawie, po stronie administratora danych cel uzasadniał niezbędność przetwarzania danych i czy w wyniku udostępnienia danych osobowych, zostały naruszone prawa i wolności Andrzeja A.
W ocenie GIODO, A…… Sp. z o.o. nie mogła udostępnić firmie E…… S.A. danych osobowych Andrzeja A. w oparciu o treść art. 23 ust. l pkt 5 uodo, ponieważ w świetle przepisów dotyczących umów konsumenckich dochodzi do pogorszenia jego sytuacji prawnej.
Obecna redakcja tego przepisu nie zmienia jego brzmienia w zakresie będącym przedmiotem zainteresowania. Przesłanka ta odnosi się wprost do administratora danych osobowych lub odbiorcy danych, którzy aby zrealizować prawnie dopuszczalne cele zmuszeni są przetwarzać dane osobowe, pod warunkiem jednak, że nie naruszy to praw i wolności osoby, której dane dotyczą.
Ustalenie, że administrator danych osobowych (odbiorca danych) realizuje cel prawnie usprawiedliwiony nie może przesądzić o dopuszczalności przetwarzania danych osobowych (udostępniania tych danych innemu podmiotowi) bez zgody osoby, której dane dotyczą. Konieczne jest zatem dokonanie oceny, czy jest to niezbędne dla realizacji tego celu, a co najważniejsze, dokonanie wyważenia interesów administratora danych, zwłaszcza w aspekcie prawa do prowadzenia działalności gospodarczej, prawa dochodzenia roszczeń i interesów osoby, której dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności. Z art. 1 uodo wynika, że każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 ustawy, dopuszczalne jest tylko ze względu na określone dobra i tylko w zakresie i trybie określonym ustawą. Realizacja prawnie usprawiedliwionego celu przez administratora danych w żadnym razie nie może naruszać praw i wolności osoby, której dane dotyczą. Zatem ocena ta ma służyć wyważeniu racji i interesów, z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes, aby jej dane osobowe nie były przetwarzane bez jej zgody, a z drugiej strony administratora danych, który ma także objęty ochroną prawną interes polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia, co w przypadku administratora danych, będącego wierzycielem, obejmuje jego prawo do uzyskania należnego świadczenia od dłużnika.
Przepisy ustawy z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz. 424 z późn. zm.) regulują zasady i tryb udostępniania przez przedsiębiorców informacji gospodarczych, a w tym i danych osobowych osób fizycznych, dotyczących wiarygodności płatniczej innych przedsiębiorców i konsumentów, w szczególności danych o zwłoce w wykonywaniu zobowiązań pieniężnych osobom trzecim nieoznaczonym w chwili przeznaczenia tych danych do udostępnienia. Przepisy tej ustawy dobitnie wskazują, że ochrona danych osobowych na podstawie ustawy o ochronie danych osobowych nie powinna być absolutyzowana, ponieważ jej przepisy muszą być stosowane i interpretowane łącznie z innymi przepisami ustawowymi służącymi ochronie także innych wartości (vide: wyrok Naczelnego Sądu Administracyjnego w składzie 7 sędziów z dnia 6 czerwca 2005 r., sygn. akt I OPS 2/05, niepublikowany).
W tym też znaczeniu rozstrzygnięcie organu administracyjnego korzystać będzie z innych regulacji, zwłaszcza gdy prawo administracyjne odsyła do innych gałęzi prawa (np. prawa cywilnego). W przypadku art. 23 ust. 1 pkt 5 uodo takie odesłanie ma miejsce.
Mówiąc o naruszeniu praw i wolności obywatelskich, należy odnieść się tu do katalogu tych praw i wolności szeroko uwzględnionych w Konstytucji RP, a mających swoje rozwinięcie w szeregu innych ustaw. Wskazać zatem należy, które z nich konkretnie zostały naruszone. Takiej egzemplifikacji GIODO nie dokonał, wskazując enigmatycznie, że nastąpiło pogorszenie sytuacji prawnej właściciela danych osobowych – Andrzeja A. (w świetle przepisów dotyczących umów konsumenckich). Ocena GIODO w tym przypadku odwołuje się do kryteriów pozaustawowych, nieznanych przepisowi art. 23 ust. l pkt 5 uodo. Jest więc dowolna i gołosłowna. Stwierdzenie, że nastąpiło pogorszenie sytuacji prawnej Andrzeja A. nie jest równoznaczne z naruszeniem praw i wolności obywatelskich, o czym mowa w ustawie.
Reasumując, skoro więc organ nie wykazał w sposób jednoznaczny, że zostały naruszone prawa i wolności Andrzeja A., to należy przyjąć, że art. 23 ust. l pkt 5 uodo mógł stanowić podstawę prawną udostępnienia jego danych osobowych. Okoliczność ta w głównej mierze przesądza o uwzględnieniu skargi.
Konsekwencją stwierdzenia, że dane osobowe zostały udostępnione na podstawie art. 23 ust. l pkt 5 uodo, jest brak naruszenia przepisów o ochronie danych osobowych i w związku z tym brak przesłanek do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem. Oznacza to, że w sprawie doszło również do naruszenia art. 18 ust. l uodo w świetle samego rozstrzygnięcia – osnowy tej decyzji.
Decyzja administracyjna jako akt władczy (akt administracyjny) organu administracji publicznej w swojej podstawie prawnej, powinna przywoływać przepisy administracyjnego prawa materialnego i przepisy postępowania – najczęściej przepisy Kodeksu postępowania administracyjnego (art. 107 § 1 Kpa). Nie ma też chyba wątpliwości, że przepisy Kodeksu cywilnego, nie należą do przepisów prawa administracyjnego, a tym bardziej, że organy administracji publicznej, nie mogą się powoływać na nie w swoich rozstrzygnięciach. Rozstrzygnięcie sprawy administracyjnej, zawarte w osnowie decyzji, nie może też być odnoszone do warunków, wynikających z przepisów Kodeksu cywilnego, chyba żeby ustawodawca tak wyraźnie postanowił. Decyzja administracyjna wydana na podstawie art. 104 § 1 Kpa, powinna rozstrzygać sprawę co do jej istoty, jednak orzeczenie to musi być oparte na przepisach prawa administracyjnego, co wynika wprost z art. 19 i następnych Kp.. Decyzja administracyjna jest rozstrzygnięciem władczym organu administracji publicznej, opartym na konkretnym stanie faktycznym (art.7, 77 § 1 Kpa), niezależnie od tego, czy ten stan jest zgodny z prawem, czy też nie. Samo rozstrzygnięcie zawarte w osnowie decyzji przesądza dopiero o tym, czy istniejący stan faktyczny (podjęte przez stronę działania) jest zgodny z prawem, czy też nie. Decyzje wydawane na podstawie art. 18 ust. l uodo, co wynika z jego brzmienia, mają na celu „przywrócenie stanu zgodnego z prawem”, a więc z istoty swej, dotyczą sytuacji (przetwarzania danych), w których doszło do naruszenia przepisów o ochronie danych osobowych.
Ustawa o ochronie danych osobowych służy ochronie danych osobowych i przyjąć należy, że w tym zakresie ma charakter kompleksowy. Jeśli zasadą jest, że dane osobowe mogą być przetwarzane za zgodą osoby, której dotyczą, to wszelkie wyjątki od niej muszą być interpretowane ściśle. Ustawa wprowadza wiele rozwiązań, które umożliwiają swobodne i zarazem dopuszczalne przetwarzanie danych osobowych w różnych sytuacjach.
Z drugiej zaś strony, dokonując wykładni przepisów ustawy o ochronie danych osobowych należy również wziąć pod uwagę cele i podstawowe jej założenia, określone w art. 1 ust. 2, gdzie wskazano, iż przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich. Mając na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony własnej prywatności, ma swoje źródło w przepisach, art. 47, art. 49, art. 50 i art. 51 Konstytucji RP. W praktyce prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie.
Nie można też tak rozumieć przepisów ustawy, że udostępnienie danych osobowych dłużnika w celu windykacji należności, narusza dobro tej osoby, gdyż byłoby to niczym nieuzasadnione jej uprzywilejowanie. Zawierając umowę cywilnoprawną, należy liczyć się z jej konsekwencjami, a także z tym, że obowiązek wykonania umowy dotyczy jednej i drugiej strony, nawet jeżeli jedna z nich jest konsumentem. Ochrona dóbr jednych nie może się odbywać kosztem naruszania praw innych, co można pośrednio, bądź bezpośrednio wywieźć z wielu przepisów Konstytucji RP (art. 2, art. 22, art. 31 ust. 3, art. 32 ust. 1, art. 83).
Dokonując ponownej analizy sprawy, GIODO zobowiązany będzie przede wszystkim do rozważenia stanu faktycznego niniejszej sprawy zgodnie z obowiązującym stanem prawnym oraz wydania rozstrzygnięcia w trybie administracyjnym, w oparciu o przepisy ustawy o ochronie danych osobowych z uwzględnieniem wszelkich aspektów ochrony dóbr, interesów i uprawnień odnoszących się do zainteresowanych w sprawie podmiotów.
Z uwagi na powyższe, Wojewódzki Sąd Administracyjny w Warszawie w oparciu o art. 145 § 1 pkt 1 lit. „a” i „c” ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.) orzekł, jak w sentencji wyroku. W oparciu o art. 152 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, Sąd wstrzymał wykonanie zaskarżonej decyzji w całości.
O kosztach orzeczono na podstawie art. 200, art. 205 § 2 i art. 209 ustawy – Prawo o postępowaniu przed sądami administracyjnymi. Sąd zasądzając na rzecz skarżącej Spółki kwotę … zł uwzględnił w niej wartość uiszczonego wpisu w wysokości … zł, … zł z tytułu poniesionej opłaty skarbowej od udzielonego pełnomocnictwa oraz wynagrodzenie pełnomocnika w kwocie … zł, zgodnie z § 14 ust. 2 pkt 1 lit. „c” rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności radców prawnych oraz ponoszenia przez Skarb Państwa kosztów pomocy prawnej udzielonej przez radcę prawnego ustanowionego z urzędu (Dz. U. Nr 163, poz. 1349 z późn. zm.).
 

Copyright (c) 2007 by E-Ochronadanych.pl - Wszelkie prawa zastrzeżone Polityka prywatności | Regulamin | Nota prawna
Kopiowanie materiałów - zabronione Ustawa o ochronie danych osobowych | GIODO | Administrator bezpieczeństwa informacji