I OSK 800/05

I OSK 800/05 - Wyrok NSA
Data orzeczenia
2005-09-23
orzeczenie prawomocne
Data wpływu
2005-07-19
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Henryk Dolecki
Janina Antosiewicz /sprawozdawca/
Wojciech Chróścielewski /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA 1974/03 - Wyrok WSA w Warszawie z 2004-03-11
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2002 nr 101 poz 926
art. 18 ust. 1, art. 23 ust. 1 pkt 2
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
Dz.U. 1964 nr 16 poz 93
art. 509 par. 1
Ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny.
Dz.U. 2002 nr 153 poz 1270
art. 145 par. 1 pkt 1 lit. a , art. 188
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi.
Tezy
1. Aby zastosować art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. nr 101 poz. 926 ze zm./ jako podstawę do przetwarzania danych osobowych musiałby istnieć przepis prawny zezwalający na przekazanie danych. Przepis art. 509 par. 1 Kc, stanowiący o przeniesieniu bez zgody dłużnika wierzytelności na osobę trzecią /chyba że sprzeciwiałoby to się ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania/ wypowiada się wyłącznie w przedmiocie przelewu. Nie może więc być traktowany jako zezwolenie na przetwarzanie danych w rozumieniu art. 23 ust. 1 pkt 2 ustawy.
2. W przypadku przetwarzania danych osobowych przez administratora danych, bez zgody osoby, której te dane dotyczą, w pierwszej kolejności konieczne jest ustalenie i rozważenie, czy spełniona jest ustawowa przesłanka szczegółowa uzasadniająca przetwarzanie danych bez zgody osoby, której dane dotyczą, a następnie, jeżeli przesłanka ta jest spełniona, ustalenie i rozważenie wszystkich okoliczności koniecznych do wyważenia niezbędnej ochrony interesów osoby, której dane dotyczą oraz interesów administratora danych.
Sentencja
Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Wojciech Chróścielewski, Sędziowie NSA Janina Antosiewicz (spr.), Henryk Dolecki, Protokolant Mariusz Bartosiak, po rozpoznaniu w dniu 23 września 2005 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej "O." Sp. z o.o. z siedzibą w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 11 marca 2004 r. sygn. akt II SA 1974/03 w sprawie ze skargi "O." Sp. z o.o. siedzibą w P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 30 kwietnia 2003 r. (...) w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok, 2. uchyla zaskarżoną decyzję, 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącej "O." Sp. z o.o. z siedzibą w W. kwotę 730 /siedemset trzydzieści/ zł tytułem zwrotu kosztów postępowania, w tym 480 /czterysta osiemdziesiąt/ zł tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie zaskarżonym wyrokiem oddalił skargę "O." Sp. z o.o. w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 30 kwietnia 2003 r. (...), którą organ utrzymał w mocy swą poprzednią decyzję z dnia 17 stycznia 2003 r., nakazującą Spółce "O." usunięcie danych osobowych abonenta Zbigniewa C. pozyskanych bez jego zgody w związku z przelewem wierzytelności bez spełnienia warunków określonych w art. 385[1] par. 1 w zw. z art. 385[3] pkt 5 Kodeksu cywilnego, tj. bez zgody abonenta. W uzasadnieniu wyroku Sąd podzielił ustalenia i stanowisko Generalnego Inspektora.
Organ ustalił, że dnia 14 maja 1999 r. została zawarta pomiędzy Zbigniewem C., a "P." S.A. umowa o świadczenie usług telekomunikacyjnych, następnie rozwiązana dnia 7 lipca 2000 r., bez uregulowania wynikających z niej należności. W dniu 24 czerwca 2002 r. "P." S.A. zawarła umowę o przelew z "O." Sp. z o.o. z siedzibą w P., która dotyczyła również wierzytelności. Z. C. i w wykonaniu tej umowy udostępniła tej Spółce jego dane osobowe. Jako podstawa udostępnienia danych osobowych wskazany został przepis art. 509 i nast. Kc. Pismem z dnia 2 września 2002 r. Prezes Urzędu Ochrony Konkurencji i Konsumentów poinformował Generalnego Inspektora, że w jego opinii cesja długu abonenta będącego konsumentem pomiędzy przedsiębiorcą /kontrahentem konsumenta/ a firmą windykacyjną jest dopuszczalna jedynie za zgodą konsumenta, w przeciwnym razie przyjęcie dopuszczalności takiej cesji na podstawie art. 385[1] par. 1 Kc spełnia ogólne przesłanki niedozwolonego postanowienia umownego. Wydając decyzję z dnia 17 stycznia 2003 r. Generalny Inspektor przyjął, że zgodnie z art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 101 poz. 926 ze zm./, przetwarzanie danych jest dopuszczalne, gdy osoba, której dane dotyczą wyrazi na to zgodę. "P." S.A. przez zawarcie umowy z Z. C. nabyła prawo do przetwarzania jego danych osobowych w granicach określonych postanowieniami tej umowy i w celu jej realizacji, jak również w celu dochodzenia ewentualnych roszczeń z tytułu niewłaściwego wykonania tej umowy. W ocenie organu wskazana przez kontrahentów umowy przesłanka z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 509 Kodeksu cywilnego nie stanowi podstawy prawnej dla udostępnienia danych osobowych Spółce "O." w sytuacji, gdy Z. C. nie wyraził na to zgody. Organ powołał się przy tym na treść art. 3581 par. 1 i art. 385[3] pkt 5 Kc prezentując pogląd, że niedopuszczalne jest udostępnienie osobom /podmiotom/ trzecim przez "P." S.A. oraz pozyskanie ich przez Spółkę "O." w drodze przelewu wierzytelności, danych osobowych Z. C. wyłącznie na podstawie art. 509 Kc. Takie działanie, nie poprzedzone jego zgodą, przyjmują bowiem charakter niedozwolonego postanowienia umownego, o którym mowa w art. 385[3] pkt 5 Kc, te zaś zgodnie z art. 385[1] Kodeksu nie są dla konsumenta wiążące.
We wniosku o ponowne rozpatrzenie sprawy "O." Sp. z o.o. zarzuciła błędne zastosowanie art. 18 w związku z art. 23 ust. 1 ustawy o ochronie danych osobowych w związku z art. 385[1] par. 1, 385[3] pkt 5 i art. 509 i następnych Kc, a w szczególności, że wydanie decyzji powinna poprzedzać analiza wszystkich przesłanek z art. 23 ust. 1 ustawy o ochronie danych osobowych, Generalny Inspektor odniósł się, zaś jedynie do przesłanki określonej w pkt 2. Natomiast, zdaniem skarżącej, przetwarzanie danych osobowych Zbigniewa C. może nastąpić przy zastosowaniu pkt 2 i 5 wskazanego przepisu, tj. z upoważnienia przepisów prawa i kiedy jest to potrzebne administratorowi lub osobie trzeciej, której dane są przekazywane ze względu na jej usprawiedliwiony cel, a przetwarzanie danych nie narusza praw i wolności osób, o których dane chodzi. W sytuacji, gdy "O." Sp. z o.o. nabyła wierzytelność pieniężną "P." S.A. wobec Z. C. w jej usprawiedliwionym interesie leży przetwarzanie jego danych osobowych. Natomiast zastrzeżenia w końcowej części przepisu art. 509 Kc dotyczą sytuacji, w których ustawodawca wprost /w konkretnej normie prawnej/ zakazuje dokonania przelewu lub wynika to z zastrzeżenia umownego. Wierzytelność o zapłatę wynagrodzenia ze świadczenia usług telekomunikacyjnych nie spełnia tych cech. Nie sprzeciwia się bowiem ustawie /prawo telekomunikacyjne/, zastrzeżeniu umownemu /umowa nie zawiera takiego zastrzeżenia/, a skoro tak to art. 509 Kc ma zastosowanie w przedmiotowej sprawie. Dalej skarżąca wywodziła, że przepis art. 385[1] pkt 5 Kc ma zastosowanie do postanowień umowy. W treści umowy zawartej przez Z. C. z "P." S.A. jak i w treści regulaminu o świadczenie usług telekomunikacyjnych nie znalazło się żadne postanowienie dotyczące prawa czy też zakazu wobec stosowania przez wierzyciela cesji wierzytelności. Wynikiem niezrozumienia przez GIODO art. 385[3] pkt 5 Kc jest próba zakwalifikowania czynności prawnej wierzyciela z osobą trzecią jako postanowienia umowy pomiędzy wierzycielem a abonentem. Zwróciła również uwagę, że w wyniku cesji wierzytelności charakter ani wysokość zobowiązania nie uległa zmianie. Różnica polega na tym, że ewentualna zapłata powinna zostać dokonana na rzecz "O." Sp. z o.o. Nie można zatem stwierdzić, że dokonanie przelewu na rzecz "O." Sp. z o.o. spowodowało po stronie Z. C. powstanie szczególnych uciążliwości czy też dodatkowych obciążeń, stąd brak jest podstaw do przyjęcia, że zmiana podmiotowa po stronie wierzyciela naruszałaby jego interesy, a naruszenie to miałoby charakter rażący.
Generalny Inspektor decyzją z dnia 30 kwietnia 2003 r. utrzymał w mocy poprzednią decyzję. Wskazał, że sam przelew wierzytelności nie pogarsza sytuacji dłużnika, gdyż treść zobowiązania nie ulega zmianie. Jednakże od chwili kiedy prawa wierzyciela zaczęła wykonywać "O." Sp. z o.o. rażącemu pogorszeniu uległa jego sytuacja prawna. Skarżący pozostaje niejako w zawieszeniu pomiędzy "P." S.A. a "O." Sp. z o.o., stąd nie jest zasadne twierdzenie, że zmiana podmiotowa po stronie wierzyciela nie naruszyła w sposób rażący interesów Z. C. Podtrzymał argumenty przytoczone uprzednio i podkreślił, że zawarta umowa o świadczenie usług telekomunikacyjnych należy do grupy umów konsumenckich.
W skardze do Naczelnego Sądu Administracyjnego "O." Sp. z o.o. zarzuciła naruszenie art. 23 ust. 1 ustawy o ochronie danych osobowych w zw. z art. 509 par. 1 Kc i 385 1 par. 1 i 385[3] pkt 5 Kc podnosząc, iż organ bezpodstawnie przyjął, że przelew wierzytelności pomiędzy kontrahentami umowy był nieważny. Przelew wierzytelności bez zgody dłużnika znajduje uzasadnienie w art. 509 par. 1 Kc, chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Zgodnie z art. 513 par. 1 Kc dłużnikowi przysługują wobec nabywcy wierzytelności wszelkie zarzuty jakie miał przeciwko zbywcy w chwili powzięcia wiadomości o przelewie.
Przepis art. 385[1] par. 1 Kc dotyczy umowy zawieranej z kontrahentem a nie odnosi się do umów zawieranych przez dwóch przedsiębiorców. Okoliczność, że w umowie z Z. C. nie znalazło się postanowienie odnoszące się do umowy przelewu między dwoma przedsiębiorcami oznacza, zdaniem skarżącej, że takie postanowienie nie istnieje, nie było objęte wolą stron, a zatem nie może być podstawą analiz. Nie jest tu właściwe posługiwanie się argumentacją a maiori ad minus, gdyż nie było tu w ogóle określonego cięższego obowiązku.
GIODO pominął, zdaniem skarżącej, argumentację, że do oceny umowy przelewu może mieć zastosowanie art. 385[3] par. 5 Kc, gdyż norma ta traktuje łącznie o dokonaniu przelewu i przekazaniu obowiązków umowy na rzecz osoby trzeciej. Tymczasem w danej umowie nie zachodziła pozostała cześć hipotezy. Przepis art. 509 par. 1 Kc zezwala wierzycielowi na dokonanie przelewu bez zgody dłużnika i nie jest tu konieczne wprowadzenie jakiejkolwiek klauzuli. Z kolei na podstawie art. 519 par. 2 Kc przejęcie długu może nastąpić przez umowę za zgodą dłużnika i dlatego też wprowadzono art. 385[3] par. 5 Kc.
Skarżąca wskazała na szereg niekonsekwencji, gdyż w decyzjach kierowanych do "P." S.A. stwierdzono, że umowa przelewu nie może rodzić skutków prawnych wobec Z. C., a nie stwierdzono, że jest dotknięta wadą nieważności. Podkreśliła, że organ nie wskazał na czym miałoby polegać rażące naruszenie interesów Z. C., gdy art. 385[3] Kc statuuje tylko domniemanie abuzywności klauzul, a zastosowanie tego przepisu wymaga badania in concreto. Sytuacja dłużnika z uwagi na przelew wcale się nie pogorszyła.
Zdaniem skarżącej istotne jest też, że na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych możliwe jest przekazywanie danych osobowych przez administratora osobie trzeciej, gdy jest to uzasadnione dla realizacji usprawiedliwionego interesu osoby trzeciej. Może to dotyczyć także egzekwowania nabytych wierzytelności.
Oddalając skargę "O." Sp. z o.o. Wojewódzki Sąd Administracyjny podzielił pogląd organu co do naruszenia prawa przy przekazaniu danych Z. C. Stwierdził nadto, iż nie ocenia ważności czy skuteczności umowy do czego powołany jest sąd powszechny, lecz ocenia jedynie legalność przetwarzania danych osobowych, bowiem to należy do kompetencji Generalnego Inspektora i sądu administracyjnego.
Odnosząc się do przesłanki przetwarzania danych osobowych, wskazanej w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, a więc gdy zezwalają na to przepisy prawa, Sąd stwierdził, że art. 509 Kc takiej dyspozycji nie zawiera. Stanowi on jedynie o przelewie wierzytelności, zatem nie może być samoistną podstawą przekazania danych osobowych. Rozważając przesłankę z art. 23 ust. 1 pkt 5 ustawy, a więc gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 lub osób trzecich, którym są przekazywane te dane, a przetwarzanie ich nie narusza praw i wolności osoby, której dane dotyczą, Sąd stwierdził, iż umowa o przelewie wierzytelności, jak i działalność windykacyjna, mogą powodować, że powstaje usprawiedliwiony cel administratora. Nie może jednak nastąpić pogorszenie sytuacji osoby, której dane dotyczą. Oceniając sytuację prawną kontrahenta strony umowy konsumenckiej należy badać, czy nie nastąpiło pogorszenie jego sytuacji prawnej w świetle przepisów dotyczących umów konsumenckich., Sąd przyjął, że art. 509 Kc pozwala na takie przelewy bez zgody dłużnika, pod warunkiem, że nie sprzeciwia się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. W przypadku umów konsumenckich dokonaniu takiego przelewu bez zgody dłużnika sprzeciwia się ustawa. Art. 385[3] pkt 5 Kodeksu wskazuje na to, że niedozwolonym postanowieniem umownym jest takie postanowienie, które pozwala kontrahentowi konsumenta na przeniesienie praw i obowiązków wynikających z umowy bez zgody konsumenta. Oznacza to, że takie postanowienie nieuzgodnione z nim indywidualnie, jeżeli byłoby zawarte we wzorcu umownym nie wiąże go. W konsekwencji takie postanowienie, łącząc je z treścią art. 385[3] pkt 5 Kodeksu, musiałoby być określone w samej umowie indywidualnie uzgodnionej z konsumentem. Skoro nie można nawet we wzorcu umownym wyłączyć zgody konsumenta, to zakazane jest czynić więcej, a więc dokonywać takich czynności bez zgody konsumenta. W świetle art. 385[3] pkt 5 Kodeksu nie można zezwolić kontrahentowi na zawarcie we wzorcach umownych postanowienia zezwalającego na przeniesienie praw i obowiązków. Zdaniem Sądu dokonana cesja wierzytelności wiąże się zarówno z przeniesieniem praw, jak i obowiązków, co potwierdza art. 513 par. 2 Kodeksu i treść umowy przelewu, w której nabywca zobowiązał się do wysłania dłużnikowi w imieniu zbywcy pisemnego zawiadomienia o przelewie.
Skargę kasacyjną od powyższego wyroku wniosła "O." Sp. z o.o., reprezentowana przez radców prawnych Elżbietę B. i Arwida M. i zaskarżając wyrok w całości zarzucili:
- naruszenie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych przez przyjęcie, że art. 509 par. 1 Kodeksu cywilnego - z uwagi na brzmienie art. 385[3] pkt 5 i art. 513 par. 2 Kc - nie jest przepisem prawa zezwalającym na przetwarzanie danych, a tym samym błędną wykładnię powyższych przepisów i niewłaściwe zastosowanie art. 385[3] pkt 5 Kodeksu;
- naruszenie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, poprzez przyjęcie, że skarżąca otrzymując i przetwarzając dane osobowe dla realizacji prawnie usprawiedliwionego celu, naruszyła prawa i wolności osoby, której dane dotyczą, a tym samym błędną wykładnię tego przepisu;
- naruszenie art. 18 ust. 1 ustawy o ochronie danych osobowych, poprzez przyjęcie, że Generalny Inspektor miał prawo wydać decyzję nakazującą uzyskiwanie zgody klienta na przelew wierzytelności, w sytuacji, gdy kompetencje organu ograniczają się tylko do sfery przetwarzania danych osobowych, a nie do sfery czynności cywilnoprawnych, a tym samym, błędną wykładnię tego przepisu i jego niewłaściwe zastosowanie.
W skardze kasacyjnej zawarto wniosek o uchylenie wyroku i przekazanie sprawy Wojewódzkiemu Sądowi Administracyjnemu do ponownego rozpoznania, ewentualnie o zmianę wyroku w całości przez uchylenie obu decyzji Generalnego Inspektora /art. 176 w zw. z art. 188 ustawy - Prawo o postępowaniu przed sądami administracyjnymi/ i zasądzenie kosztów postępowania.
W uzasadnieniu skargi kasacyjnej podniesiono, że naruszenie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, polega na przyjęciu, że działanie skarżącej Spółki nie znajduje oparcia w przepisie zezwalającym na przetwarzanie danych, podczas gdy przepisem takim jest przepis art. 509 par. 1 Kodeksu cywilnego. Zdaniem skarżącej Spółki zezwolenie takie w przepisie prawa nie musi wyraźnie upoważnić podmiot do przetwarzania danych osobowych. Wystarczy, że zezwala on na wykonanie określonej czynności, do której niezbędne jest przetwarzanie danych osobowych. Odesłanie z art. 23 ust. 1 pkt 2 odnosi się do całego systemu prawnego, w tym przepisów prywatnoprawnych. Należy więc traktować je jako odesłanie do przepisów wyznaczających prawa i obowiązki administratora danych dla wykonania których następuje przetwarzanie przez niego danych osobowych. W poszczególnych ustawach zastosowano różne rozwiązania; w części wyraźnie przyznano uprawnienie do przetwarzania danych, inne określają jedynie sposób zachowania się, z którym związane jest przetwarzanie danych.
Wnoszący skargę kasacyjną podniósł także że na takie rozumienie przepisu art. 23 ust. 1 pkt 2 ustawy wskazuje art. 7 lit. "c" dyrektywy UE nr 95/46 o ochronie osób fizycznych w związku z przetwarzaniem ich danych osobowych oraz o swobodnym przepływie tych danych. Zezwala on na przetwarzanie danych w sytuacji, gdy "jest to konieczne w celu wykonania wynikającego z prawa zobowiązania, któremu administrator danych podlega". Intencją dyrektywy jest więc wskazanie jako podstawy prawnej przetwarzania danych przepisów prawa, z których konieczność przetwarzania wynika również pośrednio. Nie ma racjonalnych przesłanek by treść powołanego przepisu ustawy interpretować odmiennie niż nakazuje to dyrektywa. Zdaniem skarżącego znaczenie w tej sprawie dla zastosowania art. 23 ust. 1 pkt 2 ustawy, ma art. 509 par. 1 Kc. Wynika z niego zasada, że wierzytelność jest zbywalna i może być przedmiotem przelewu. Przelew wierzytelności konsumenckiej był w tej sprawie dopuszczalny, bowiem nie istnieje żadna z negatywnych przesłanek, określonych w art. 509 par. 1 Kodeksu. Błędnie organ i Sąd przyjęli, że w przypadku umów konsumenckich przeszkodą jest art. 385[3] pkt 5 Kodeksu, stanowiący, że niedozwoloną może być klauzula w umowie z konsumentem dopuszczająca przeniesienie praw i obowiązków z tej umowy na inny podmiot, bez zgody konsumenta. Błąd polega na tym, że: 1/ umowa z konsumentem nie zawierała żadnych postanowień odnoszących się do cesji wierzytelności, a przepis art. 385[1] Kodeksu odnosi się do klauzul zawartych w umowach konsumenckich, 2/ gdyby klauzula o przeniesieniu wierzytelności była zawarta w umowie z konsumentem, to nie mogłaby być oceniana jako wadliwa w świetle art. 385[3] pkt 5 Kodeksu. Jeżeli konsument unika zapłaty, a w ocenie przedsiębiorcy, jedynym i korzystnym rozwiązaniem dla niego będzie zbycie wierzytelności lub jej dochodzenie przez nabywcę wierzytelności /działalność polegająca na obrocie wierzytelnościami jest przecież zgodna z prawem/, to, zdaniem skarżącej, trudno odmówić mu takiego prawa, tym bardziej iż w żadnym stopniu nie uderza to w prawa konsumenta ani nie podważa przyznanych mu gwarancji uczciwego handlu. Przy ocenie, jakie działania administratora danych mieszczą się w ramach "usprawiedliwionego interesu" oraz "naruszenia praw i wolności" /spełnienie przesłanek z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych/, należy zwrócić uwagę, iż wedle ustawodawcy, nawet marketing usług /towarów/ administratora spełnia powyższe kryteria. Trudno zatem uznać, że może naruszać prawa i wolności osoby, będącej dłużnikiem, podejmowanie wobec niej działań służących windykacji należności. W tej sytuacji, przetwarzanie danych znajduje także oparcie w przesłance, o której mowa w art. 23 ust. 1 pkt 5 ustawy o ochrony danych osobowych.
Uzasadniając zarzut naruszenia art. 18 ustawy o ochronie danych osobowych skarżący stwierdził, że zgodnie z tym przepisem Generalny Inspektor jest uprawniony do wydania decyzji w przypadku naruszenia przepisów o ochronie danych. Tymczasem organ powołując się na niedopuszczalność stosowania art. 509 par. 1 Kc ze względu na art. 385[3] pkt 5 Kodeksu dopuścił się de facto rozstrzygnięcia w zakresie ważności umowy przelewu, co należy do sądu powszechnego, a w niektórych wypadkach do Prezesa UOKiK. Jeżeli rozstrzygnięcie w sprawie z zakresu danych osobowych /będącej sprawą administracyjną/ zależy od uprzedniej kontroli treści danej czynności przez inny organ, postępowanie administracyjne powinno ulec zawieszeniu na podstawie art. 97 par. 1 pkt 4 Kpa. W przedmiotowej sprawie organ powołuje się na stanowisko Prezesa UOKiK - zdaniem skarżącej - jednak nie może ono być traktowane jako rozstrzygnięcie zagadnienia wstępnego przez inny organ. Rozstrzygając więc o niedopuszczalności przelewu wierzytelności bez zgody konsumenta, Generalny Inspektor wykroczył poza przyznane mu w art. 18 ustawy kompetencje. Ten sam błąd popełnił Sąd uznając, iż ten organ mógł w przedmiotowej sprawie rozstrzygnąć zagadnienie wykraczające poza jego właściwość.
W odpowiedzi na skargę kasacyjną Generalny Inspektor wniósł o jej oddalenie, a odnosząc się szczegółowo do jej zarzutów, opowiedział się za stanowiskiem zajętym w zaskarżonym wyroku.
Naczelny Sąd Administracyjny zważył co następuje:
Skarga kasacyjna zawiera usprawiedliwione podstawy a niektóre postawione w niej zarzuty Sąd uznał za trafne.
W przedmiotowej sprawie odmienna interpretacja wskazanych w skardze kasacyjnej przepisów ustawy o ochronie danych osobowych i Kodeksu cywilnego sprowadza się w istocie do tego czy art. 23 ust. 1 pkt 2 i 5 ustawy stanowiły podstawę do przekazania skarżącej Spółce będącej administratorem danych osobowych - bez zgody abonenta, będącego stroną umowy konsumenckiej.
Odnosząc się do pierwszego z wymienionych przepisów należy stwierdzić, iż stanowi on podstawę do przetwarzania danych osobowych bez zgody osoby, której dane te dotyczą gdy zezwalają na to przepisy prawa. Zasadnie Wojewódzki Sąd Administracyjny przyjął, że aby zastosować art. 23 ust. 1 pkt 2 ustawy jako podstawę do przetwarzania danych osobowych musiałby istnieć przepis prawny zezwalający na przekazanie danych. Przepis art. 509 par. 1 Kc, stanowiący o przeniesieniu bez zgody dłużnika wierzytelności na osobę trzecią /chyba że sprzeciwiałoby to się ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania/ wypowiada się wyłącznie w przedmiocie przelewu. Nie może więc być traktowany jako zezwolenie na przetwarzanie danych w rozumieniu art. 23 ust. 1 pkt 2 ustawy. Zarzut naruszenia tego przepisu przez Sąd I instancji, zamieszczony w skardze kasacyjnej należy uznać za chybiony.
Przepis art. 23 ust. 1 pkt 5 ustawy dopuszcza przetwarzanie danych gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Dokonując wykładni tego przepisu należy zwrócić uwagę na użycie przez ustawodawcę określenia "jeżeli jest to niezbędne". Wskazuje to, że stosowanie tego przepisu wymaga nie tylko wykazania że chodzi o realizowanie uprawnienia lub obowiązku wynikającego z przepisów prawa lub prawnie usprawiedliwionego celu, ale także dokonanie oceny czy dla realizacji tego niezbędne jest przekazanie danych, pomimo braku zgody osoby której dane te dotyczą.
Ocena ta to wyważanie racji i interesów "właściciela" danych, objętego ochroną prawną, aby dane nie były przetwarzane bez zgody, a z drugiej administratora danych, również chronionego przez prawo w zakresie w jakim może realizować prawnie usprawiedliwione cele i uprawnienia. W przypadku administratora, będącego wierzycielem, jest to prawo do uzyskania świadczenia należnego od dłużnika. Przy istniejącym konflikcie interesów obu stron /osoby której dane dotyczą i administratora danych/ stosowanie art. 23 ust. 1 pkt 5 ustawy wymaga wyważenia tych interesów przy uwzględnieniu rangi tych interesów w okolicznościach konkretnej sprawy. Uwzględnić przy tym należy, iż z pozycji osoby której dane te dotyczą konflikt ten dotyka sfery prywatności, a więc wartości o szczególnej randze, chronionej także przez Konstytucję RP.
Oznacza to, że w przypadku przetwarzania danych osobowych przez administratora danych, bez zgody osoby, której te dane dotyczą, w pierwszej kolejności konieczne jest ustalenie i rozważenie, czy spełniona jest ustawowa przesłanka szczegółowa uzasadniająca przetwarzanie danych bez zgody osoby, której dane dotyczą, a następnie, jeżeli przesłanka ta jest spełniona, ustalenie i rozważenie wszystkich okoliczności koniecznych do wyrażenia niezbędnej ochrony interesów osoby, której dane dotyczą oraz interesów administratora danych.
Tak też rozumiane są postanowienia powołanej dyrektywy 95/46/WE z dnia 24 października 1995 r. Przepis art. 7 lit. "f" dyrektywy dopuszcza przetwarzanie danych osobowych przez administratora, gdy jest to konieczne z punktu widzenia potrzeb wynikających z uzasadnionych interesów administratora lub osoby trzeciej, chyba że interesy te są podporządkowane interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą. Oznacza to, że dyrektywa nakazuje ważyć interesy obu stron w konkretnym przypadku i - co do zasady - dopuszcza przetwarzanie danych, które jest konieczne do realizacji prawnie usprawiedliwionych celów administratora, chyba że po dokonaniu porównania interesów obu stron okaże się, że podstawowe prawa i wolności jednostki mają większą wagę niż konkretny interes administratora. W wyroku z dnia 14 września 2000 r. - The Queen przeciwko Ministrowi Rolnictwa Wielkiej Brytanii /Zb. Orz. 2000 r., s. I - 6751, załącznik A.1/, dotyczącym wykładni art. 7 lit. "f" dyrektywy Europejski Trybunał Sprawiedliwości podkreślił, że przepisy prawa krajowego powinny być interpretowane tak dalece, jak to możliwe, na podstawie brzmienia i celu dyrektywy, aby zapewnić realizację tego celu. Celem tym jest ochrona prywatności, która powinna być rozpatrywana także w świetle art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. W ocenie Europejskiego Trybunału Sprawiedliwości przetwarzanie danych osobowych bez zgody osoby, której dane dotycząc jest dopuszczalne, jeżeli: a/ ma podstawę w przepisie prawa, który wyraźnie na takie przetwarzanie zezwala, b/ przetwarzanie /udostępnianie/ danych jest niezbędne do realizowania uprawnienia lub spełnienia obowiązku określonego ustawą, c/ dane są przetwarzane tylko w takim zakresie, w jakim jest to niezbędne do osiągnięcia tych celów. Rozstrzygając o legalności przetwarzania danych trzeba każdorazowo, ważąc interesy stron, znaleźć równowagę między prawami i wolnościami jednostki z jednej strony a prawnie usprawiedliwionym interesem osoby trzeciej z drugiej strony. Oznacza to obowiązek zapewnienia właściwej równowagi praw i interesów stron, w tym praw podstawowych.
Dokonana przez Sąd I instancji wykładnia art. 23 ust. 1 pkt 5 ustawy, wyłączająca ten przepis jako podstawę przetwarzania danych osoby, będącej stroną umowy konsumenckiej, bez jej zgody ze względu na przepis art. 385[3] pkt 3 Kc narusza prawo.
Przedstawione przez Sąd w zaskarżonym wyroku stanowisko nie wynika z przepisów art. 385[3] Kc. W zestawieniu z przepisem art. 385[1] par. 1 Kc można jedynie przyjąć, że postanowienie umowne, zawarte we wzorcu umownym, zezwalające kontrahentowi konsumenta na przelew wierzytelności, może być uznane za niedozwolone, jeżeli kształtuje prawa i obowiązku konsumenta w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy. Oznacza to, że również przelew wierzytelności, w przypadku gdy umowa zawarta z konsumentem na podstawie wzorca umownego, nie zawiera takiej klauzuli, mógł być jedynie oceniany na podstawie przesłanek określonych w art. 385[1] Kc. Nie można więc przyjąć z góry założenia, że nie można przenieść wierzytelności na osobę trzecią, gdy dłużnikiem jest konsument, bez zgody dłużnika /art. 509 par. 1 Kc/, ponieważ sprzeciwiłoby się to ustawie /art. 385[3] pkt 5 Kc/. Na takim założeniu został oparty zaskarżony wyrok.
Zdaniem Naczelnego Sądu Administracyjnego w zaskarżonym wyroku jak również w zaskarżonej decyzji zarówno Sąd jak i Generalny Inspektor wypowiadał się w kwestii ważności i dopuszczalności czynności przelewu, co należy do kompetencji sądu powszechnego.
Z uzasadnienia decyzji wynika, iż organ naruszenia praw osoby, której dane są przetwarzane upatruje nie tyle w samej instytucji prawnej przelewu wierzytelności, co w działaniach podejmowanych po zawarciu umowy przelewu przez nabywcę wierzytelności /brak faktycznych możliwości wyjaśniania z udziałem dłużnika istnienia zobowiązania, stosowanie swoistych metod zmierzających do uzyskania świadczenia/. Przyjęcie takiego założenia przez organ, aprobowanego przez Sąd, jest wadliwe. Nie oznacza to jednak, że w sprawie administracyjnej nie jest możliwe ocenianie znaczenia i skutków umowy dla potrzeb rozstrzygnięcia administracyjnego, jeżeli prawo administracyjne odsyła do prawa cywilnego. W przypadku art. 23 ust. 1 pkt 5 ustawy takie odesłanie ma miejsce. Prawnie usprawiedliwiony cel, o którym mowa w tym przepisie może być oparty także na przepisach prawa cywilnego. Za taki prawnie usprawiedliwiony cel już sama ustawa uznaje dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej /art. 23 ust. 4 pkt 2/. Nie bez znaczenia przy ocenie, czy cel jest prawnie usprawiedliwiony są także przepisy prawa cywilnego, które służą ochronie konsumentów. Czym innym jednak jest ocena, czy cel realizowany przez administratora danych osobowych jest prawnie usprawiedliwiony, w rozumieniu art. 23 ust. 1 pkt 5 ustawy, co należy do kompetencji organu rozstrzygającego sprawę administracyjną, a czym innym zanegowanie tego celu na podstawie stwierdzenia, że zawarcie określonej umowy jest w ogóle zakazane, co wykracza poza granice sprawy administracyjnej.
Przedstawioną wykładnię przyjął w wyroku z dnia 6 czerwca 2005 r. I OPS 2/05 Naczelny Sąd Administracyjny rozpoznając identyczną pod względem prawnym sprawę ze skargi kasacyjnej "P." S.A. na decyzję Generalnego Inspektora Ochrony Danych z 13 czerwca 2003 r.
Sąd w składzie rozpoznającym tę sprawę podziela ją uznając, iż Wojewódzki Sąd Administracyjny interpretując w sposób przedstawiony w zaskarżonym wyroku przepis art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych naruszył ten przepis i oddalił skargę, pomimo iż należało uchylić zaskarżoną decyzję.
Naczelny Sąd Administracyjny uznał za trafny zarzut naruszenia w zaskarżonym wyroku przepisu art. 18 ust. 1 ustawy o ochronie danych osobowych.
Wydanie nakazu skarżącej spółce w sytuacji gdy organ nie dokonał wyważenia interesów administratora danych i abonenta - którego danego dotyczyły, a zwłaszcza w aspekcie ochrony sfery prywatności, chronionej przepisem art. 47 Konstytucji RP, naruszało prawo.
Aprobując ten stan również Wojewódzki Sąd Administracyjny dopuścił się naruszenia omawianych wcześniej przepisów prawa materialnego i art. 18 ust. 1 ustawy o ochronie danych osobowych.
Z tych względów Naczelny Sąd Administracyjny na podstawie art. 188 ustawy - Prawo o postępowaniu przed sądami administracyjnymi uchylił zaskarżony wyrok a rozpoznając skargę uwzględnił ją uchylając także zaskarżoną decyzję na podstawie art. 145 par. 1 pkt 1 lit. "a" tej ustawy. O kosztach Sąd orzekł w oparciu o przepisy art. 200 i 203 pkt 1 powołanej ustawy.