GI-DEC-DS - 197/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 15 lipca 2005 r. dotycząca przetwarzania Danych Osobowych Skarżącej przez Bank oraz przekazanie danych osobowych Skarżącej celem dochodzenia wierzytelności.
Warszawa, dnia 15 lipca 2005 r.
D E C Y Z J A
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 22 oraz art. 23 ust. 1 pkt 2 i 5, w zw. z art. 23 ust. 4 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz art. 41 pkt 1 ustawy z dnia 3 lutego 1993 r. o restrukturyzacji finansowej przedsiębiorstw i banków oraz o zmianie niektórych ustaw (Dz. U. Nr 18 poz. 82 ze zm.) i art. 55¹ ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16 poz. 93 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych Pani A przez Syndyka Masy Panią B, spółkę Z oraz Biuro W,
odmawiam uwzględnienia wniosku
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani A, zwanej dalej również Skarżącą, dotycząca przetwarzania jej danych osobowych przez syndyka masy upadłości Panią B, Spółkę Z oraz Biuro W. W piśmie skierowanym do Biura Generalnego Inspektora Ochrony Danych Osobowych Skarżąca zwróciła się o zbadanie legalności przetwarzania jej danych osobowych przez ww. podmioty. Żądanie to ponowiła następnie w skardze, w której wskazała, iż „ Moje dane osobowe znajdowały się w zbiorze danych Banku. W 1993 r. podpisałam umowę kredytową. Ze względu na śmierć mojego męża w 1997 r. zaniechałam spłaty kredytu, ponieważ utraciłam płynność finansową (...)W 1998 roku Bank upadł a zarząd przejął Syndyk p. B (...) W 2001 roku otrzymałam pierwsze pismo od p. Syndyk z informacją, że windykacja niespłaconych kredytów została zlecona Firmie Y (prawdopodobnie p. Syndyk ma jakiś udziały bo adres do korespondencji z Syndykiem jest taki sam) Na zbycie moich danych oraz długu zgody nie wyrażałam. Syndyk o taką zgodę nie wystąpił ponieważ może działać poza granicami prawa”. W dalszej części ww. pisma Skarżąca wskazała, iż Syndyk wystąpił do Sądu Rejonowego o nadanie klauzuli wykonalności bankowemu tytułowi egzekucyjnemu, a także Komornik przeprowadził egzekucję sądową. Skarżąca poinformowała również organ ochrony danych osobowych, iż Syndyk „zbył moje zadłużenie następnej firmie windykacyjnej pod nazwą Spółce Z. Spółka Z przetwarzając moje dane osobowe zbyła wierzytelność następnej firmie windykacyjnej, tym razem pod nazwą Biuro W (...)”.
W toku postępowania administracyjnego Generalny Inspektor Ochrony Danych Osobowych zwrócił się do ww. podmiotów o złożenie wyjaśnień w tej sprawie. Na ich podstawie ustalono następujące okoliczności faktyczne:
1. Syndyk masy upadłości Banku (zwany dalej syndykiem) pełni obowiązki syndyka ww. banku na podstawie postanowienia Sądu Okręgowego ( sygn. akt VIII GU 1/98). W skład majątku upadłego banku wchodziły m.in. należności z tytułu umów kredytowych zawartych przez bank. Jednym z kredytobiorców banku była Pani A, która w dniu 28 grudnia 1992 r. zawarła umowę kredytową. Jej zobowiązanie zostało stwierdzone bankowym tytułem egzekucyjnym, któremu klauzulę wykonalności nadał Sąd. Egzekucja prowadzona przez komornika na wniosek syndyka była bezskuteczna, wobec czego syndyk sprzedał firmie O. należności z tytułu umów kredytowych w trybie ustawy o restrukturyzacji finansowej przedsiębiorstw i banków. W ramach ww. sprzedaży syndyk przekazał całość dokumentacji kredytowej.
2. Spółka Z na podstawie „umowy sprzedaży przedsiębiorstwa w rozumieniu art. 55¹ Kodeksu cywilnego z wolnej ręki w postępowaniu upadłościowym” z dnia 17 czerwca 2004 r. zakupiła firmę O wraz z wchodzącymi w jej skład wierzytelnościami, w tym wierzytelnością należną od Skarżącej (kopia umowy sprzedaży w aktach sprawy). Spółka Z przedstawiła również kopię listy dłużników, jaką otrzymała wraz z dokumentacją od syndyka firmy O, na której widnieje nazwisko Skarżącej wraz z danymi dotyczącymi zaciągniętych przez nią trzech kredytów – umowa z 14 listopada 1992 r. nr 342/1992; umowa z 28 grudnia 1993 r. nr 375/93; umowa z 13 lipca 1994 r. nr 12/94 (kopia ww. wykazu w aktach sprawy).
3. Biuro W, zgodnie z umową przelewu wierzytelności z dnia 6 października 2004 r. zawartej z Spółką Z, nabyło pakiet wierzytelności przysługujących Spółce Z, w tym wierzytelność Skarżącej. Spółka ta zaznaczyła, iż niezwłocznie po podpisaniu ww. umowy cesji Skarżąca została o tym fakcie poinformowana i przedstawiona jej została propozycja uregulowania powstałego zadłużenia.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) o ochronie danych osobowych, zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Stosownie do art. 7 pkt 4 ustawy, administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujący o celach i środkach przetwarzania danych osobowych. Przetwarzanie danych osobowych jest zgodne z prawem jedynie wówczas, gdy administrator danych legitymuje się posiadaniem co najmniej jednej, spośród wymienionych w art. 23 ust. 1 ustawy, materialnych przesłanek dopuszczalności przetwarzania. Stosownie do art. 23 ust. 1 ustawy, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, 2) gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel, stosownie do art. 23 ust. 4 ustawy, uważa się marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Odnosząc się do działań podjętych przez umocowanego stosownym postanowieniem Sądu Okręgowego syndyka masy upadłości Banku Panią B, który z dniem wydania ww. postanowienia stał się administratorem danych Skarżącej, należy stwierdzić, iż ustawą szczególną w stosunku do ustawy o ochronie danych osobowych jest obowiązująca w czasie działań podejmowanych przez syndyka ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. 2002 r. Nr 72 poz. 665), która w art. 166 ust. 1 stanowi, iż jeżeli nie nastąpi nabycie przedsiębiorstwa bankowego w całości, syndyk za zezwoleniem sędziego-komisarza przystąpi do sprzedaży poszczególnych składników majątku banku. Sprzedaż nieruchomości będących własnością banku następuje według przepisów Kodeksu postępowania cywilnego o licytacji. W przedstawionym stanie faktycznym syndyk, działając na podstawie ww. przepisu, otrzymał postanowieniem Sądu Okręgowego z dnia 17 lipca 2002 r. zgodę sędziego komisarza na sprzedaż umów kredytowych. Następnie w oparciu o art. 41 pkt 1 ustawy z dnia 3 lutego 1993 r. o restrukturyzacji finansowej przedsiębiorstw i banków oraz o zmianie niektórych ustaw (Dz.U Nr 18 poz. 82 ze zm.), który stanowi, iż do przelewu wierzytelności, o której mowa w art. 40, stosuje się przepisy Kodeksu cywilnego o zmianie wierzyciela, z następującymi wyjątkami: w żadnym przypadku nie jest wymagana zgoda dłużnika, syndyk sprzedał wierzytelności banku, w tym wierzytelność dotyczącą długu Skarżącej wraz z jej danymi osobowymi firmie O która to spółka stała się administratorem danych osobowych Skarżącej. Ww. ustawa o restrukturyzacji finansowej przedsiębiorstw i banków, ma zastosowanie do wierzytelności konsumenckich, a banki mogą dokonywać publicznej sprzedaży tych wierzytelności bez potrzeby uzyskiwania zgody konsumentów. Należy zatem podkreślić, iż działanie syndyka polegające na przetwarzaniu a następnie udostępnieniu (w ramach dochodzonej wierzytelności) danych osobowych Skarżącej, w oparciu o przepisy ww. ustawy o restrukturyzacji finansowej przedsiębiorstw i banków oraz o zmianie niektórych ustaw, znajdowało umocowanie z art. 23 ust. 1 pkt 2 i 5 ustawy.
Jak wyżej wskazano, dniu 17 czerwca 2004 r. pomiędzy syndykiem masy Firmy O a Spółką O została zawarta „umowa sprzedaży przedsiębiorstwa w rozumieniu art. 55¹ Kodeksu cywilnego z wolnej ręki w postępowaniu upadłościowym”. Zgodnie z art. Art. 551 pkt 4 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16 poz. 93 ze zm.), zwany dalej kodeksem cywilnym, przedsiębiorstwo jest zorganizowanym zespołem składników niematerialnych i materialnych przeznaczonym do prowadzenia działalności gospodarczej. Obejmuje ono w szczególności: wierzytelności, prawa z papierów wartościowych i środki pieniężne. Czynność prawna mająca za przedmiot przedsiębiorstwo obejmuje wszystko, co wchodzi w skład przedsiębiorstwa, chyba że co innego wynika z treści czynności prawnej albo z przepisów szczególnych ( art. 55² kodeksu cywilnego). Z chwilą podpisania ww. umowy Spółka Z stał zatem się w rozumieniu ustawy o ochronie danych osobowych administratorem danych osobowych, osób których dotyczyły wierzytelności przysługujące dotychczas Firmie O., tj. podmiotem decydującym o celach i środkach ich przetwarzania. Działanie syndyka Firmy O polegające na sprzedaży całości przedsiębiorstwa, w tym należących do masy przedsiębiorstwa wierzytelności, a więc również wierzytelności dotyczących Skarżącej, Spółce Z było zgodne z przesłanką legalizującą przetwarzanie danych określoną w art. 23 ust. 1 pkt. 2 ustawy o ochronie danych osobowych tj. było działaniem celu realizacji uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, a więc w tym przypadku ustaw szczególnych wobec ustawy o ochronie danych osobowych – prawa upadłościowego i naprawczego oraz prawa cywilnego.
Spółka Z w swych wyjaśnieniach skierowanych do Generalnego Inspektora Ochrony Danych Osobowych wskazała, iż po bezskutecznych próbach ściągnięcia od Skarżącej należności na podstawie umowy przelewu wierzytelności z dnia 6 października 2004 r. sprzedała pakiet wierzytelności, w tym wierzytelność Skarżącej, Biuru W. Umowa ta zawarta została na podstawie przepisów kodeksu cywilnego określających umowę cesji. Zgodnie z art. 509 § 1 kodeksu cywilnego, wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Powyższe działanie spełnia warunki określone w art. 23 ust. 1 pkt 2 i 5 ustawy o ochronie danych osobowych. Reasumując, Biuro W jest w chwili obecnej administratorem danych Skarżącej i jako taki ma prawo przetwarzać jej dane osobowe, co oznacza, iż działając w granicach obowiązującego prawa może te dane powierzyć lub udostępnić innemu podmiotowi.
Konkludujac, w niniejszej sprawie na każdym etapie przetwarzania danych osobowych Skarżącej podmioty je przetwarzające, jako administratorzy danych osobowych Skarżącej, legitymowały się przesłankami określonymi w art. 23 ust. 1 pkt 2 i 5 w zw. z art. 23 ust 4 ustawy tj. podjęły działania na podstawie odrębnych przepisów prawa, stanowiących lex specialis wobec ustawy o ochronie danych osobowych (art. 23 ust. 1 pkt 2 ustawy) oraz dochodziły roszczeń im należnych z tytułu prowadzonej przez nie działalności gospodarczej, czy to bankowej czy też windykacyjnej (art. 23 ust. 2 pkt. 5 ustawy). Z materiału dowodowego bezsprzecznie wynika, iż Skarżąca była dłużnikiem Banku zaciągając uprzednio trzy kredyty, co oznacza iż jako dłużnik zgodnie z przepisami prawa była zobowiązana do uiszczenia wszelkich należności instytucji, która w danym momencie, była na mocy prawa w posiadaniu ww. wierzytelności. Powyższy pogląd podzielił również Wojewódzki Sąd Administracyjny, który w wyroku z dnia 30 listopada 2004 r. (sygn. akt: II SA/Wa 1057/04) stwierdził wprost, iż „(...) zasadą powszechnie akceptowaną, wynikającą nie tylko z przepisów prawa cywilnego, lecz także z norm moralnych, zasad współżycia społecznego oraz dobrych obyczajów jest regulowanie zaciągniętych zobowiązań (zapłata długów). Zasada ta w pełni odnosi się do podmiotów prawa mających status konsumentów. (...) Dłużnik, który nie wywiązuje się ze swoich zobowiązań, musi liczyć się z konsekwencjami, wynikającymi z przepisów regulujących obrót gospodarczy. Postawa dłużnika nie może bowiem prowadzić do uprzywilejowania jego sytuacji prawnej. Gdyby generalnie uznać każdy wypadek przetwarzania danych osobowych dłużnika (będącego konsumentem) za godzący w jego prawa i wolności, doszłoby z jednej strony do niczym nieuzasadnionej ochrony osób niewywiązujących się ze swoich zobowiązań, z drugiej natomiast do naruszenia zasady swobody działalności gospodarczej, co z pewnością nie było zamiarem ustawodawcy przy uchwalaniu ustawy o ochronie danych osobowych”.
Powyższe rozważania wskazują zatem, że dla uznania legalności przetwarzania danych osobowych Skarżącej, oprócz ustalenia, czy cel przetwarzania danych jest prawnie usprawiedliwiony na podstawie z art. 23 ust. 1 pkt 2 i 5 ustawy, istotna jest również inna okoliczność, a mianowicie, czy wskazane w skardze podmioty nie naruszyły swym działaniem praw i wolności Skarżącej, na co wskazuje w treści wniosku Skarżąca. Podkreślić należy, iż ocena, czy przetwarzanie danych nie narusza praw i wolności, nie może obejmować „prawa do ochrony danych osobowych”. Takie stanowisko potwierdza obowiązujący w doktrynie pogląd, że ustawodawca, ograniczając możliwość stosowania ww. przesłanki legalności przetwarzania danych ze względu na prawa i wolności osoby, której dane dotyczą, nie miał na myśli „prawa do ochrony danych osobowych”, tj. prawa decydowania o przetwarzaniu informacji dotyczących danej osoby. Przedmiotowa przesłanka jest bowiem właśnie tą, która „legalizuje” wkroczenie w sferę wskazanych powyżej praw i wolności. W tym przypadku chodzi zatem o inne konstytucyjne prawa i wolności prawa, przyznane obywatelom, do których można zaliczyć: prawo do ochrony prawnej życia prywatnego (jednakże w aspekcie, który nie odnosi się do dysponowania danymi osobowymi sensu stricto), rodzinnego, czci i dobrego imienia oraz decydowania o swoim życiu osobistym, prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą (J. Barta, R. Markiewicz, „Ochrona danych osobowych. Komentarz”, Zakamycze 2004, s. 517 i nast.). Jak wynika z analizy stanu faktycznego w niniejszej sprawie nie doszło do naruszenia powyżej wymienionych wolności i praw Skarżącej, stąd brak jest podstaw do zakwestionowania w rozpatrywanym przypadku udostępnienia danych Skarżącej na podstawie przesłanek wymienionych w art. 23 ust. 1 pkt 2 i 5 ustawy.
Natomiast w niniejszej sprawie odrębną kwestią, pozostającą poza kompetencjami organu ochrony danych osobowych jest zagadnienie związane z badaniem ważności, czy też skuteczności zawartej przez Spółkę Z i Biuro W umowy przelewu wierzytelności. Podkreślenia wymaga, że do dokonywania oceny umów cywilno-prawnych, pod kątem ich legalności, jak potwierdził to ww. wyroku z dnia 6 czerwca 2005 r. Naczelny Sąd Administracyjny, właściwy jest wyłącznie sąd powszechny.
Jednocześnie, należy zaznaczyć, iż poza kognicją Generalnego Inspektora Ochrony Danych Osobowych pozostaje analiza metod działania firm windykacyjnych które mogłyby naruszać dobra osobiste, osób których wierzytelności są przedmiotem egzekucji ww. firm. W tej kwestii organami właściwym są sądy powszechne.
Reasumując, należy stwierdzić, iż przetwarzanie danych osobowych Skarżącej przez podmioty wskazane w skardze było zgodne z postanowieniami ustawy o ochronie danych osobowych i jako takie nie stanowi jej naruszenia.
Mając powyższe na uwadze, w tym stanie prawnym i faktycznym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.
