GI-DEC-DS-208/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 29 sierpnia 2005 r. dotycząca przetwarzania danych osobowych Skarżącej przez operatora telekomunikacyjnego, w związku z podpisaniem umowy powierzenia przetwarzania danych osobowych.
Warszawa, dnia 29 sierpnia 2005 r.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2000 r. Nr 98 poz. 1071 ze zm.) oraz art. 12 pkt 2 w związku z art. 23 ust. 1 pkt 5, art. 31a oraz art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 r. Nr 101 poz. 926 ze zm.), po przeprowadzeniu postępowania administracyjnego ze skargi Pani X, w sprawie przetwarzania jej danych osobowych przez operatora telekomunikacyjnego, Spółkę Z, oraz Spółkę Y ze Szwajcarii, której przedstawicielem na terytorium Rzeczypospolitej Polskiej jest Spółka A
odmawiam uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani X, zwanej dalej także Skarżącą, w sprawie przetwarzania jej danych osobowych przez operatora telekomunikacyjnego, zwaną dalej także operatorem, Spółkę Z, oraz Spółkę Y ze Szwajcarii, zwaną dalej Spółką. Skarżąca wystąpiła o: „ukaranie operatora karą grzywny. (...) nie ukrywam tego, że będą mi potrzebne każde pieniądze.” Ponadto z dowodów przesłanych przez Skarżącą wynika, iż wystąpiła ona do operatora telekomunikacyjnego. z żądaniem o treści: „Proszę o odebranie moich wierzytelności w kwocie (...), które to zostały przekazane niezgodnie z prawem Spółce Y.”
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie, Generalny Inspektor Ochrony Danych Osobowych ustalił następujące okoliczności faktyczne:
1. W dniu 19 czerwca 1998 r. Pani X zawarła z operatorem telekomunikacyjnym. umowę o świadczenie usług telekomunikacyjnych (kopia w aktach sprawy). Powyższa umowa została następnie rozwiązana przez operatora na skutek nieuregulowania przez Skarżącą zaległych opłat za świadczone usługi telekomunikacyjne, o czym została ona powiadomiona pismem z dnia 31 lipca 2003 r. (kopia pisma w aktach sprawy). W dniu 8 lipca 2003 r. Skarżąca zawarła z operatorem nową „Umowę o świadczenie telefonicznych usług powszechnych” (kopia w aktach sprawy).
2. W dniu 11 czerwca 2004 r. została zawarta pomiędzy operatorem telekomunikacyjnym a Spółką Y „Umowa przelewu wierzytelności nr ..... /03/04” (kopia umowy w aktach sprawy), na mocy której tego samego dnia operator udostępniła dane osobowe Skarżącej. Podstawą dokonania powyższych czynności były w ocenie operatora. art. 23 ust. 1 pkt 2 i 5 w związku z art. 23 ust. 4 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych (Dz. U. 2002 r. Nr 101 poz. 926 ze zm.), zwanej dalej również ustawą, oraz art. 509 Kodeksu cywilnego. Skarżąca wskazała, iż nie wyraziła zgody, aby operator udostępnił jej dane Spółce Y. Pismem z dnia 7 lutego 2005 r. operator telekomunikacyjny poinformował Skarżącą o dokonaniu przelewu przysługujących jej wobec niej wierzytelności na rzecz Spółki. Ww. umowa przelewu dotyczyła wierzytelności przysługujących wobec Skarżącej z tytułu realizacji umowy z dnia 19 czerwca 1998 r. umowy o świadczenie usług telekomunikacyjnych
3. Przedstawicielem Spółki Y na terytorium Rzeczypospolitej Polskiej w rozumieniu art. 31a ustawy została ustanowiona Spółka A.
4. Dane osobowe Skarżącej zostały udostępnione przez operatora telekomunikacyjnego bezpośrednio Spółce Z, która działając na podstawie art. 31 ustawy oraz na podstawie umowy o obsługę wierzytelności z dnia 1 sierpnia 2003 r. (kopia umowy w aktach sprawy) zawartą ze Spółką Y oraz udzielonym jej pełnomocnictwem dokonuje czynności windykacyjnych na rzecz Spółki. Z w odniesieniu do Skarżącej realizuje czynności windykacyjne poprzez korespondencyjny i telefoniczny kontakt.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 r. Nr 101 poz. 926 ze zm.), zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych – art. 2 ust. 1 ustawy. Przetwarzanie danych osobowych jest zgodne z prawem jedynie wówczas, gdy administrator danych legitymuje się posiadaniem co najmniej jednej, spośród wymienionych w art. 23 ust. 1 ustawy, materialnych przesłanek dopuszczalności przetwarzania. Stosownie do art. 23 ust. 1 ustawy, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, 2) gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej – art. 23 ust. 4 pkt 2 ustawy.
Analizując kwestię legalności przetwarzania danych osobowych w ramach cesji wierzytelności, wskazać należy na obowiązujące w tej materii orzecznictwo sądów administracyjnych, które jako podstawę zarówno udostępnienia, jak i pozyskania danych w tym zakresie wskazują art. 23 ust. 1 pkt 5 ustawy.
Takie stanowisko zaprezentował orzekający w poszerzonym składzie Naczelny Sąd Administracyjny w wyroku z dnia 6 czerwca 2005 r. (sygn. akt I OPS 2/05), rozpatrując sprawę o podobnym stanie faktycznym. W uzasadnieniu do ww. wyroku NSA wskazał m.in., iż przesłanka o której mowa w art. 23 ust. 1 pkt 5 ustawy, odnosi się wprost do administratora danych osobowych lub odbiorcy danych, którzy aby zrealizować prawnie dopuszczalne cele muszą udostępniać dane osobowe, pod warunkiem wszakże, że nie naruszy to praw i wolności osoby, której dane dotyczą. Już samo użycie określenia „jeżeli jest to niezbędne” wskazuje, że stosowanie tych przepisów wymaga nie tylko wskazania, że chodzi o realizowanie uprawnienia lub obowiązku wynikającego z przepisów prawa lub prawnie usprawiedliwionego celu, ale także dokonania oceny, czy dla realizacji tego konieczne jest (jest niezbędne) przekazanie danych pomimo, że brak jest na to zgody osoby, której dane dotyczą. Zdaniem NSA, ocena ta to wyważenie racji i interesów z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes prawny aby jej dane nie były przetwarzane bez jej zgody, z drugiej strony administratora danych, który ma także objęty ochroną prawną interes polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia, co w przypadku administratora danych będącego wierzycielem obejmuje jego prawo do uzyskania świadczenia od dłużnika. NSA w dalszej części uzasadnienia powołał się na orzecznictwo Europejskiego Trybunału Sprawiedliwości, który wskazał, iż przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą jest dopuszczalne, jeżeli: a) ma podstawę prawną w przepisie prawa, który wyraźnie na takie przetwarzanie zezwala, b) przetwarzanie (udostępnianie) danych jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku określonego ustawą, c) dane są przetwarzane tylko w takim zakresie, w jakim jest to niezbędne do osiągnięcia tych celów. NSA uznał jednocześnie, iż prawnie usprawiedliwiony cel administratora danych o którym mowa w art. 23 ust. 1 pkt 5 ustawy, może być oparty na przepisach prawa cywilnego. W ocenie NSA za taki prawnie usprawiedliwiony cel już sama ustawa uznaje dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej – art. 23 ust. 4 pkt 2 ustawy. Poddając analizie przedmiotową przesłankę, NSA odniósł się również do przepisów ustawy z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz. 424 ze zm.), które w jego ocenie dobitnie wskazują, że ochrona danych osobowych na podstawie ustawy o ochronie danych osobowych nie powinna być absolutyzowana, ponieważ jej przepisy muszą być stosowane i interpretowane łącznie z innymi przepisami ustawowymi służącymi ochronie także innych wartości. Z tego też powodu NSA przyznał, iż uzasadnione jest twierdzenie, że przekazywanie danych w celu dochodzenia roszczeń wynika z unormowania art. 23 ust. 1 pkt 5 ustawy w zw. z art. 23 ust. 4 pkt 2 ustawy o ochronie danych osobowych.
Podobny pogląd zaprezentował Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z dnia 30 listopada 2004 r. (sygn. akt: II SA/Wa 1057/04), stwierdził wręcz, iż „(...) zasadą powszechnie akceptowaną, wynikającą nie tylko z przepisów prawa cywilnego, lecz także z norm moralnych, zasad współżycia społecznego oraz dobrych obyczajów jest regulowanie zaciągniętych zobowiązań (zapłata długów). Zasada ta w pełni odnosi się do podmiotów prawa mających status konsumentów. (...) Dłużnik, który nie wywiązuje się ze swoich zobowiązań, musi liczyć się z konsekwencjami, wynikającymi z przepisów regulujących obrót gospodarczy. Postawa dłużnika nie może bowiem prowadzić do uprzywilejowania jego sytuacji prawnej. Gdyby generalnie uznać każdy wypadek przetwarzania danych osobowych dłużnika (będącego konsumentem) za godzący w jego prawa i wolności, doszłoby z jednej strony do niczym nieuzasadnionej ochrony osób niewywiązujących się ze swoich zobowiązań, z drugiej natomiast do naruszenia zasady swobody działalności gospodarczej, co z pewnością nie było zamiarem ustawodawcy przy uchwalaniu ustawy o ochronie danych osobowych”.
W świetle powyższego stwierdzić trzeba, iż analiza materiału dowodowego zgromadzonego w rozpatrywanej sprawie, dokonana przede wszystkim w oparciu o prezentowaną linię orzeczniczą wskazuje, że udostępnienie przez operatora. danych osobowych Pani X Spółce Y, znajdowało podstawę w przesłance określonej w art. 23 ust. 1 pkt 5 ustawy.
Jednocześnie, mając na uwadze przetwarzanie danych osobowych Skarżącej przez Spółkę Z, wskazać należy, iż zgodnie z art. 31 ust. 1 ustawy, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Stosownie do ust. 2 przytoczonego powyżej przepisu, podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Skoro bowiem Spółka pozyskała legalnie dane osobowe Skarżącej na podstawie art. 23 ust. 1 pkt 5 ustawy, to do niej należała decyzja, czy dane te będzie przetwarzać samodzielnie, czy za pośrednictwem innego podmiotu na podstawie art. 31 ustawy. W przedmiotowej sprawie Spółka zdecydowała się powierzyć przetwarzanie danych osobowych Skarżącej Spółce Z.
Natomiast w niniejszej sprawie odrębną kwestią, pozostającą poza kompetencjami organu ochrony danych osobowych, jest zagadnienie związane z badaniem ważności, czy też skuteczności zawartych przez operatora i Spółkę Y umów przelewu wierzytelności. Podkreślenia wymaga, że do dokonywania oceny umów cywilno-prawnych pod kątem ich legalności, jak potwierdził to Naczelny Sąd Administracyjny w ww. wyroku z dnia 6 czerwca 2005 r. (sygn. akt: I OPS 2/05), właściwy jest wyłącznie sąd powszechny.
W zakresie żądania Skarżącej, w którym wnosi ona o „ukaranie operatora telekomunikacyjnego karą grzywny”, wskazać należy, iż Generalny Inspektor Ochrony Danych Osobowych jest organem administracji publicznej, którego kompetencje oraz instrumenty prawne mające służyć przywróceniu stanu zgodnego z prawem zostały ściśle określone w art. 12 i 18 ustawy. Mając powyższe przepisy na uwadze, należy wskazać, iż Generalny Inspektor Ochrony Danych Osobowych nie jest organem uprawnionym do nakładania jakichkolwiek kar, w tym grzywien lub innych kar finansowych. Organami uprawnionymi do orzekania o winie oraz o karze, w tym o wymiarze grzywny, pozostają wyłącznie sądy powszechne.
Mając powyższe na uwadze, w tym stanie prawnym i faktycznym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak na wstępie
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 w zw. z art. 127 § 3 Kodeksu postępowania administracyjnego, stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).
