I OSK 336/05

I OSK 336/05 - Wyrok NSA
Data orzeczenia
2006-01-26
orzeczenie prawomocne
Data wpływu
2005-03-24
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Andrzej Jurkiewicz /przewodniczący/
Tomasz Zbrojewski
Wojciech Chróścielewski /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 1057/04 - Wyrok WSA w Warszawie z 2004-11-30
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2002 nr 153 poz 1270
art. 184
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi.
Sentencja
Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Andrzej Jurkiewicz, Sędziowie NSA Wojciech Chróścielewski (spr.), Tomasz Zbrojewski, Protokolant Tomasz Zieliński, po rozpoznaniu w dniu 19 stycznia 2006r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 30 listopada 2004r. sygn. akt II SA/Wa 1057/04 w sprawie ze skargi I. Sp. z o.o. w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] Nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza na rzecz I. Sp. z o.o. w Warszawie od Generalnego Inspektora Ochrony Danych Osobowych kwotę 120 (słownie: sto dwadzieścia) zł tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 30 listopada 2004 r. sygn. akt II SA/Wa 1057/04, w sprawie ze skargi I. Sp. z o.o. w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z [...] nr [...] w przedmiocie przetwarzania danych osobowych uchylił zaskarżoną decyzję oraz poprzedzającą ją decyzję tego samego organu z [...].
Wyrok został wydany w następujących okolicznościach sprawy. Zaskarżoną decyzją Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy swoją decyzje z [...] wydaną na podstawie art. 12 pkt 2 i art. 18 ust. 1 pkt 6 w zw. z art. 23 ust. 1 pkt 2 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.) oraz art. 3851 § 1 w zw. z art. 3853 pkt 5 k.c. nakazującą I. sp. z o.o. w [...] usunięcie danych osobowych M. S. pozyskanych bez jej zgody w związku z zawarciem umowy przelewu wierzytelności od regionalnej S. SA z siedzibą w [...]. W uzasadnieniu wskazano, że w sprawie wystąpiła sprzeczność umowy przelewu z przepisami art. 3851 § 1 i art. 3853 pkt 5 k.c., co powoduje zgodnie z art. 509 k.c. niedopuszczalność przelewu. Umowa przelewu wierzytelności kształtowała prawa i obowiązki M. S. w sposób sprzeczny z dobrymi obyczajami rażąco naruszając jej interesy i była nieważna – art. 58 § 1 k.c. Przetwarzanie danych osobowych M. S. miało miejsce bez wystąpienia żadnej z przesłanek z art. 23 ust. 1 ustawy o ochronie danych osobowych oraz bez uzyskania jej zgody, przyjęło więc postać niedozwolonych postanowień umownych – art. 3853 pkt 5 k.c., a te zgodnie z art. 3851 § 1 k.c. nie są dla konsumenta wiążące.
I. w swojej skardze do Wojewódzkiego Sądu Administracyjnego zarzuciła zaskarżonej decyzji naruszenie art. 509 § 1, art. 3851 § 1 i art. 3853 pkt 5 k.c. oraz art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy o ochronie danych osobowych, a także naruszenie art. 107 § 3 i 127 § 3 k.p.a. W uzasadnieniu skargi wywodzono, iż w przedmiotowej sprawie doszło wyłącznie do przeniesienia wierzytelności bez jednoczesnego przeniesienia zobowiązań – w sprawie nie ma więc zastosowania przepis art. 3853 pkt 5 k.c., który wymaga łącznego przeniesienia praw i obowiązków. Stanowisko organu administracji, iż w sprawie miał zastosowanie art. 3851 k.c. jest wadliwe ponieważ w umowie o świadczenie usług telekomunikacyjnych nie było postanowienia pozwalającego na przelew wierzytelności bez zgody dłużnika – nie mogło więc takie nieistniejące postanowienie być uznane za niedozwolone postanowienie umowne. Ponadto w uzasadnieniach decyzji nie wykazano, że przelew wierzytelności kształtował prawa i obowiązki M. S. w sposób sprzeczny z dobrymi obyczajami rażąco naruszając jej interesy. Nie wskazano też jakie prawa i interesy zostały naruszone przez przetwarzanie danych osobowych i na czym to naruszenia miało polegać. Przetwarzanie danych osobowych miało miejsce w zakresie, w jakim było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów firmy – dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej.
Wojewódzki Sąd Administracyjny w uzasadnieniu swojego wyroku uznał, że nie można podzielić poglądu organu administracji, iż ocena dopuszczalności przetwarzania danych osobowych – art. 23 ust. 1 pkt 2 i 5 ustawy o ochronie danych osobowych – wymagała rozważenia przez organ administracji i Sąd ważności lub skuteczności umowy przelewu. Oznaczałoby to wkraczanie w problematykę cywilnoprawną należąca do kompetencji sądów powszechnych. Oceny legalności przetwarzania danych osobowych dokonać należy w oparciu o przepisy art. 23 ust 1 pkt 1 – 5 ustawy o ochronie danych osobowych. Sąd uznał, że przepis art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych stanowiący podstawę prawną zaskarżonej decyzji nie mógł stanowić podstawy prawnej przetwarzania danych osobowych w rozpatrywanej sprawie, gdyż dotyczy on wyłącznie przetwarzania danych wypływającego z zezwolenia opartego o przepis prawa. Do tych przepisów nie można zaliczyć przepisów k.c. bowiem kodeks nie reguluje w ogóle problematyki przetwarzania danych osobowych. Sąd uznał dalej, że przetwarzanie danych osobowych M. S. było dopuszczalne w świetle art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, zgodnie z którym uznać należy za dopuszczalne przetwarzanie danych, gdy jest ono niezbędne dla wypełniania prawnie usprawiedliwionych celów administratora danych, lub osób trzecich, którym te dane są przekazywane a nie narusza to praw i wolności osoby, której dane dotyczą. Skarżąca nabyła wierzytelność w celu jej wyegzekwowania. Dane osobowe były jej niezbędne dla dochodzenia roszczenia wynikającego z prowadzonej działalności gospodarczej. Organ administracji nie wykazał, że prawa i wolności M. S. doznały uszczerbku. Tak więc przetwarzanie jej danych osobowych było dopuszczalne w świetle art. 23 ust. 1 pkt 5 ustawy, który organ administracji swymi decyzjami naruszył. Naruszył on także przepisy art. 7, 77 § 1, 80 i 107 § 3 k.p.a. nie wyjaśniając wszystkich istotnych dla sprawy okoliczności pozwalających na ocenę przesłanki z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Sąd dodał, że zasadą winno być regulowanie swych zobowiązań. Gdyby w sprawie do tego doszło to nie wyłoniłby się w ogóle problem związany z przetwarzaniem jej danych osobowych.
W skardze kasacyjnej Generalny Inspektor Ochrony Danych Osobowych zaskarżył wyrok Sądu I instancji w całości zarzucając mu naruszenie prawa materialnego:
- art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych poprzez błędną jego wykładnię, polegającą na przyjęciu, że przetwarzanie danych osobowych jest dopuszczalne, jedynie, gdy przepis expresis verbis zezwalał na przetwarzanie danych osobowych;
- art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych polegające na przyjęciu, że przetwarzanie danych osobowych w przedmiotowej sprawie było niezbędne dla wypełnienia prawnie usprawiedliwionych celów administratora danych oraz nie narusza praw i wolności osoby, której dane były przetwarzane. Wniesiono o uchylenie w całości zaskarżonego wyroku i orzeczenia na podstawie art. 188 p.p.s.a o oddaleniu skargi. W uzasadnieniu podniesiono, że Sąd błędnie uznał, że przepisami zezwalającymi na przetwarzanie danych osobowych na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych nie mogą być przepisy k.c. Kodeks cywilny uchwalony wcześniej niż ustawa o ochronie danych osobowych nie mógł zawierać przepisów dotyczących przetwarzania danych osobowych. Przepis prawa nie musi wyraźnie upoważniać do wykorzystywania danych osobowych, wystarczy, że zezwala on na wykonanie określonej czynności dla której przetwarzanie danych jest niezbędne. Przyjęcie stanowiska Sądu oznaczałoby, że wszystkie akty prawne uchwalone przed dniem wejścia w życie ustawy nie miałyby zastosowania w ocenie dopuszczalności przetwarzania danych osobowych. Dlatego składający skargę kasacyjną uważa, że Sąd I instancji bezzasadnie uznał, że w zaskarżonej decyzji błędnie powołano podstawę prawną jej wydania. Nie zgodzono się także ze stanowiskiem Sądu, iż podstawy prawnej decyzji nie mogły stanowić przepisy art. 3851 § 1 w zw. z art. 3853 pkt 5 k.c.. Zakwestionowano również pogląd Sądu I instancji, że podstawą prawną przetwarzania danych osobowych w przedmiotowej sprawie był art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Działania zmierzające w prawnie usprawiedliwionym celu, które zmierzają do dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej mogą stanowić podstawę do przetwarzania danych osobowych tylko wtedy gdy są zgodne z prawem. Umowa przelewu wierzytelności w przedmiotowej sprawie była jednak z prawem niezgodna. Przelew wierzytelności przysługującej wobec konsumenta podlega szczególnym zasadom określonym w art. 3851 § 1 i n. k.c. i stanowi wyjątek od postanowień art. 509 § 1 k.c. Jeżeli ustawa niedopuszcza wprowadzenia do stosunków umownych klauzul zezwalających na przeniesienie praw i obowiązków bez zgody konsumenta, w sytuacji, gdyby było to sprzeczne z dobrymi obyczajami i w sposób rażący naruszało jego interesy, to tym bardziej nie może dojść do przeniesienia praw w sytuacji, gdy umowa na ten temat milczy. Zauważono także, że z umowy o przelewie wierzytelności zawartej pomiędzy skarżąca a S. SA wynika, że spółka przejęła wobec dłużników także pewne obowiązki – zawiadomienia ich o zawarciu umowy i zmianie wierzyciela. Zarzucono również, że Sąd I instancji błędnie przyjął, że przetwarzanie przez skarżąca danych osobowych nie narusza praw i wolności M. S.. Została ona bowiem wezwana do uiszczenia nie tylko należności głównej wraz z odsetkami ale zobowiązano ją także do zapłacenia dodatkowej kwoty 35 zł. Nałożono więc na nią obowiązki nieznajdujące oparcia w żadnym przepisie prawa. Naruszono więc prawa i wolności M. S..
W odpowiedzi na skargę kasacyjną I. Sp. z o.o. w [...] wniosła o oddalenie skargi kasacyjnej oraz o zasądzenie na swoją rzecz kosztów postępowania według norm przepisanych. W obszernym uzasadnieniu tej odpowiedzi, stanowiącym w istocie polemikę ze stanowiskiem organu administracji prezentowanym w obu decyzjach oraz w skardze kasacyjnej, zwrócono m. in. uwagę na to, że organ administracji dopiero w skardze kasacyjnej rozważał kwestie naruszenia praw i wolności M. S. poprzez zażądanie zapłaty kwoty 35 zł. Jest to żądanie z zakresu prawa cywilnego, o którym Generalny Inspektor nie jest władny orzekać. Podniesiono także, że skarżąca od chwili wszczęcia postępowania wskazywała na art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, jako podstawę prawną przetwarzania danych osobowych. Odpowiedź ta została uzupełniona pismem przygotowawczym z 27 grudnia 2005 r., w którym Spółka ustosunkowała się do poglądów wyrażonych w wyroku Składu Siedmiu Sędziów NSA z 6 czerwca 2005 r., I OSK 2/05, postulując podjęcie przez NSA uchwały odnoszącej się do analizowanej problematyki. Także Generalny Inspektor Ochrony Danych Osobowych w piśmie z dnia 13 stycznia 2006 r. wyraził pogląd, iż niezbędne jest podjęcie takiej uchwały.
Naczelny Sąd Administracyjny zważył, co następuje:
W myśl art. 174 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270, ze zm., powoływanej dalej jako p.p.s.a.) skargę kasacyjną można oprzeć na następujących podstawach: 1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie; 2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy. Naczelny Sąd Administracyjny jest związany podstawami skargi kasacyjnej, bowiem według art. 183 § 1 ustawy - p.p.s.a. rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod uwagę jedynie nieważność postępowania. Związanie NSA podstawami skargi kasacyjnej wymaga prawidłowego ich określenia w samej skardze. Oznacza to konieczność powołania konkretnych przepisów prawa, którym - zdaniem skarżącego - uchybił sąd, uzasadnienia zarzutu ich naruszenia, a w razie zgłoszenia zarzutu naruszenia prawa procesowego - wykazania dodatkowo, że to wytknięte uchybienie mogło mieć istotny wpływ na wynik sprawy. Kasacja nieodpowiadająca tym wymaganiom, pozbawiona konstytuujących ją elementów treściowych uniemożliwia sądowi ocenę jej zasadności. Ze względu na wymagania stawiane skardze kasacyjnej, usprawiedliwione zasadą związania Naczelnego Sądu Administracyjnego jej podstawami sporządzenie skargi kasacyjnej jest obwarowane przymusem adwokacko - radcowskim (art. 175 § 1 - 3 p.p.s.a). Opiera się on na założeniu, że powierzenie tej czynności wykwalifikowanym prawnikom zapewni skardze odpowiedni poziom merytoryczny i formalny.
Skarga kasacyjna złożona w rozpoznawanej sprawie odpowiada wymogom skargi kasacyjnej stawianych przez art. 176 p.p.s.a. w zw. z art. 174 p.p.s.a.
Kwestia dopuszczalności przetwarzania danych osobowych dłużnika w związku z umową przelewu wierzytelności była przedmiotem wyroku składu siedmiu sędziów Naczelnego Sądu Administracyjnego z dnia 6 czerwca 2005 r., I OPS 2/05. Sąd w powiększonym składzie uznał w nim, że prawnie usprawiedliwiony cel o którym stanowi art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych może być oparty także na przepisach prawa cywilnego oraz, że samo ustalenie, iż administrator danych osobowych realizuje prawnie dopuszczalny cel nie przesądza o dopuszczalności przetwarzania danych. Niezbędne jest bowiem wyważenie interesów administratora danych osobowych oraz osoby, której dane dotyczą przy uwzględnieniu celu ustawy, którym jest ochrona prywatności w rozumieniu art. 47 Konstytucji. Pogląd prawny wyrażony w tym wyroku podziela skład orzekający w niniejszej sprawie. Jednocześnie zaś nie podziela stanowiska, wyrażonego we wskazanych wyżej pismach procesowych, że w sprawie zaistniały przesłanki określone w art. 187 § 1 p.p.s.a uzasadniające przedstawienie powiększonemu składowi Sądu do rozpatrzenia zagadnienia prawnego budzącego poważne wątpliwości.
Zarzut skargi kasacyjnej odnoszący się do naruszenia art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych nie jest trafny. Przepis ten w brzmieniu obowiązującym w dacie wydawania zaskarżonej decyzji stanowił o dopuszczalności przetwarzania danych osobowych, gdy zezwalają na to przepisy prawa. Wbrew stanowisku składającego skargę kasacyjną musi być to wyraźny niebudzący wątpliwości przepis prawa. Okoliczność, że w czasie uchwalania przepisów k.c. nie obowiązywała regulacja dotycząca ochrony danych osobowych nie ma tu żadnego znaczenia. Nic bowiem nie stało na przeszkodzie, aby ustawodawca dodał do przepisów kodeksu, a także innych ustaw regulacje podobne do zawartej np. w art. 60 ustawy o ochronie danych osobowych – wprowadzającego do ustawy z 26 kwietnia 1996 r. o Służbie Więziennej (Dz.U. nr 61, poz. 283 z późn. zm.) przepis zezwalający na gromadzenie i przetwarzanie danych osobowych - nowelizując także inne ustawy, uchwalone przed wejściem w życie ustawy o ochronie danych osobowych.
Całkowicie chybiony jest natomiast zarzut skargi kasacyjnej odnoszący się do naruszenia art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych przez przyjęcie, że przetwarzanie danych osobowych było w rozpoznawanej sprawie niezbędne dla wypełnienia prawnie usprawiedliwionego celu administratora danych oraz, że nie narusza ono praw i wolności osoby, której dane były przetwarzane. Podstawową przesłanką uznania przez Sąd I instancji naruszenia tego przepisu był bowiem fakt, że organ administracji nie wykazał iż miało miejsce naruszenie praw i wolności osoby, której dane osobowe były przetwarzane. W skardze kasacyjnej źle zinterpretowano fragment uzasadnienia wyroku Sądu I instancji w tym zakresie uznając, że Sąd błędnie przyjął, że przetwarzanie danych osobowych nie naruszało praw i wolności M. S.. W sposób niebudzący wątpliwości Sąd zarzucił organowi administracji, iż nie wykazał on że takie naruszenie miało miejsce na co wskazuje zresztą powołanie szeregu przepisów k.p.a. dotyczących postępowania wyjaśniającego, którym uchybił Generalny Inspektor Ochrony Danych Osobowych. W powołanym już wyroku składu siedmiu sędziów NSA z 6 czerwca 2005 r. wyraźnie wskazano, że wyważenie interesów administratora danych osobowych i osoby, której dane mają podlegać przetwarzaniu, jest warunkiem koniecznym przy stosowaniu art. 23 ustawy o ochronie danych osobowych, przy uwzględnieniu rangi tych interesów w realiach konkretnej sprawy. Jest to szczególnie ważne, ponieważ konflikt ten dotyczy ochrony prywatności osoby, której dane są przetwarzane, a więc wartości, która ma szczególnie wysoką rangę, także w systemie wartości konstytucyjnych. O tym, że organ administracji nie wyważył w rozpoznawanej sprawie tych interesów, a nawet nie precyzował na czym miałby polegać interes M. S. świadczy to, że dopiero w skardze kasacyjnej powołał się na dodatkowe obciążenie pieniężne, które skarżąca spółka nałożyła na dłużnika.
Przesłanka, o której mowa w art. 23 ust. 1 pkt 5 ustawy odnosi się wprost do administratora danych osobowych lub odbiorcy danych, którzy aby zrealizować prawnie dopuszczalne cele muszą udostępnić dane osobowe, pod warunkiem wszakże, że nie naruszy to praw i wolności osoby, której dane dotyczą. Już samo użycie określenia "jeżeli jest to niezbędne" wskazuje, że stosowanie tych przepisów wymaga nie tylko wykazania, że chodzi o realizowanie prawnie usprawiedliwionego celu, ale także dokonania oceny, czy dla jego realizacji jest niezbędne przekazanie danych, pomimo że brak jest na to zgody osoby, której dane dotyczą. Ocena ta, to wyważanie racji i interesów, z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes aby jej dane nie były przetwarzane bez jej zgody, a z drugiej strony administratora danych, który ma także objęty ochroną prawną interes polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia, co w przypadku administratora danych, będącego wierzycielem obejmuje jego prawo do uzyskania należnego świadczenia od dłużnika. Unormowanie to oparte jest więc na założeniu, że dochodzi do konfliktu interesów między interesem osoby, która ma prawo do ochrony swoich danych osobowych a interesem administratora tych danych, który ma prawo przetwarzać te dane, jeżeli jest to konieczne do realizacji jego uprawnień wynikających z przepisów prawa lub prawnie usprawiedliwionego celu. Wyważenie tych interesów jest warunkiem koniecznym przy stosowaniu art. 23 ustawy o ochronie danych osobowych, przy uwzględnieniu, co należy jeszcze raz podkreślić, rangi tych interesów w realiach konkretnej sprawy. Jest to szczególnie ważne, ponieważ konflikt ten dotyczy ochrony prywatności osoby, której dane są przetwarzane, a więc wartości, która ma szczególnie wysoką rangę, także w systemie wartości konstytucyjnych.
Oznacza to, że w przypadku przetwarzania danych osobowych przez administratora danych, bez zgody osoby, której te dane dotyczą, w pierwszej kolejności konieczne jest ustalenie i rozważenie, czy spełniona jest ustawowa przesłanka szczegółowa uzasadniająca przetwarzanie danych bez zgody osoby, której dane dotyczą – a więc czy cel, dla którego dane mają być przetwarzane spełnia przesłankę celu prawnie usprawiedliwionego, a następnie, jeżeli przesłanka ta jest spełniona, ustalenie i rozważenie wszystkich okoliczności koniecznych do wyważenia niezbędnej ochrony interesów osoby, której dane dotyczą oraz interesów administratora danych.
Z uzasadnienia decyzji Generalnego Inspektora Ochrony Danych Osobowych, a także z jego skargi kasacyjnej wynika, że zdaniem tego organu podstawy przetwarzania danych nie mógł stanowić przepis art. 23 ust. 1 pkt 5 ustawy, ponieważ niedopuszczalna jest cesja wierzytelności osoby, której dane dotyczą, gdyż osoba ta jest konsumentem, a bez zgody konsumenta nie można przenieść praw i przekazać obowiązków wynikających z umowy. Skoro bowiem stosownie do przepisu art. 3853 pkt 5 k.c. nie można nawet we wzorcu umownym wyłączyć zgody konsumenta na przeniesienie praw i obowiązków wynikających z umowy, to zakazane jest czynić więcej, zatem dokonywać takich czynności w ogóle bez zgody konsumenta. Stanowisko to sprowadza się więc do tego, że przetwarzanie danych bez zgody osoby, której dane dotyczą, na podstawie art. 23 ust. 1 pkt 5 ustawy jest w ogóle niedopuszczalne, ponieważ administrator danych nie realizuje prawnie usprawiedliwionego celu w rozumieniu tego przepisu, gdyż zakazane jest dokonywanie przelewu wierzytelności konsumenta bez jego zgody. Takie stanowisko Generalnego Inspektora Ochrony Danych Osobowych jest całkowicie nietrafne. Nie wynika ono z przepisów art. 3853 k.c. Jeżeli uwzględni się także przepis art. 3851 § 1 k.c. można jedynie przyjąć, że postanowienie umowne zawarte we wzorcu umownym zezwalające kontrahentowi konsumenta na przelew wierzytelności, może być uznane za niedozwolone, jeżeli kształtuje prawa i obowiązki konsumenta w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy. Oznacza to, że również przelew wierzytelności, w przypadku gdy umowa zawarta z konsumentem na podstawie wzorca umownego, nie zawiera takiej klauzuli, mógł być jedynie oceniany na podstawie przesłanek określonych w art. 3851 k.c. Niedopuszczalne jest przyjęcie założenia, że w każdym przypadku przelew wierzytelności bez zgody dłużnika, który jest konsumentem jest niedopuszczalny, ponieważ sprzeciwiałoby się to ustawie - art. 3853 pkt 5 k.c.). Na takim założeniu zaś zostało oparte rozstrzygnięcie organu.
Nie do końca trafne jest stanowisko Sądu I instancji, iż z kręgu przepisów prawa, które należy rozważyć w celu ustalenia dopuszczalności przetwarzania danych osobowych trzeba wyłączyć przepisy k.c. Stosowanie norm prawa administracyjnego może wywoływać skutki w sferze innych gałęzi prawa, włącznie z prawem cywilnym. Właśnie w oparciu o kryterium wywoływania przez indywidualny akt administracyjny skutków w sferze prawa cywilnego wyróżnia się takie, które skutki te wywołują bezpośrednio oraz takie, które pośrednio wpływają na powstanie stosunków cywilnoprawnych, stanowiąc niezbędny warunek zawarcia stosownej umowy (J. Starościak, Prawo administracyjne, Warszawa 1977, s. 239). Należy wyprowadzić z tego wniosek, że nie jest wyłączone ocenianie dopuszczalności przetwarzania danych osobowych dłużnika, w świetle przepisów prawa cywilnego, w tym art. 3851 § 1 i art. 3853 pkt 5 k.c. w zw. art. 509 k.c. W przypadku dokonywania takiej oceny nie mamy do czynienia z wkraczaniem organu administracji, czy też sądu administracyjnego w sferę zastrzeżoną dla kognicji sądów powszechnych. Dopuszczalność dokonywania takiej oceny nie oznacza bowiem, że podmioty te mogą oceniać ważność umowy cywilnoprawnej – umowy przelewu wierzytelności – ich rola sprowadza się bowiem wyłącznie do tego aby ocenić, czy umowa zawarta w konkretnej sprawie stanowi podstawę do uznania, że cele administratora danych lub osób trzecich, którym dane te są przekazywane, można zakwalifikować do celów prawnie usprawiedliwionych w rozumieniu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Tak więc można badać czy konkretna umowa przelewu wierzytelności, ze względu na podmiot, na rzecz którego została przeniesiona wierzytelność, jego metody działania – sposób dochodzenia wierzytelności (zgodny z prawem bądź wywołujący istotne wątpliwości co do owej zgodności) - nie spowoduje takiego pogorszenia sytuacji prawnej dłużnika, że można by uznać, iż w przypadku, gdyby w umowie z konsumentem takie postanowienie było zawarte należałoby zakwalifikować je do niedozwolonych postanowień umownych – w rozumieniu art. 3851 § 1 k.c.
Z uzasadnienia zaskarżonej decyzji, a także skargi kasacyjnej jednoznacznie wynika, że zdaniem organu zawarcie umowy przelewu wierzytelności bez zgody dłużnika było prawnie niedopuszczalne, ponieważ dłużnik jest konsumentem i na tej podstawie organ przyjął, że skarżący nie realizuje prawnie usprawiedliwionego celu w rozumieniu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Przyjęcie takiego założenia przez organ, jest wadliwe. W sprawie administracyjnej, o czym była mowa wcześniej, jest możliwe ocenianie znaczenia i skutków umowy cywilnoprawnej dla potrzeb rozstrzygnięcia administracyjnego, jeśli prawo administracyjne odsyła do prawa cywilnego. W przypadku art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych takie odesłanie ma miejsce. Prawnie usprawiedliwiony cel, o którym mowa w tym przepisie może być oparty także na przepisach prawa cywilnego. Za taki prawnie usprawiedliwiony cel już sama ustawa uznaje dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej (art. 23 ust. 4 pkt 2). Nie bez znaczenia przy ocenie, czy cel jest prawnie usprawiedliwiony są także przepisy prawa cywilnego, które służą ochronie konsumentów. Czym innym jednak jest ocena, czy cel realizowany przez administratora danych osobowych jest prawnie usprawiedliwiony, w rozumieniu art. 23 ust. 1 pkt 5 ustawy, co należy do kompetencji organu rozpoznającego sprawę administracyjną, a czym innym zanegowanie tego celu na podstawie stwierdzenia, że zawarcie umowy przeniesienia wierzytelności konsumenckiej jest zakazane, co w tym przypadku wykracza poza ramy sprawy administracyjnej.
Mając na uwadze podniesione wyżej względy, a zwłaszcza okoliczność, że wyrok Sądu I instancji mimo częściowo nietrafnego uzasadnienia - w zakresie możliwości oceniania znaczenia i skutków umowy cywilnoprawnej dla potrzeb rozstrzygnięcia administracyjnego - odpowiada prawu, na podstawie art. 184 p.p.s.a orzeczono jak w sentencji. O kosztach postępowania orzeczono na podstawie art. 204 pkt 2 p.p.s.a.