I OSK 2463/12

I OSK 2463/12 - Wyrok NSA
Data orzeczenia
2014-02-21
orzeczenie prawomocne
Data wpływu
2012-09-26
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Aleksandra Łaskarzewska
Barbara Adamiak /sprawozdawca/
Wiesław Morys /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 2367/11 - Wyrok WSA w Warszawie z 2012-05-31
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2002 nr 101 poz 926
art. 23 uzt. 1 pkt. 5
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Wiesław Morys Sędziowie: Sędzia NSA Barbara Adamiak (spr.) Sędzia NSA Aleksandra Łaskarzewska Protokolant st. inspektor sądowy Tomasz Zieliński po rozpoznaniu w dniu 21 lutego 2014 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej T. B. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 31 maja 2012 r. sygn. akt II SA/Wa 2367/11 w sprawie ze skargi T. B. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2011 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę kasacyjną
Uzasadnienie
T. B. wystąpił do Generalnego Inspektora Danych Osobowych ze skargą na przetwarzanie jego danych osobowych przez A. z siedzibą w K. przy ul. [...], obecnie w Z. przy ul. [...].
Decyzją z [...] maja 2011 r. Generalny Inspektor Ochrony Danych Osobowych odmówił uwzględnienia wniosku skarżącego, uznając że nie jest właściwy do zbadania kwestii istnienia lub nieistnienia wierzytelności, w tym do stwierdzenia czy przedawnienie zobowiązania skutkuje jego wygaśnięciem. Podkreślił natomiast, że działając na podstawie i w granicach ustawowych kompetencji przyznanych mu ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych może zbadać, czy u podstaw przetwarzania przez Spółkę danych osobowych skarżącego znajdowała się co najmniej jedna, spośród wymienionych w art. 23 ust. 1 ustawy, przesłanka dopuszczalności przetwarzania danych. Stosownie do 23 ust. 1 ustawy, przetwarzanie danych jest dopuszczalne gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Organ wyjaśnił, że w chwili gdy Spółka zebrała dane osobowe skarżącego, prowadził on działalność wpisaną do ewidencji działalności gospodarczej. Zgodnie natomiast z art. 7a ust. 2 ustawy z 19 listopada 1999 r. Prawo działalności gospodarczej (Dz. U. z 1999 r. Nr 101, poz. 1178 ze zm.), dane osobowe zawarte w ewidencji nie podlegają przepisom ustawy o ochronie danych osobowych. W związku z tym organ stwierdził, że nie może dokonać oceny dopuszczalności ich zebrania przez Spółkę. Jednocześnie organ zwrócił uwagę na wyrok Naczelnego Sądu Administracyjnego z 6 czerwca 2005 r. sygn. akt I OPS 2/05, w którym Sąd ten wyraził pogląd, że można przekazywać firmom windykacyjnym dane dłużników bez ich zgody, jednakże trzeba wyważać między ochroną ich praw i wolności obywatelskich oraz prywatnością, a interesami wierzycieli.
W związku z powyższym, zdaniem organu, zebranie przez Spółkę danych osobowych skarżącego znajdowało prawne uzasadnienie w art. 23 ust. 1 pkt 5 ustawy, który jest ściśle skorelowany z art. 23 ust. 4 pkt 2 ustawy. Zgodnie bowiem z tym przepisem, za prawnie usprawiedliwiony cel uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Odnosząc się do kwestii udostępniania danych osobowych na stronie internetowej [...], organ wskazał, że w jego ocenie udostępnienie to było prawnie uzasadnione, bowiem oświadczenie woli zawarcia umowy sprzedaży stanowi ofertę, jeżeli określa istotne postanowienia tej umowy. W przypadku zatem sprzedaży wierzytelności, wierzytelność ta musi być skonkretyzowana. Spółka oferując do sprzedaży wierzytelności ujawniła informacje o firmie przedsiębiorcy (zawierającej imię i nazwisko skarżącego), numerze identyfikacji podatkowej przedsiębiorcy, wysokości i podstawach zadłużenia oraz mieście, nazwie ulicy i kodzie pocztowym. W ofertach tych Spółka wskazała jednocześnie, że pełne dane adresowe i finansowe dłużnika zostaną udostępnione w momencie zakupu wierzytelności. Zatem Spółka na stronie internetowej ujawniła tylko część danych osobowych skarżącego, niezbędnych do skonkretyzowania wierzytelności w celu jej sprzedaży.
Ponadto, zdaniem organu, udostępnienie przez Spółkę na stronie internetowej [...] danych osobowych skarżącego nie może być oceniane jako naruszające jego prawa i wolności. Skarżący jako dłużnik musi liczyć się z tym, że popadając w zwłokę w spełnieniu zobowiązania jego prawo do prywatności może zostać ograniczone ze względu na dochodzenie przez wierzyciela należnych kwot.
Od decyzji tej skarżący złożył wniosek o ponowne rozpatrzenie sprawy, w którym zarzucił, że zaskarżona decyzja jest sprzeczna z prawem i ustawą o ochronie danych osobowych. Podniósł również, że firma A. bezprawnie nabyła od firmy B. nieistniejące zobowiązanie, które uległo przedawnieniu.
W wyniku ponownego rozpatrzenia sprawy Generalny Inspektor Ochrony danych Osobowych decyzją z [...] września 2011 r. nr [...] utrzymał w mocy decyzję z [...] maja 2011 r.
W uzasadnieniu decyzji organ podniósł, że rozstrzygnięcie zawarte w decyzji z [...] maja 2011 r. jest prawidłowe, a okoliczności podniesione we wniosku o ponowne rozpatrzenie sprawy nie uzasadniają zmiany tego rozstrzygnięcia.
Odnosząc się do zarzutu bezprawnego nabycia przez Spółkę nieistniejącego zobowiązania, które uległo przedawnieniu, organ wskazał, że jest on nieuzasadniony, gdyż Generalny Inspektor Ochrony Danych Osobowych nie jest właściwy do badania kwestii istnienia lub nieistnienia wierzytelności, gdyż są to kwestie z zakresu prawa cywilnego i powinny być rozpatrywane w postępowaniach prowadzonych przez sądy powszechne w drodze powództwa o ustalenie istnienia lub nieistnienia stosunku prawnego lub prawa. Podkreślił, że nieistnienie wynikających z umowy zawartej z B. i nabytych przez Spółkę zobowiązań skarżącego może stwierdzić jedynie sąd powszechny, a dokonanie przez organ oceny tej kwestii, stanowiłoby nieuprawnioną ingerencję w jurysdykcję sądu. Ponadto organ wskazał, że nie jest uprawniony do oceny zgodności z prawem umowy, na podstawie której Spółka nabyła dotyczące skarżącego zobowiązania, gdyż Generalny Inspektor Ochrony Danych Osobowych nie dokonuje oceny umów cywilnoprawnych, nie bada zasadności roszczeń, ani wymagalności wierzytelności. Nie może także oceniać prawidłowości wykonywania umów. Organ podkreślił, że przetwarzanie przez Spółkę danych osobowych skarżącego, w tym ich udostępnienie na stronie internetowej [...] – w takim zakresie w jakim organ może dokonać oceny tego procesu – jest dopuszczalne ze względu na istnienie po stronie Spółki prawnie usprawiedliwionych celów, dla wypełnienia których jest niezbędne przetwarzanie danych osobowych skarżącego. Dodatkowo organ podniósł, że nie może dokonać oceny dopuszczalności zebrania danych osobowych skarżącego w zakresie jego imienia, nazwiska, adresu oraz nazwy wykonywanej działalności, bowiem w momencie ich zebrania przez Spółkę, dane te – jako zawarte w ewidencji działalności gospodarczej – były wyłączone spod obowiązywania przepisów ustawy ze względu na treść art. 7a ust. 2 ustawy Prawo działalności gospodarczej, stanowiącego, iż ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy o ochronie danych osobowych. Organ podał, że zebranie przez Spółkę pozostałych danych osobowych skarżącego, tj. numeru identyfikacji podatkowej, numeru telefonu oraz informacji dotyczących zadłużenia, ma prawne uzasadnienie w art. 23 ust. 1 pkt 5 ustawy, stosownie do którego przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. W ocenie organu, przepisem prawa, z którego wynika interes prawny Spółki w pozyskaniu informacji o skarżącym jest art. 509 kc., w myśl którego wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania (§ 1). Wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, w szczególności roszczenie o zaległe odsetki (§ 2). Jednocześnie organ podkreślił, że przetwarzanie przez Spółkę danych osobowych skarżącego nie może być postrzegane jako naruszające prawa i wolności osoby, której te dane dotyczą.
W kwestii udostępniania danych osobowych skarżącego na stronie internetowej [...] organ podniósł, że wykreślenie C. z ewidencji działalności gospodarczej powoduje, iż badanie legalności udostępniania dotyczyć musi również danych, których zebranie przez Spółkę nie mogło być poddane ocenie organu, ze względu na treść art. 7a ust. 2 ustawy Prawo działalności gospodarczej, czyli informacji o imieniu, nazwisku, adresie i nazwie prowadzonej działalności. Organ wyjaśnił, że udostępnienie przez Spółkę na stronie internetowej [...] danych osobowych skarżącego nie może być oceniane jako naruszające jego prawa i wolności. Skarżący jako dłużnik musi liczyć się z tym, że popadając w zwłokę w spełnieniu zobowiązania jego prawo do prywatności może zostać ograniczone ze względu na roszczenia dochodzone przez wierzyciela. W przeciwnym wypadku mogłoby dojść do sytuacji, w której dłużnik będący osobą fizyczną prowadzącą działalność gospodarczą, po wykreśleniu tej działalności z ewidencji, powołując się na prawo do ochrony danych osobowych, skutecznie uchyliłby się od spoczywającego na nim obowiązku spełnienia świadczenia. Sytuacja taka ograniczałaby prawo wierzyciela do uzyskania należnej zapłaty.
Decyzja ta stała się przedmiotem skargi T. B. do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której podniósł, że bezprawnie umieszczono na stronach internetowych jego dane osobowe oraz nazwę jego firmy, która od wielu lat już nie istnieje. Podkreślił, że Spółka A. bezprawnie nabyła przedawnione i nieistniejące roszczenie od B. Podniósł, że nie udzielił zgody na przetwarzanie swoich danych osobowych ani B., ani A. W związku z tym, wniósł o zakaz publikowania jego danych osobowych przez A. W pismach procesowych z 10 grudnia 2011 r., 23 marca 2012 r., 24 kwietnia 2012 r. i 11 maja 2012 r. skarżący podniósł, że Spółka A. bezprawnie nabyła nieistniejące i przeterminowane wierzytelności. Zdaniem skarżącego, transakcja przelewu wierzytelności była nielegalna, bowiem odbyła się wbrew jego woli i bez jego zgody. Podkreślił, że Spółka nie ma prawa publikować jego danych osobowych w Internecie, gdyż nie wyraził na to zgody. Wskazał, że windykację prowadzą komornicy sądowi, a zasądzanie długów należy do sądów powszechnych. Dlatego też wniósł o zakaz udostępniania jego danych osobowych w Internecie.
Spółka A. wniosła o oddalenie skargi i podała, że Sąd Rejonowy w Z. wyrokiem z [...] lipca 2011 r. sygn. akt [...] z powództwa T. B. przeciwko A. oddalił powództwo i stwierdził, że Spółka A. skutecznie nabyła wierzytelności wobec skarżącego oraz jako wierzyciel skarżącego może wykonywać przysługujące jej prawa podmiotowe. Ponadto uprawniona jest do dokonania dalszej cesji wierzytelności przysługujących jej względem skarżącego, w tym poprzez zamieszczenie ogłoszenia publicznego – oferty o sprzedaży wierzytelności.
W odpowiedzi na skargę organ wniósł o oddalenie skargi, podtrzymując argumenty przedstawione w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 31 maja 2012 r., sygn. akt II SA/Wa 2367/11, po rozpoznaniu sprawy ze skargi T. B. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z [...] września 2011 r. nr [...] w przedmiocie ochrony danych osobowych, oddalił skargę. W uzasadnieniu Sąd wskazał, że zgodnie z art. 18 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1. usunięcie uchybień
2. uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
3. zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4. wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5. zabezpieczenie danych lub przekazanie ich innym podmiotom,
6. usunięcie danych osobowych.
W rozpoznawanej sprawie organ uznał, że brak jest podstaw do wydania nakazu przywrócenia stanu zgodnego z prawem i zdaniem Sądu ocena stanu faktycznego sprawy dokonana przez organ jest prawidłowa.
Jako podstawę materialnoprawną zaskarżonej decyzji organ wskazał art. 23 ust. 1 pkt 5 ww. ustawy. Zgodnie z tym przepisem przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Za prawnie usprawiedliwiony cel, o którym mowa w tym przepisie, uważa się – stosownie do treści art. 23 ust. 4 pkt 2 ustawy – dochodzenie roszczeń z tytułu prowadzonej działalności.
Dokonując wykładni przepisów ustawy o ochronie danych osobowych, należy wziąć pod uwagę cele i podstawowe założenia tej ustawy, określone w jej art. 1 ust. 2, gdzie podano, że przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich i że należy za każdym razem wyważyć dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych jako jeden z elementów prawa do ochrony własnej prywatności ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie. Zasadą wypracowaną przy stosowaniu ustawy o ochronie danych osobowych stało się przetwarzanie danych osobowych za zgodą osoby zainteresowanej, której dane te dotyczą (art. 23 ust. 1 pkt 1 ustawy). Nie oznacza to jednak, iż przesłanka uzyskania zgody na przetwarzanie danych osobowych ma pierwszeństwo stosowania przed innymi przesłankami dopuszczającymi przetwarzanie danych osobowych, wg określonych ustawowo zawężonych kryteriów, bez zgody osoby zainteresowanej. Przesłanki zawarte w przepisie art. 23 ust. 1 pkt 1-5 ustawy o ochronie danych osobowych są równorzędne, niezależne od siebie i dla przesądzenia o tym, że przetwarzanie danych jest dopuszczalne wystarczy wykazanie zaistnienia jednej z nich.
Jak wynika z ustaleń organu, skarżący prowadził działalność gospodarczą, która została wykreślona z ewidencji działalności gospodarczej [...] lutego 2007 r. Wobec skarżącego, jako osoby prowadzącej działalność gospodarczą, B. posiadał wierzytelność z tytułu zapłaty za usługi telekomunikacyjne, którą to wierzytelność na podstawie umowy o przelew wierzytelności z 24 lutego 2006 r. nabyła D. (obecnie A.). W wyniku zawarcia tej umowy Spółka przekazała dane osobowe skarżącego, które obecnie udostępnia na stronie internetowej w celu sprzedaży wierzytelności. W realiach rozpoznawanej sprawy i wobec zarzutów formułowanych przez skarżącego zwrócić należy uwagę, że skoro skarżący prowadził działalność gospodarczą jako osoba fizyczna, to po wykreśleniu tej działalności z odpowiedniego rejestru, skarżący odpowiada za zobowiązania zaciągnięte w trakcie jej prowadzenia całym majątkiem. W sprawie nie jest sporne, że B. miała prawo posiadać i przetwarzać dane osobowe skarżącego w związku z łączącą strony umową o świadczenie usług telekomunikacyjnych.
Zdaniem skarżącego Spółka nie miała jednak prawa dokonywać bez jego zgody zbycia wierzytelności, gdyż wierzytelności te były fikcyjne, a nadto uległy przedawnieniu.
Wobec takiego stanowiska skarżącego Sąd wskazał, na co zasadnie w swoich decyzjach zwrócił uwagę organ, że Generalny Inspektor Ochrony Danych Osobowych nie jest władny do dokonywania oceny prawidłowości umów cywilnoprawnych i powstałych na tym gruncie sporów, gdyż właściwość rzeczową w tym zakresie posiadają jedynie sądy powszechne. Organ nie może badać, czy umowa jest ważna i prawnie skuteczna, albowiem w tym przypadku organ administracji publicznej, jakim niewątpliwie jest GIODO, wykraczałby poza swoje ustawowo określone kompetencje. Dla Generalnego Inspektora Ochrony Danych Osobowych zawarta umowa jest czynnością prawną nie podlegającą jego ocenie, wywołującą skutki prawne do czasu, dopóki nie zostanie zakwestionowana w formie i trybie przewidzianym przez prawo. Powyższy pogląd jest już utrwalony w orzecznictwie sądowoadministracyjnym (por. np. wyrok NSA z 26 maja 2009 r., I OSK 808/08, Lex nr 513109, wyrok WSA w Warszawie z 19 lipca 2007 r., II SA/Wa 678/07, Lex nr 368229). Ustawa o ochronie danych osobowych nie ogranicza swobody prowadzenia działalności gospodarczej przez przedsiębiorców. Zawarcie umowy przelewu wierzytelności wywołuje skutki prawne regulowane zarówno przepisami Kodeksu cywilnego, jak i przepisami ustawy o ochronie danych osobowych. Ocena dopuszczalności, skuteczności, czy też ważności umowy przelewu należy do sądów powszechnych, ewentualnie w niektórych jej aspektach, może być również przedmiotem zainteresowania Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Jest to aspekt cywilnoprawny tej sprawy, który nie może być przedmiotem zainteresowania organu administracji publicznej. Zadanie organu ograniczało się zatem do zbadania w toku postępowania, czy w wyniku zawartej umowy cywilnoprawnej spółka B. mogła udostępnić dane osobowe skarżącego, zgodnie z przepisami ustawy o ochronie danych osobowych. Generalny Inspektor Ochrony Danych Osobowych wykazał w toku prowadzonego postępowania, iż podjęte przez spółkę B. działania, w zakresie dokonania cesji wierzytelności, nie pozostawały w sprzeczności z postanowieniami ustawy o ochronie danych osobowych. Organ nie był natomiast uprawniony do badania kwestii istnienia lub nieistnienia wierzytelności, w tym stwierdzenia, czy przedawnienie zobowiązania skutkuje jego wygaśnięciem oraz obowiązku zwrotu długu.
Sąd zwrócił uwagę, że skarżący 28 grudnia 2010 r. wniósł przeciwko Spółce A. pozew do sądu powszechnego, określając w nim trzy żądania:
– nakazanie pozwanej Spółce usunięcia jego danych osobowych oraz opisu wierzytelności rzekomo przysługujących Spółce wobec powoda ze strony internetowej handeldlugami.pl;
– ustalenie, że nie istnieje wierzytelność pozwanej wobec niego i że uległa ona przedawnieniu;
– zakazanie pozwanej sprzedaży tej wierzytelności i dalszego nią obrotu.
Sąd Rejonowy w Z. powództwo powyższe oddalił, a Sąd Okręgowy w Z. oddalił apelację powoda.
Organ słusznie stwierdził, iż dokonanie przelewu wierzytelności nierozerwalnie związane jest z przekazaniem danych osobowych dłużnika. Zgodnie z art. 509 § 2 kc. wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, a więc i prawo do dysponowania danymi osobowymi dłużnika w celu realizacji długu. Nabywca wierzytelności, poprzez dokonaną czynność cywilnoprawną, staje się samoistnym posiadaczem danych osobowych dłużnika. Staje się zatem administratorem danych osobowych i przetwarza dane osobowe na własny rachunek i ryzyko. Korzysta z takich samych praw i obowiązków w zakresie przetwarzania danych osobowych jakie przysługiwały poprzedniemu administratorowi danych.
W sytuacji zatem, gdy doszło do zbycia wierzytelności, Sąd uznał, że stanowiło to działanie mieszczące się w pojęciu dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej. Na podkreślenie zasługuje przy tym, że prawnie usprawiedliwiony cel administratora danych osobowych, zezwalający na ich przetwarzanie, znajduje oparcie w przepisie art. 66 kc., odnoszącym się do oferty zawarcia umowy. Oferta sprzedaży wierzytelności musi zawierać istotne postanowienia umowy, co m.in. oznacza, że wierzytelność musi być skonkretyzowana. W rozpoznawanej sprawie Spółka A. ujawniła tylko te dane, które były do tego celu niezbędne.
Zdaniem Sądu organ prawidłowo ocenił legalność zebrania danych osobowych skarżącego, zważywszy zwłaszcza, że działalność gospodarcza została wykreślona z ewidencji działalności gospodarczej w lutym 2007 r., a do umowy sprzedaży wierzytelności doszło w lutym 2006 r. Nie ulega wątpliwości, że ze względu na treść art. 7a ust. 2 ustawy z 19 listopada 1999 r. Prawo działalności gospodarczej (Dz. U. z 1999 r. Nr 101, poz. 1178 ze zm.) dane zawarte w ewidencji działalności gospodarczej były wyłączone spod obowiązywania ustawy o ochronie danych osobowych. Zebranie pozostałych danych, niewynikających z tej ewidencji, było, tak jak i ich późniejsze udostępnienie, niezbędne dla wypełnienia prawnie usprawiedliwionego celu, którym w tym wypadku jest dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Sąd wskazał przy tym, że przetwarzanie danych osobowych skarżącego nie narusza jego praw i wolności. Rozstrzygając o legalności przetwarzania danych osobowych, trzeba każdorazowo znaleźć równowagę między prawami i wolnościami jednostki a prawnie usprawiedliwionym interesem osoby trzeciej (por. wyrok Sądu Apelacyjnego w Warszawie z 5 lutego 2008 r., VI ACa 897/07, Lex nr 434473). Za słuszne należy uznać wywody organu, że gdyby każdy przypadek przetwarzania danych osobowych dłużnika uznać za godzący w jego prawa i wolności, to doszłoby z jednej strony do niczym nieusprawiedliwionej ochrony podmiotów niewywiązujących się ze swoich zobowiązań, z drugiej natomiast do naruszenia zasady swobody działalności gospodarczej. Zasadnie organ przyjął, że skarżący, jako dłużnik, musi liczyć się z tym, że popadając w zwłokę w spełnianiu zobowiązania jego prawo do prywatności może zostać ograniczone ze względu na roszczenia dochodzone przez wierzyciela. W orzecznictwie podkreśla się przy tym, że ochrona dóbr jednych nie może odbywać się kosztem naruszenia praw innych, co można pośrednio bądź bezpośrednio wywieść z wielu przepisów Konstytucji RP (art. 2, art. 22, art. 31 ust. 3, art. 32 ust. 1, art. 83) (por. wyrok WSA w Warszawie z 21 września 2005 r., II SA/Wa 1443/05, Lex nr 204649).
Odnosząc się do twierdzeń skarżącego Sąd wskazał, że zebranie danych osobowych skarżącego nastąpiło w związku z wierzytelnością wynikającą z umowy zawartej przez niego jako podmiot prowadzący działalność gospodarczą. W związku z tym przetwarzanie danych osobowych skarżącego nie może być oceniane w świetle przepisów odnoszących się do konsumentów. Za konsumenta – zgodnie z art. 221 kc. – uważa się bowiem osobę fizyczną dokonującą czynności prawnej niezwiązanej bezpośrednio z jej działalnością gospodarczą lub zawodową.
Uwzględniając powyższe rozważania Sąd nie uwzględnił wniosku uczestnika postępowania o dopuszczenie dowodów z dokumentów znajdujących się w aktach sprawy Sądu Rejonowego w Z., o sygn. akt [...] z powództwa T. B. przeciwko A. o nakazanie, zakazanie i ustalenie.
Zgodnie bowiem z przepisem art. 106 § 3 p.p.s.a. Sąd może z urzędu lub na wniosek stron przeprowadzić dowody uzupełniające z dokumentów, jeżeli jest to niezbędne do wyjaśnienia istniejących wątpliwości i nie spowoduje nadmiernego przedłużenia postępowania w sprawie.
Wnioskowane przez uczestnika dowody nie mogły przyczynić się do wyjaśnienia istniejących wątpliwości, gdyż te w sprawie nie wystąpiły. Z punktu widzenia rozpoznawanej sprawy istotne jest jedynie, że nie została skutecznie podważona ważność umowy cesji wierzytelności zawartej pomiędzy Spółką B. a uczestnikiem postępowania.
Wobec powoływania się przez uczestnika postępowania A. na ugody zawarte ze skarżącym dotyczące zapłaty zadłużenia i stanowiska skarżącego w tym zakresie, Sąd stwierdza, że nie jest uprawniony do badania, czy ugody te wywierają skutki prawne, tym bardziej, że okoliczność ta pozostaje bez wpływu na ocenę legalności zaskarżonej decyzji.
Mając wszystkie powyższe względy na uwadze Sąd, na podstawie art. 151 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, oddalił skargę.
T. B. wniósł od wyroku skargę kasacyjną, zaskarżając wyrok w całości. Skargę kasacyjną oparł na zarzucie naruszenia prawa materialnego przez błędną jego wykładnię i w konsekwencji niewłaściwe zastosowanie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych (tj. Dz. U. z 2002 r. Nr 101, poz. 926) poprzez przyjęcie, że przepis ten odnosi się do sytuacji, w której się znalazł.
Na tej podstawie wnosił o uchylenie w całości zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie.
W odpowiedzi na skargę kasacyjną Generalny inspektor Ochrony Danych osobowych wniósł o jej oddalenie.
W odpowiedzi na skargę kasacyjną A. z siedzibą w Z. wniosła o oddalenie skargi kasacyjnej.
Naczelny Sąd Administracyjny zważył, co następuje:
Zgodnie z art. 183 § 1 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tj. Dz. U. z 2012 r. poz. 270 ze zm.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.
Skarga kasacyjna nie została oparta na usprawiedliwionej podstawie. Zarzut naruszenia art. 23 ust. 1 pkt 5 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. z 29 sierpnia 1997 r., poz. 926 ze zm.) nie jest zasadny. Według art. 23 ust. 1 pkt 5 "Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą". W zaskarżonym wyroku Sąd przeprowadził w pełni prawidłową ocenę wyważenia interesów administratora danych oraz skarżącego, którego dane dotyczą. Skarżący powołuje się na ochronę prywatności, nie wyprowadzając w jakim zakresie narusza to jego prawa i wolności. W zaskarżonym wyroku Sąd zasadnie wywiódł zastosowanie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, które przyjmuje regułę wyważenia interesów administratora danych oraz osoby, której dane dotyczą. Powołanie się na ochronę prywatności, utratę dobrego imienia i poniżenie w odbiorze publicznym z uwagi na przedmiot danych nie pozwala na przyjęcie, że doszło do naruszenia praw i wolności skarżącego. Nie wyprowadzono, że z uwagi na szczególną sytuację ujawnienie jego danych prowadzi do podważenia wobec niego zaufania, które pozbawia go określonych korzyści, ogranicza jego uprawnienia w stosunkach społecznych. Jak zasadnie wywiódł Sąd drugą wartością jest ochrona interesów administratora danych. Skarżący jako dłużnik musi liczyć się z tym, że jeśli popadnie w zwłokę w spełnieniu zobowiązania, jego prawo do prywatności może zostać ograniczone ze względu na roszczenia dochodzone przez wierzyciela. Należy też wskazać na prawomocne orzeczenia sądów powszechnych, odmawiające skarżącemu udzielenia w przedmiotowym zakresie ochrony.
W tym stanie rzeczy, skoro skarga kasacyjna nie została oparta na usprawiedliwionych podstawach, na mocy art. 184 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, Naczelny Sąd Administracyjny orzekł jak w sentencji.
W zakresie wniosku A. należy wskazać, że ustawa – Prawo o postępowaniu przed sądami administracyjnymi nie daje podstaw do orzekania o kosztach uczestnika postępowania sądowoadministracyjnego.