>Decyzje Giodo>2008 >

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki

Warszawa, dnia 31 lipca 2008 r.

DECYZJA

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania
administracyjnego oraz art. 12 pkt 2 w zw. z art. 22 w zw. z art. 23 ust. 1 pkt 3 i 5 w zw. z art. 23
ust. 4 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 r. Nr
101 poz. 926 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi
dotyczącej przetwarzania danych osobowych X przez operatora z siedzibą w Warszawie, oraz Y.

odmawiam uwzględnienia wniosku.

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga X
(zwanej dalej Skarżącą) dotycząca przetwarzania jej danych osobowych przez Operatora oraz
Y (zwaną dalej Spółką).
Skarżąca wskazała, że z żadną z ww. firm nie zawierała jakichkolwiek umów i nie
wyrażała zgody na cesję „ewentualnego” długu.
W toku postępowania administracyjnego Generalny Inspektor Ochrony Danych
Osobowych ustalił, co następuje:
1. Operator przetwarza dane osobowe Skarżącej na podstawie zlecenia instalacji z dnia 22
października 2003 r. w zbiorze danych abonentów usług telekomunikacyjnych.
2. Na podstawie umowy o obsługę wierzytelności z dnia 20 czerwca 2007 r., uznając
Skarżącą za swojego dłużnika, Operator dokonał na rzecz Spółki przelewu
wierzytelności, przekazując dane osobowe Skarżącej w zakresie imię, nazwisko, adres,
numer PESEL, numer ewidencyjny, numer telefonu, dane dotyczące numeru i terminu
płatności zaległych faktur.
3. Spółka aktualnie przetwarza przedmiotowe dane w celu i zakresie wynikającym z ww.
umowy.
4. Spółka poinformowała Skarżącą – o swojej nazwie i adresie siedziby, o zakresie i celu
przetwarzania danych oraz źródle ich pozyskania, o prawie dostępu do treści swoich
danych oraz ich poprawiania, a także o przysługującej możliwości wniesienia sprzeciwu
„w razie rozpoczęcia przez Spółkę przetwarzania danych osobowych dla celów
marketingowych lub przekazania ich innemu administratorowi danych”.
5. W chwili obecnej operator przetwarza dane osobowe Skarżącej na podstawie art. 70
ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (t.j. Dz. U. 2005 Nr 8 poz. 60 z
późn. zm.) – ze względu na pięcioletni okres przedawnienia zobowiązań podatkowych
oraz na podstawie art. 118 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr
16, poz. 93 z późn. zm.) ze względu na dziesięcioletni okres przedawnienia roszczeń.
W związku z powyższym, Generalny Inspektor Ochrony Danych Osobowych zważył, co
następuje:
Mając na uwadze wniosek Skarżącej „o zbadanie legalności przetwarzania [jej] danych
osobowych przez firmę windykacyjną Y przekazanych tej Spółce przez operatora., wskazać
należy, że stosownie do przepisu art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych (Dz. U. Z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą,
przetwarzanie danych osobowych jest dopuszczalne, jeżeli spełniona zostanie co najmniej
jedna z wymienionych w nim przesłanek. Wskazane w tym przepisie przesłanki należy
traktować rozłącznie, tzn. w przypadku zaistnienia jednej z nich, zbędne jest wskazywanie
posiadania pozostałych. Stosownie więc do zapisu art. 23 ust. 1 pkt 3 ustawy, przetwarzanie
danych osobowych jest dopuszczalne, gdy jest to konieczne do realizacji umowy, gdy osoba,
której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed
zawarciem umowy na żądanie osoby, której dane dotyczą, a także wtedy gdy jest to niezbędne
do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów
danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której
dane dotyczą (art. 23 ust. 1 pkt 5). Za prawnie usprawiedliwiony cel, o którym mowa w ww.
przepisie uważa się m.in. dochodzenie roszczeń z tytułu prowadzonej działalności
gospodarczej (art. 23 ust. 4 pkt 2 ustawy). Zgoda osoby, której dane dotyczą, o której mowa
w art. 23 ust. 1 pkt 1 ustawy, nie jest więc jedyną i wyłączną przesłanką przetwarzania danych
osobowych osoby, której dane dotyczą.
Z wyjaśnień operatora wynika, iż dane osobowe Skarżącej podmiot ten pozyskał w dniu
22 października 2003 r., na podstawie zlecenia instalacji, a zatem podstawę przetwarzania
przedmiotowych danych stanowiła przesłanka wymieniona w art. 23 ust. 1 pkt 3 ustawy, tj.
konieczność realizacji umowy. Jednocześnie w celu odzyskania zadłużenia przysługującego
operatorowi wierzytelność przysługująca wobec Skarżącej została sprzedana Spółce na podstawie
umowy o obsługę wierzytelności z dnia 20 czerwca 2007 r., co z kolei stanowiło działanie w
usprawiedliwionym celu administratora danych, o którym mowa w art. 23 ust. 1 pkt 5 ustawy.
W kontekście legalności udostępniania danych osobowych podmiotom trudniącym się
windykacją należności należy zwrócić uwagę na przepisy Kodeksu cywilnego, a szczególnie
na art. 509 odnoszący się do cesji wierzytelności. Przepis ten stanowi, iż wierzyciel może bez
zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba, że sprzeciwiałoby
się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania (§ 1). Wraz z
wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, w szczególności
roszczenie o zaległe odsetki (§ 2 ww. artykułu).
Istotny w tym przedmiocie, rozstrzygający wątpliwości, dotyczące legalności
przetwarzania danych w związku z cesją wierzytelności, jest wyrok Naczelnego Sądu
Administracyjnego z dnia 6 czerwca 2005 r., (sygn. akt I OPS 2/2005), z którego wynika, że
można przekazywać firmom windykacyjnym dane dłużników bez ich zgody, ale trzeba
wyważać między ochroną ich praw i wolności obywatelskich oraz prywatności a interesami
wierzycieli.
Podkreślić w tym miejscu należy, iż ocena, czy przetwarzanie danych nie narusza praw
i wolności nie może obejmować „prawa do ochrony danych osobowych”. Takie stanowisko
potwierdza obowiązujący w doktrynie pogląd, że ustawodawca, ograniczając możliwość
stosowania ww. przesłanki legalności przetwarzania danych ze względu na prawa i wolności
osoby, której dane dotyczą, nie miał na myśli „prawa do ochrony danych osobowych”, tj.
prawa decydowania o przetwarzaniu informacji dotyczących danej osoby. Przedmiotowa
przesłanka jest bowiem właśnie tą, która „legalizuje” wkroczenie w sferę wskazanych
powyżej praw i wolności. W tym przypadku chodzi zatem o inne konstytucyjne prawa i
wolności przyznane obywatelom, do których można zaliczyć: prawo do ochrony prawnej
życia prywatnego (jednakże w aspekcie, który nie odnosi się do dysponowania danymi
osobowymi sensu stricto), rodzinnego, czci i dobrego imienia oraz decydowania o swoim
życiu osobistym, prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych,
niepełnych lub zebranych w sposób sprzeczny z ustawą (J. Barta, R. Markiewicz, „Ochrona
danych osobowych. Komentarz”, Zakamycze 2004, s. 517 i nast.).
Zauważyć też należy, że z utrwalonej już linii orzecznictwa sądów
administracyjnych w sprawie przetwarzania danych osobowych konsumentów w ramach
przelewu wierzytelności wynika, że podstawę prawną do udostępniania przez cedenta
cesjonariuszowi danych osobowych niezbędnych do zawarcia i wykonania umowy cesji
wierzytelności stanowi art. 23 ust. 1 pkt 5 ustawy. Windykacja należności uznawana jest za
realizację przez administratora danych, jak i odbiorcę danych prawnie usprawiedliwionego
celu, który polega na uzyskaniu należnego świadczenia od dłużnika. W niniejszej sprawie
należy przytoczyć pogląd Wojewódzkiego Sądu Administracyjnego w Warszawie,
zaprezentowany w wyroku z dnia 30 listopada 2004 r. (sygn. akt: II SA/Wa 1057/04), w
którym WSA stwierdził wręcz, iż „(...) zasadą powszechnie akceptowaną, wynikającą nie
tylko z przepisów prawa cywilnego, lecz także z norm moralnych, zasad współżycia
społecznego oraz dobrych obyczajów jest regulowanie zaciągniętych zobowiązań (zapłata
długów). Zasada ta w pełni odnosi się do podmiotów prawa mających status konsumentów.
(...) Dłużnik, który nie wywiązuje się ze swoich zobowiązań, musi liczyć się z
konsekwencjami, wynikającymi z przepisów regulujących obrót gospodarczy. Postawa
dłużnika nie może bowiem prowadzić do uprzywilejowania jego sytuacji prawnej. Gdyby
generalnie uznać każdy wypadek przetwarzania danych osobowych dłużnika (będącego
konsumentem) za godzący w jego prawa i wolności, doszłoby z jednej strony do niczym
nieuzasadnionej ochrony osób niewywiązujących się ze swoich zobowiązań, z drugiej
natomiast do naruszenia zasady swobody działalności gospodarczej, co z pewnością nie było
zamiarem ustawodawcy przy uchwalaniu ustawy o ochronie danych osobowych”. Podobne
stanowisko zaprezentował również orzekający w poszerzonym składzie 7 Sędziów Naczelny
Sąd Administracyjny, który w wyroku z dnia 6 czerwca 2005 r. (sygn. akt I OPS 2/05),
wskazał m.in., iż przesłanka o której mowa w art. 23 ust. 1 pkt 5 ustawy, odnosi się wprost do
administratora danych osobowych lub odbiorcy danych, którzy aby zrealizować prawnie
dopuszczalne cele muszą udostępniać dane osobowe, pod warunkiem wszakże, że nie naruszy
to praw i wolności osoby, której dane dotyczą. NSA uznał jednocześnie, iż za prawnie
usprawiedliwiony cel administratora danych o którym mowa w art. 23 ust. 1 pkt 5 ustawy już
sama ustawa uznaje dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej, o
czym stanowi art. 23 ust. 4 pkt 2 ustawy.
Wobec powyższego – biorąc pod uwagę okoliczności faktyczne przedmiotowej sprawy
uznać należy, że w związku z cesją wierzytelności Skarżącej, nie zostały naruszone przepisy
ustawy o ochronie danych osobowych.
Niezależnie od powyższego wskazać też należy, że stosowane przez Spółkę
standardowe druki przedsądowego wezwania do zapłaty (które zostało skierowane również do
Skarżącej) zawierają informacje wskazane w art. 25 ust. 1 ustawy o ochronie danych
osobowych, a zatem wypełniają dyspozycję dotyczącą obowiązku informacyjnego
administratora danych.
Odnosząc się natomiast do poruszonej przez Skarżącą kwestii istnienia roszczenia
operatora wobec niej, wskazać należy, że Generalny Inspektor nie jest uprawniony do oceny
zasadności roszczeń, natomiast rozstrzyganie sporów prawnych wynikających z powyższych
zagadnień należy do właściwości sądów powszechnych. Również Naczelny Sąd
Administracyjny w wyroku z dnia 2 marca 2001 r. (sygn. akt II SA 401/00), wskazał m.in.,
że: „(...) Generalny Inspektor (...) nie jest organem kontrolującym ani nadzorującym
prawidłowość stosowania prawa materialnego i prawa procesowego w sprawach należących
do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w
toku instancji czy w inny sposób określony odpowiednimi procedurami (...)”.
Mając powyższe na uwadze, w tym stanie prawnym i faktycznym, Generalny Inspektor
Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych
osobowych, stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie
14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych
Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora
Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa).