II SA/Wa 1445/05
2009-04-09
Orzeczenie prawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 21 września 2005 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 21 września 2005 r. sprawy ze skargi P…… S.A. z siedzibą w W…na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 2 kwietnia 2003 r. nr… w przedmiocie ochrony danych osobowych
1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia 17 stycznia 2003 r. nr …;
2. zaskarżona decyzja nie podlega wykonaniu w całości;
3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz P… S.A. z siedzibą w W… kwotę … tytułem zwrotu kosztów postępowania.
UZASADNIENIE
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 11 marca 2004 r. (sygn. akt II SA 1630/03) oddalił skargę P…… S.A. w W…… na decyzję z dnia 2 kwietnia 2003 r., którą Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy własną decyzję z dnia 17 stycznia 2003 r., którą nakazał P…… S.A. z siedzibą w W…… nieudostępnianie danych osobowych Grzegorza K., przetwarzanych w związku z przelewem wierzytelności, bez spełnienia warunków określonych w art. 3851 § 1 w związku z art. 3853 pkt 5 kc, tj. bez zgody Grzegorza K.
Z uzasadnień powyższych decyzji wynika, że Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie na skutek skargi wniesionej przez Grzegorza K., który w dniu 18 grudnia 1997 r. zawarł z P…… S.A. w W…… umowę o świadczenie usług telekomunikacyjnych, o rozwiązanie której następnie wystąpił w dniu 28 marca 2000 r. W dniu 24 czerwca 2002 r. P…… S.A. zawarła z P…… Sp. z o.o. z siedzibą w P……, umowę, o przelew wierzytelności na podstawie art. 509 kc, która dotyczyła również wierzytelności Grzegorza K. W wykonaniu tej umowy P…… S.A. udostępniła P…… Sp. z o.o. dane osobowe Grzegorza K. W opinii z dnia 2 września 2002 r. Prezes Urzędu Ochrony Konkurencji i Konsumentów poinformował GIODO, że cesja długów abonenta pomiędzy przedsiębiorcą a firmą windykacyjną dopuszczalna jest jedynie za zgodą klienta, co wynika z art. 3851 § 1 kc.
W związku z czym, GIODO wydał w dniu 17 stycznia 2003 r. decyzję cytowaną na wstępie i decyzję nakazującą P…… Sp. z o.o. usunięcie danych osobowych Grzegorza K. Od powyższej decyzji adresowanej do P…… S.A., Spółka ta złożyła wniosek o ponowne rozpatrzenie sprawy, powołując się między innymi na naruszenie art. 105 kpa. Dokonana została cesja wierzytelności, której bezskuteczności nie stwierdzono. Z chwilą dokonania przelewu, P…… S.A. nie posiadała już wierzytelności i nie ma w związku z tym „przedmiotu”, który mógłby podlegać przelewowi bez zgody Grzegorza K. Podniesiono też zarzut naruszenia art. 18 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) w związku z art. 105 kpa i art. 23 ust. l uodo oraz nieuwzględnienie podstawy przekazania danych osobowych, wynikającej z art. 23 ust. l pkt 5 uodo. Zakwestionowano też dokonaną przez GIODO interpretację art. 3851 § 1 i art. 3853 pkt 5 kc.
Decyzją z dnia 2 kwietnia 2003 r. GIODO utrzymał w mocy swoją wcześniejszą decyzję.
W motywach rozstrzygnięcia GIODO wskazał, iż przymiot administratora danych posiadała Spółka P…… S.A., która nabyła prawo do przetwarzania danych, w granicach określonych postanowieniami umowy abonenckiej i w celu jej realizacji. Z umowy tej nie wynika, aby Grzegorz K. wyraził zgodę na przekazanie swoich danych innym podmiotom. Podstawą przekazania danych osobowych Grzegorza K., nie mogła być umowa zawarta na podstawie art. 509 kc, na co wskazuje przepis art. 3851 § 1 kc, w brzmieniu nadanym ustawą z dnia 2 marca 2000 r. o ochronie niektórych praw konsumentów oraz odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny (Dz. U. Nr 22, poz. 571).
Na powyższą decyzję w dniu 30 kwietnia 2003 r. P…… S.A. złożyła skargę do Naczelnego Sądu Administracyjnego w Warszawie, wnosząc o uchylenie zaskarżonej decyzji i zasądzenie kosztów postępowania. Skarżąca podniosła argumenty podobne, jak wcześniej we wniosku o ponowne rozpatrzenie sprawy.
W ocenie Spółki, umowa zawarta z Grzegorzem K. nie zawierała żadnych postanowień zakazujących dokonania przelewu wierzytelności, nie ma więc w tym przypadku niedozwolonych postanowień umownych. GIODO błędnie utożsamia skutki wynikające z ustawy (swobodne dysponowanie wierzytelnością) z postanowieniami umownymi. Przedmiotem regulacji art. 3853 pkt 5 kc jest łączne przeniesienie praw i obowiązków z umowy na osobę trzecią, a nie tylko samych praw. Przelew wierzytelności, nie jest też sprzeczny z dobrymi obyczajami, ani nie narusza rażąco interesów klienta.
Wierzytelność została scedowana umową z dnia 24 czerwca 2002 r. i GIODO nie uznał, że umowa ta jest nieważna. Zgodnie z brzmieniem art. 3851 kc postanowienia abuzywne nie wiążą konsumenta. Przepis ten dotyczy umów zawieranych przez przedsiębiorcę z konsumentem i nie powinien być brany pod uwagę przy umowach zawieranych pomiędzy przedsiębiorcami. GIODO utożsamia zgodę na dokonanie przelewu ze zgodą na przetwarzanie danych osobowych. Tymczasem GIODO jest to organ ochrony danych osobowych i nie może zajmować się problematyką konsumencką. Podstawą przekazania danych osobowych był art. 509 § 1 kc w związku z art. 23 ust. l pkt 2 uodo.
W odpowiedzi na skargę GIODO, podtrzymując stanowisko zajęte w zaskarżonej decyzji, wniósł o jej oddalenie, jednocześnie wskazując, iż sprzeczność czynności prawnej z przepisem powszechnie obowiązującym, rodzi na tle art. 58 § 1 kc bezwzględną nieważność danej czynności, co ma miejsce w przedmiotowej sprawie. Z tego powodu, nie zmienił się administrator danych osobowych, nadal nim jest Spółka P…… S.A. i sprawa nie jest bezprzedmiotowa. Zawarta umowa przelewu wierzytelności na podstawie art. 509 kc jest sprzeczna z przepisami art. 3853 i 3851 § 1 kc, bowiem Grzegorz K. zawarł umowę o świadczenie jako konsument i nie wyrażał zgody na przeniesienie wierzytelności. Umowa przelewu wierzytelności zawarta pomiędzy firmami P…… a P……, ukształtowała prawa i obowiązki Grzegorza K. w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy.
Wojewódzki Sąd Administracyjny w Warszawie oddalając skargę P…… S.A. wyrokiem z dnia 11 marca 2004 r. podkreślił, iż z uwagi na zakres swojej właściwości, nie badał ważności, czy też skuteczności umowy cesji wierzytelności dokonanej pomiędzy P…… S.A. a P…… Sp. z o.o., bowiem należy to do kompetencji sądu powszechnego. Zarówno GIODO, jak i sąd administracyjny, mogą oceniać kwestie ochrony danych osobowych z punktu widzenia ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Z tego względu wypowiedzi GIODO na temat skuteczności, czy ważności umowy przelewu, mają tylko charakter prawnych dywagacji (opinii organu).
Zdaniem Sądu, podstawą przekazania danych osobowych Grzegorza K. nie mógł być art. 23 ust. l pkt 2 uodo, który dopuszcza przetwarzanie danych, gdy zezwalają na to przepisy prawa, bowiem art. 509 kc takiej dyspozycji nie zawiera. Tymczasem musi to być wyraźne upoważnienie ustawowe, takie jak zostało zawarte w ustawie o statystyce publicznej lub o policji. Umowa przelewu wierzytelności, zdaniem Sądu, może powodować powstanie usprawiedliwionych celów administratora w rozumieniu przepisu art. 23 ust. l pkt 5 uodo, należy jednak pamiętać, że nie może nastąpić pogorszenie sytuacji właściciela danych.
Dokonana cesja wierzytelności wiąże się zarówno z przeniesieniem praw, jak i przeniesieniem obowiązków, co potwierdza art. 513 § 2 kc, jak i treść umowy przelewu, w której nabywca zobowiązał się do wysłania dłużnikowi w imieniu zbywcy pisemnego zawiadomienia o przelewie wierzytelności - § 5 umowy przelewu. Przepis art. 519 kc nie ma w sprawie znaczenia. Dokonane przekazanie danych osobowych Grzegorza K. w związku z umową cesji wierzytelności, w ocenie Sądu , nie znajduje podstawy prawnej w art. 23 uodo.
Zarzut bezprzedmiotowości decyzji GIODO, po dokonanej cesji wierzytelności, Sąd uznał za niezasadny. P…… S.A. nadal dysponowała danymi osobowymi Grzegorza K. i istniały władcze kompetencje do orzekania w drodze decyzji na podstawie art. 18 uodo. Fakt, że GIODO zakazał przekazania danych w związku z przelewem wierzytelności, wiązał się z zakresem stwierdzonego naruszenia.
Z punktu widzenia art. 18 nie jest istotne, czy takie czynności były prawnie skuteczne, czy nie oraz czy mogły być prawnie skuteczne w przyszłości. Czym innym jest skuteczność samej umowy, a czym innym przekazanie danych osobowych. Gdyby GIODO w takiej sytuacji umarzał postępowania, to poza zakresem jego kontroli pozostawałby cały obszar faktycznych działań administratora. Sentencja decyzji GIODO, nie mogła być inna, gdyż nakazy lub zakazy tego organu muszą być konsekwencją stwierdzonych naruszeń i nie mogły generalnie dotyczyć przekazania danych Grzegorza K. na podstawie innych przesłanek i w innych sytuacjach faktycznych i prawnych.
Na powyższy wyrok P…… S.A. wniosła skargę kasacyjną do Naczelnego Sądu Administracyjnego. W uzasadnieniu zaprezentowała argumentację przedstawioną w postępowaniu administracyjnym, jak i w postępowaniu przed Sądem I instancji.
Naczelny Sąd Administracyjny wyrokiem z dnia 16 grudnia 2004 r., sygn. akt OSK 829/04 w całości uwzględnił stanowisko skarżącej Spółki i uchylił wyrok WSA w Warszawie, przekazując sprawę do ponownego rozpoznania.
Wojewódzki Sąd Administracyjny w Warszawie, po ponownym rozpoznaniu sprawy, zważył, co następuje:
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonego aktu administracyjnego i to z przepisami obowiązującymi w dacie jego wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.
Skarga analizowana pod tym kątem zasługuje na uwzględnienie.
Stosownie do treści art. 190 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.) sąd, któremu sprawa została przekazana, związany jest wykładnią prawa dokonaną w tej sprawie przez Naczelny Sąd Administracyjny.
Wobec powyższego, przyjąć zatem należy za Naczelnym Sądem Administracyjnym, że art. 23 ust. l pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) mógł stanowić podstawę prawną udostępnienia przez P…… S.A. firmie P…… Sp. z o.o. danych osobowych Grzegorza K.
W niniejszej sprawie została zawarta pomiędzy P…… S.A. a P…… Sp. z o.o. umowa przelewu wierzytelności na podstawie art. 509 § 1 kc, z jednoczesnym udostępnieniem danych osobowych dłużników skarżącej. Celem tej transakcji było przeniesienie wierzytelności, jednak dla realizacji celu podstawowego, było niezbędne jednoczesne przekazanie danych osobowych dłużników w tym również Grzegorza K. Jak z tego wynika, zawarcie umowy cywilnoprawnej, wywołało skutki prawne regulowane przepisami Kodeksu cywilnego i przepisami ustawy o ochronie danych osobowych.
W tego rodzaju sprawach należy wyraźnie rozgraniczyć dwa aspekty, wynikające z różnych regulacji prawnych, albowiem zawarcie umowy przelewu wywołuje skutki prawne regulowane przepisami Kodeksu cywilnego i przepisami ustawy o ochronie danych osobowych. Ocena dopuszczalności, skuteczności czy też ważności umowy przelewu należy do sądów powszechnych, ewentualnie w niektórych jej aspektach, może być również przedmiotem zainteresowań Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Jest to aspekt cywilnoprawny tej sprawy, który nie może być przedmiotem zainteresowań organu administracji publicznej.
Przedmiotem kontroli Generalnego Inspektora Ochrony Danych Osobowych, zgodnie z art. 12 pkt 1 uodo, powinna być jedynie zgodność przetwarzania danych z przepisami o ochronie danych osobowych. W tym konkretnym zaś przypadku kontrola ta powinna polegać na zbadaniu, czy w wyniku zawartej umowy cywilnoprawnej, P…… S.A. mogła przekazać firmie P…… Sp. z o.o. dane osobowe Grzegorza K., zgodnie z przepisami ustawy o ochronie danych osobowych. GIODO nie jest natomiast uprawniony do badania, czy mogła być zawarta umowa przeniesienia wierzytelności, zgodnie z przepisami Kodeksu cywilnego, przekazująca dane osobowe Grzegorza K., gdyż w tym przypadku organ administracji publicznej, jakim niewątpliwie jest GIODO, wykracza poza swoje ustawowo określone kompetencje. Dla GIODO zawarta umowa przeniesienia wierzytelności, powinna być czynnością prawną niepodlegającą jego ocenie, wywołującą skutki prawne do czasu, dopóki nie zostanie zakwestionowana w formie i trybie przewidzianym przez prawo.
Przekazanie danych osobowych Grzegorza K. nastąpiło wprawdzie w wyniku zawartej pomiędzy skarżącą a P…… Sp. z o.o. umowy, jednak dla oceny tego zdarzenia z punktu widzenia przepisów ustawy o ochronie danych osobowych, nie jest konieczna ocena samej umowy z punktu widzenia przepisów prawa cywilnego. Jak nie trudno zauważyć, przedmiotem zawartej na podstawie art. 509 kc umowy, było przeniesienie wierzytelności, a nie udostępnienie (przekazanie) danych osobowych. Dane osobowe były tu tylko elementem niezbędnym do wykonania tej umowy, jest to niejako efekt wtórny zawartej umowy. Mogą być jednak sytuacje, w których same dane osobowe a ściślej ich przetwarzanie, jest przedmiotem umowy – transakcji, czyli dane osobowe są „towarem” o czym stanowi art. 31 uodo.
„Przetwarzanie danych” (art. 7 pkt 2 uodo) zgodnie z określeniem ustawowym, stanowi szereg różnych operacji (działań, czynności), które mogą być dokonywane na danych osobowych, wyliczenie to jednak, nie stanowi katalogu zamkniętego czynności, które mogą prowadzić do pozyskania danych osobowych. Pozyskanie danych osobowych może mieć charakter pierwotny (bezpośrednio od osoby, której dane dotyczą), bądź wtórny (od innego podmiotu, niż osoba, której dane dotyczą) w drodze zawarcia umowy cywilno¬prawnej, np. użyczenia, najmu, sprzedaży. Jednak z punktu widzenia przepisów ustawy o ochronie danych osobowych, nie jest istotna forma pozyskania danych, lecz sam fakt wejścia w posiadanie danych osobowych i ocena tego w oparciu o przepisy tej ustawy (A. Mednis, Ustawa o ochronie danych osobowych, Komentarz, Wyd. Praw. Warszawa 1999, s. 28).
Ponieważ ustawodawca nie określił w Kodeksie cywilnym, ani w ustawie o ochronie danych osobowych, w sposób szczególny wzajemnych relacji pomiędzy przepisami tych dwu ustaw należy przyjąć, że są to dwie autonomiczne, jednocześnie obowiązujące regulacje prawne, rządzące się własnymi regułami, z założenia nie kolidujące wzajemnie. Dane osobowe mieszczą się w szeroko rozumianym pojęciu dóbr osobistych i jako takie, do czasu wejścia w życie przepisów ustawy o ochronie danych osobowych, podlegały ochronie na podstawie art. 23 i 24 kc. Wejście w życie ustawy o ochronie danych osobowych nie spowodowało uchylenia ani zmiany ww. przepisów Kodeksu cywilnego, gdyż te dopuszczają również ochronę wynikającą z innych przepisów, np. prawa karnego, prawa o wykroczeniach, czy też prawa administracyjnego. Tak więc ustawodawca celowo utrzymał (zachował) wielość form ochrony, opartych na różnych przepisach. Niektóre z nich z uwagi na zastosowanie metody regulacji prawnej mają charakter cywilnoprawny, inne zaś administracyjnoprawny. Wzajemna relacja przepisów Kodeksu cywilnego, w tym zakresie i innych przepisów, może polegać na kumulatywnym lub alternatywnym stosowaniu środków ochrony w nich przewidzianych, zależy to od osoby zainteresowanej (S. Dmowski, S. Rudnicki, Komentarz do kodeksu cywilnego, Księga pierwsza, część ogólna, Wyd. Praw. Lexis Nexis W-wa 2004, s. 102 i 114-115).
Przyjmując takie założenie, orzeczenie sądu powszechnego, oceniające na podstawie przepisów Kodeksu cywilnego, zawartą umowę, nie powoduje automatycznie konsekwencji na płaszczyźnie administracyjnoprawnej, czyli nie wpływa bezpośrednio na byt prawny aktu administracyjnego – decyzji wydanej przez GIODO w oparciu o przepisy ustawy o ochronie danych osobowych – i odwrotnie. Nie można przecież wykluczyć sytuacji, w których ocena samej umowy z punktu widzenia przepisów Kodeksu cywilnego może być negatywna, natomiast przetwarzanie danych w rozumieniu art. 7 pkt 2 uodo, w oparciu o przepisy ustawy o ochronie danych osobowych, może być ocenione pozytywnie, jako nienaruszające przepisów o ochronie danych osobowych - i odwrotnie. Dlatego też, czym innym jest zgoda, o której mowa w przepisach art. 509 § 1 , art. 3853 § 1 i art. 3853 pkt 5 kc, a czym innym zgoda na przetwarzanie danych osoby, której dane dotyczą, w rozumieniu art. 23 ust. l pkt 1 uodo. Są to pojęcia równobrzmiące, jednak z uwagi na zamieszczenie ich w różnych przepisach i w różnych kontekstach, mają różne znaczenie i konsekwencje prawne. Zgoda, o której mowa w pierwszym przypadku, podlega ocenie sądu powszechnego w oparciu o przepisy Kodeksu cywilnego, a zgoda, o której mowa w art. 23 ust. l pkt 1 uodo, podlega ocenie GIODO i sądów administracyjnych – w oparciu o przepisy ustawy o ochronie danych osobowych. Mamy bowiem w rozpoznawanej sprawie do czynienia z dwiema czynnościami prawnymi: zawarciem umowy cywilnoprawnej i udostępnieniem danych osobowych, regulowanymi przepisami należącymi do dwu różnych gałęzi prawa.
Z uwagi na powyższe, decyzje GIODO, należy uznać za wadliwe, oparte na błędnych założeniach, tym samym większość rozważań zawartych w uzasadnieniach tych aktów, jest bezużyteczna i zbędna w tym postępowaniu. Wystarczyło dokonać oceny, czy dane osobowe Grzegorza K. zostały udostępnione przez P…… S.A. firmie P…… Sp. z o.o. w oparciu o jedną chociażby z przesłanek wymienionych w art. 23 ust. l uodo.
Wszystkie zawarte w tym przepisie przesłanki są równorzędne, niezależne od siebie i dla przesądzenia o tym, że przetwarzanie danych jest dopuszczalne, wystarczy wskazanie jednej z nich. Skarżąca wskazywała jako podstawę udostępnienia danych osobowych Grzegorza K. przepisy art. 23 ust. l pkt 2 i 5 uodo. GIODO nie podzielił tego stanowiska.
Sytuacja, w której przetwarzanie danych jest dopuszczalne, gdy „zezwalają na to przepisy prawa” (art. 23 ust. l pkt 2 uodo), niezależnie od tego, jak ten warunek się rozumie, budzić on musi wiele wątpliwości z uwagi na to, że w większości źródeł powszechnie obowiązującego prawa w Polsce, nie ma w ogóle mowy o przetwarzaniu danych osobowych. W dużej części jest to spowodowane zapewne tym, że ustawa o ochronie danych osobowych obowiązuje dopiero od ośmiu lat, zaś samą ustawą wprowadzono zmiany zaledwie w kilku ustawach. Tymczasem w obrocie prawnym, w różnych dziedzinach i w różnym zakresie, dane osobowe – szczególnie te podstawowe, są w powszechnym użyciu. Trudno więc uznać, że ustawodawca nie zauważa problemu, nie można jednak, tak jak wywodzi skarżąca, przyjąć za dorozumiane istnienie takiego zezwolenia, nawet jeśli wprost przepisy nie zezwalają na przetwarzanie danych. Chociaż omawianego tu problemu nie można uznać za zamknięty, należy przyjąć, iż zezwolenie, o którym mowa w art. 23 ust. l pkt 2 uodo, musi być wyraźnie wyartykułowane w przepisach, bądź wynikać z ich kontekstu. Przepis art. 509 kc nie zawiera w sobie zezwolenia, o którym mowa w art. 23 ust. l pkt 2 uodo, podobnie jak i inne przepisy tego Kodeksu.
Brzmienie przepisu art. 23 ust. 1 pkt 2 uodo w odniesieniu do Dyrektywy 95/46 Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych, ujęte zostało zbyt szeroko. W związku z powyższym, mając na uwadze zalecenie Komisji Europejskiej, ustawą z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych (Dz. U. Nr 33, poz.285), zmieniono brzmienie art. 23 ust. l pkt 2 uodo. Zgodnie z aktualnym brzmieniem tego przepisu, przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Kolejnym zagadnieniem, które należy wyjaśnić w niniejszej sprawie jest to, czy skarżąca mogła udostępnić dane osobowe Grzegorza K. w oparciu o przepis art. 23 ust. l pkt 5 uodo. W ocenie GIODO, skarżąca takiego prawa nie miała. W świetle uzasadnień wydanych w sprawie decyzji, należy przyjąć, że dochodzenie roszczeń jest prawnie usprawiedliwionym celem administratora danych w związku z czym przetwarzanie danych (udostępnienie) jest dopuszczalne, jako niezbędne do realizacji tego celu pod warunkiem jednak, że nie narusza to praw i wolności osoby, której dane dotyczą – w tym przypadku Grzegorza K. W sytuacji tak opisanej w pkt 5 w związku z ust. 4 pkt 2 art. 23 uodo nie jest wymagana zgoda osoby, której dane dotyczą. Pozostaje więc tylko do rozważenia, czy w rozpoznawanej sprawie, w wyniku udostępnienia danych osobowych firmie P…… Sp. z o.o., zostały naruszone prawa i wolności Grzegorza K.
Obecna redakcja tego przepisu nie zmienia jego brzmienia w zakresie będącym przedmiotem zainteresowania. Przesłanka ta odnosi się wprost do administratora danych osobowych lub odbiorcy danych, którzy aby zrealizować prawnie dopuszczalne cele zmuszeni są przetwarzać dane osobowe, pod warunkiem jednak, że nie naruszy to praw i wolności osoby, której dane dotyczą.
Ustalenie, że administrator danych osobowych (odbiorca danych) realizuje cel prawnie usprawiedliwiony nie może przesądzić o dopuszczalności przetwarzania danych osobowych (udostępniania tych danych innemu podmiotowi) bez zgody osoby, której dane dotyczą. Konieczne jest zatem dokonanie oceny, czy jest to niezbędne dla realizacji tego celu, a co najważniejsze, dokonanie wyważenia interesów administratora danych, zwłaszcza w aspekcie prawa do prowadzenia działalności gospodarczej, prawa dochodzenia roszczeń i interesów osoby, której dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności. Z art. 1 uodo wynika, że każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 ustawy, dopuszczalne jest tylko ze względu na określone dobra i tylko w zakresie i trybie określonym ustawą. Realizacja prawnie usprawiedliwionego celu przez administratora danych w żadnym razie nie może naruszać praw i wolności osoby, której dane dotyczą. Zatem ocena ta ma służyć wyważeniu racji i interesów, z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes, aby jej dane osobowe nie były przetwarzane bez jej zgody, a z drugiej strony administratora danych, który ma także objęty ochroną prawną interes polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia, co w przypadku administratora danych, będącego wierzycielem, obejmuje jego prawo do uzyskania należnego świadczenia od dłużnika.
Przepisy ustawy z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz. 424 z późn. zm.) regulują zasady i tryb udostępniania przez przedsiębiorców informacji gospodarczych, a w tym i danych osobowych osób fizycznych, dotyczących wiarygodności płatniczej innych przedsiębiorców i konsumentów, w szczególności danych o zwłoce w wykonywaniu zobowiązań pieniężnych osobom trzecim nieoznaczonym w chwili przeznaczenia tych danych do udostępnienia. Przepisy tej ustawy dobitnie wskazują, że ochrona danych osobowych na podstawie ustawy o ochronie danych osobowych nie powinna być absolutyzowana, ponieważ jej przepisy muszą być stosowane i interpretowane łącznie z innymi przepisami ustawowymi służącymi ochronie także innych wartości (vide: wyrok Naczelnego Sądu Administracyjnego w składzie 7 sędziów z dnia 6 czerwca 2005 r., sygn. akt I OPS 2/05, niepublikowany).
W tym też znaczeniu rozstrzygnięcie organu administracyjnego korzystać będzie z innych regulacji, zwłaszcza gdy prawo administracyjne odsyła do innych gałęzi prawa (np. prawa cywilnego). W przypadku art. 23 ust. 1 pkt 5 uodo takie odesłanie ma miejsce.
Mówiąc o naruszeniu praw i wolności obywatelskich, należy odnieść się tu do katalogu tych praw i wolności szeroko uwzględnionych w Konstytucji RP i wskazać konkretnie, które z nich zostały naruszone. Takiej egzemplifikacji GIODO nie dokonał, wskazując enigmatycznie, że nastąpiło pogorszenie sytuacji prawnej właściciela danych osobowych – Grzegorza K. (w świetle przepisów dotyczących umów konsumenckich). Ocena organu w tym przypadku, odwołuje się do kryteriów pozaustawowych, nieznanych przepisowi art. 23 ust. l pkt 5 uodo. Jest więc dowolna i gołosłowna. Gdyby nawet przyjąć hipotetycznie, że nastąpiło pogorszenie sytuacji prawnej Grzegorza K., to nie jest to równoznaczne z naruszeniem praw i wolności obywatelskich, o czym mowa w ustawie. Poza tym, żaden z przepisów ustawy o ochronie danych osobowych, nie upoważnia GIODO do tego, aby interpretować przepisy tej ustawy pod kątem przepisów o ochronie konsumentów. GIODO w tym przypadku wchodzi w rolę Prezesa Urzędu Ochrony Konkurencji i Konsumentów, którego zadania i kompetencje określa ustawa z dnia 15 grudnia 2000 r. o ochronie konkurencji i konsumentów.
Skoro nie wykazano jednoznacznie, że zostały naruszone prawa i wolności Grzegorza K., to należy przyjąć, że art. 23 ust. l pkt 5 uodo mógł stanowić podstawę prawną udostępnienia jego danych osobowych. Okoliczność ta w głównej mierze przesądza o uwzględnieniu skargi.
Niewykluczone, że opinie formułowane przez Urząd Ochrony Konkurencji i Konsumentów, do których odwołuje się GIODO są uprawnione, jednak nie mogą one stanowić podstawy orzecznictwa GIODO, gdyż ten organ działa na podstawie innej ustawy, niż Prezes Urzędu Ochrony Konkurencji i Konsumentów i posiada inne kompetencje, do realizacji których i w granicach których obliguje go przepis art. 7 Konstytucji RP. Należy więc zgodzić się z poglądem skarżącej, że opinie Urzędu Ochrony Konkurencji i Konsumentów, nie mogły w tej sprawie mieć znaczenia, jakie dla uzgodnień zostało przewidziane w art. 106 kpa.
Oczywistą konsekwencją stwierdzenia, że dane osobowe zostały udostępnione na podstawie art. 23 ust. l pkt 5 uodo, jest brak naruszenia przepisów o ochronie danych osobowych i w związku z tym brak przesłanek do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem. Zarzut naruszenia art. 18 ust. l uodo w świetle argumentacji przywołanej w skardze kasacyjnej, należy odczytać, jako zarzut dotyczący powołanych przepisów prawnych w podstawie prawnej decyzji GIODO z dnia 17 stycznia 2003 r. i samego rozstrzygnięcia – osnowy tej decyzji.
Decyzja administracyjna, jako akt władczy (akt administracyjny) organu administracji publicznej w swojej podstawie prawnej, powinna zawierać powołane przepisy administracyjnego prawa materialnego i przepisy postępowania - najczęściej przepisy Kodeksu postępowania administracyjnego (art. 107 § 1 kpa). Nie ma też chyba wątpliwości, że przepisy Kodeksu cywilnego, nie należą do przepisów prawa administracyjnego, a tym bardziej, że organy administracji publicznej, nie mogą się powoływać na nie w swoich rozstrzygnięciach. Rozstrzygnięcie sprawy administracyjnej, zawarte w osnowie decyzji, nie może też być uzależnione do warunków, wynikających z przepisów Kodeksu cywilnego, chyba żeby ustawodawca tak wyraźnie postanowił. Decyzja administracyjna wydana na podstawie art. 104 § 1 kpa, powinna rozstrzygać sprawę co do jej istoty, jednak orzeczenie to musi być oparte na przepisach prawa administracyjnego, co wynika wprost z art. 19 i nast. kpa. Decyzja administracyjna jest rozstrzygnięciem władczym organu administracji publicznej, opartym na konkretnym stanie faktycznym (art. 7, 77 § 1 kpa), niezależnie od tego, czy ten stan jest zgodny z prawem, czy też nie. Samo rozstrzygnięcie zawarte w osnowie decyzji przesądza dopiero o tym, czy istniejący stan faktyczny (podjęte przez stronę działania) jest zgodny z prawem, czy też nie. Nie można więc ignorować zaistniałych faktów i wydawać decyzji administracyjnej abstrahując od nich, tak jak to uczyniono w decyzji GIODO z dnia 17 stycznia 2003 r. adresowanej do P…… S.A. Rozstrzygnięcie zawarte w tej decyzji, wbrew oczywistym faktom, przyjmuje, iż dane osobowe Grzegorza K. nie zostały udostępnione P…… Sp. z o.o. i w dalszym ciągu są w posiadaniu P…… S.A., co jest oczywistą fikcją. Należałoby tu przywołać znane powiedzenie, że „nie dyskutuje się z faktami". Czym innym jest samo udostępnienie danych osobowych (przetwarzanie danych), które jest pewnym zdarzeniem, czynnością materialno-techniczną, faktem, a czym innym ocena prawna tego zdarzenia, faktu i kwalifikacja tego na podstawie przepisów prawnych (art. 23 ust. 1 uodo). Decyzje wydawane na podstawie art. 18 ust. l uodo, co wynika z jego brzmienia, mają na celu „przywrócenie stanu zgodnego z prawem”, a więc z istoty swej, dotyczą zdarzeń, faktów (przetwarzania danych) dokonanych z naruszeniem przepisów o ochronie danych osobowych. W związku z powyższym, decyzja GIODO z dnia 17 stycznie 2003 r. jest abstrakcyjna, nakazuje P…… S.A. określone zachowania, które muszą budzić poważne wątpliwości w świetle przepisu art. 156 § 1 pkt 5 kpa i w zestawieniu z analogiczną decyzją z dnia 17 stycznia 2003 r. adresowaną do P…… Sp. z o.o.
Na marginesie niniejszych rozważań, mając na uwadze brzmienie art. 134 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, należy wskazać, iż w kontekście art. 23 ust. l pkt 2, art. 18 ust. 3 oraz 5 uodo, GIODO nie wziął w ogóle pod uwagę, czy w rozpoznawanej sprawie nie mają zastosowania przepisy innych ustaw, np. ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne, co mogło mieć wpływ na wynik sprawy (patrz: I. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Komentarz, Zakamycze 2004, s. 493).
Dokonując wykładni przepisów ustawy o ochronie danych osobowych, należałoby również wziąć pod uwagę cele i podstawowe założenia tej ustawy, określone w jej art. 1 ust. 2, gdzie wskazano, iż „przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich”.
Mając na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony własnej prywatności, ma swoje źródło w przepisach art. 51, 47, 49 i 50 Konstytucji RP. W praktyce, prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie.
Nie można też tak rozumieć przepisów ustawy, że udostępnienie danych osobowych dłużnika w celu windykacji należności, narusza dobro tej osoby, gdyż byłoby to niczym nieuzasadnione jej uprzywilejowanie. Zawierając umowę cywilnoprawną, należy liczyć się z jej konsekwencjami, a także z tym, że obowiązek wykonania umowy dotyczy jednej i drugiej strony, nawet jeżeli jedna z nich jest konsumentem. Ochrona dóbr jednych nie może się odbywać kosztem naruszania praw innych, co można pośrednio, bądź bezpośrednio wywieźć z wielu przepisów Konstytucji RP (art. 2, art. 22, art. 31 ust. 3, art. 32 ust. 1, art. 83).
Ustawa o ochronie danych osobowych, nie może też być alternatywą lub uzupełnieniem innych procedur prawnych, np. postępowania reklamacyjnego, czy też zastępować dochodzenia roszczeń w postępowaniu sądowym. W rozpoznawanej sprawie, zgodnie z przepisami ustawy – Prawo telekomunikacyjne, Grzegorz K. miał prawo dochodzić swych roszczeń w tzw. postępowaniu reklamacyjnym, a gdyby to nie dało skutku miał prawo wystąpić do sądu powszechnego, czego nie uczynił.
W obecnym czasie, w stosunkach cywilnoprawnych opartych na równości stron, nie do przyjęcia jest ingerencja organów państwowych w formach administracyjnoprawnych (nakazowych), jeżeli nie ma na to wyraźnego przyzwolenia ustawowego.
Dokonując ponownej analizy sprawy, GIODO zobowiązany będzie przede wszystkim do rozważenia stanu faktycznego niniejszej sprawy zgodnie z obowiązującym stanem prawnym oraz wydania rozstrzygnięcia w trybie administracyjnym, w oparciu o przepisy ustawy o ochronie danych osobowych z uwzględnieniem wszelkich aspektów ochrony dóbr, interesów i uprawnień odnoszących się do zainteresowanych w sprawie podmiotów.
Z uwagi na powyższe, Wojewódzki Sąd Administracyjny w Warszawie w oparciu o art. 145 § 1 pkt 1 lit. „a” i „c” ustawy – Prawo o postępowaniu przed sądami administracyjnymi orzekł, jak w sentencji wyroku. W oparciu o art. 152 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, Sąd wstrzymał wykonanie zaskarżonej decyzji w całości.
O kosztach orzeczono na podstawie art. 200, art. 205 § 2 i art. 209 ustawy – Prawo o postępowaniu przed sądami administracyjnymi w związku z art. 97 § 1 ustawy z dnia 30 sierpnia 2002 r. – Przepisy wprowadzające ustawę – Prawo o ustroju sądów administracyjnych i ustawę – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1271 z późn. zm.). Sąd zasądzając na rzecz skarżącej Spółki kwotę 265 zł uwzględnił w niej wartość uiszczonego wpisu w wysokości 10 zł, 15 zł z tytułu poniesionej opłaty skarbowej od udzielonego pełnomocnictwa oraz wynagrodzenie pełnomocnika w kwocie 240 zł, zgodnie z § 14 ust. 2 pkt 1 lit. „c” rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności radców prawnych oraz ponoszenia przez Skarb Państwa kosztów pomocy prawnej udzielonej przez radcę prawnego ustanowionego z urzędu (Dz. U. Nr 163, poz. 1349 z późn. zm.).
