II SA/Wa 146/25

II SA/Wa 146/25 - Wyrok WSA w Warszawie
Data orzeczenia
2025-06-25
orzeczenie nieprawomocne
Data wpływu
2025-01-29
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj
Dorota Kozub-Marciniak /sprawozdawca/
Ewa Marcinkowska /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151, art. 200
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Dz.U. 2022 poz 2000
art. 7, art. 77 par. 1 w zw. z art. 107 par. 3
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. 6 ust. 1 lit. a, b, c i f, art. 5 ust. 1 lit. f, art. 4 pkt 1, art. 58 ust. 2 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Marcinkowska, Sędzia WSA Andrzej Góraj, Asesor WSA Dorota Kozub-Marciniak (spr.), , po rozpoznaniu w trybie uproszczonym w dniu 25 czerwca 2025 r. sprawy ze skargi [...] sp. z o.o. z siedzibą w [...] na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] listopada 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
[...] Sp. z o.o. z siedzibą w W. (dalej, jako: skarżąca lub Spółka) wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie na pkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych (dalej, jako: organ lub PUODO) z dnia [...] listopada 2024 r., którą organ:
1. udzielił Spółce upomnienia za nieprawidłowości w procesie przetwarzania danych osobowych polegające na naruszeniu art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej, jako: RODO, poprzez udostępnienie w dniu 21 listopada 2020 r. danych osobowych P. P. (dalej także, jako: uczestnik) w zakresie: imienia, nazwiska, numeru PESEL, serii i numer dokumentu tożsamości, adresu, adresu e-mail oraz numeru telefonu kontaktowego na rzecz [...] Niestandaryzowanego Funduszu Inwestycyjnego Zamkniętego Wierzytelności reprezentowanego przez [...] S.A. z siedzibą w W.;
2. w pozostałym zakresie umorzył postępowanie.
W uzasadnieniu zaskarżonej decyzji wskazano, że do PUODO wpłynęła skarga P. P. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Spółkę polegające na udostępnieniu jego danych osobowych bez podstawy prawnej na rzecz: [...] Niestandaryzowanego Funduszu [...] (dalej: Fundusz); [...] S.A. z siedzibą w W. przy ul. G. [...] (dalej: Towarzystwo); radcy prawnego D. S., ul. S. [...] , [...] W. (dalej: radca prawny D.S); Komornika Sądowego przy Sądzie Rejonowym w B. D. L., ul. D. [...], [...] B. (dalej: komornik sądowy D.L.); [...] S.A. z siedzibą w W. przy ul. K. [...] (dalej: Bank [...]); notariusza M. C. prowadzącej Kancelarię Notarialną w W. przy ul. B. [...] (notariusz M.C.); notariusza P. S. prowadzącego Kancelarię Notarialną w W. przy ul. L. [...] (notariusz P.S.); [...]z siedzibą w W. przy ul. L. [...] ([...] Bank); radcy prawnego P. C., ul. B. [...] , [...] W. (dalej: radca prawny P.C.); [...] Sp. z o.o. z siedzibą w W. przy ul. S. [...] (dalej: [...]); S. H. zam. w B. przy ul. B. [...] (dalej: S.H.).
Uczestnik wyjaśnił, że cyt. "we wrześniu 2019 r. została sporządzona cesja na abonamencie a w grudniu 2019 została sporządzona nota obciążeniowa na abonentkę, na którą został przepisany abonament. Następstwem tego dług nowej abonentki został sprzedany do firmy [...] wraz z moimi danymi. Dług ten już wtedy nie dotyczył mojej osoby. W związku z brakiem spłaty zadłużenia wszystkie dane abonentki wraz z moimi były przesyłane do kolejnych instytucji. Była partnerka po otrzymaniu wszystkich dokumentów od sądu w sprawie jej zadłużenia, powiadomiła mnie o fakcie iż moje dane znajdują się w załącznikach do sprawy".
Spółka wyjaśniła, że pozyskała dane osobowe uczestnika od uczestnika na podstawie przepisów ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2004 r. poz. 1800 z późn. zm.), w szczególności art. 161 oraz art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.) w związku z zawarciem:
a. w dniu [...] kwietnia 2013 r. porozumienia dodatkowego do umowy oświadczenie usług telekomunikacyjnych;
b. w dniu [...] stycznia 2015 r. aneksu do umowy o świadczenie usług telekomunikacyjnych [...]numeru [...];
c. w dniu [...] grudnia 2016 r. aneksu do umowy o świadczenie usług telekomunikacyjnych [...]numeru [...];
d. w dniu [...] września 2017 r. umowy o świadczenie usług telekomunikacyjnych [...] dla numeru [...];
e. oświadczenia wraz z kartą rejestracji o przekazaniu numeru [...];
f. umowy "Ochrona Wyświetlacza w [...] ", polisa numer [...] [...].
Ponadto, Spółka pozyskała dane osobowe uczestnika od uczestnika na podstawie przepisów ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2021 r. poz. 576 z późn. zm.) oraz art. 6 ust. 1 lit. b RODO, w związku z zawarciem:
a. w dniu [...] stycznia 2019 r. umowy o świadczenie usług telekomunikacyjnych [...]dla numeru [...];
b. w dniu [...] stycznia 2019 r. aneksu do umowy o świadczenie usług telekomunikacyjnych [...] dla numerów [...];
c. w dniu [...] września 2019 r. cesji [...] dla numeru [...];
d. w dniu [...] września 2019 r. cesji [...]dla numeru [...];
e. w dniu [...] września 2019 r. cesji [...]dla numeru [...].
Zakres pozyskanych danych osobowych uczestnika obejmował: imię i nazwisko, adres, numer PESEL, seria i numer dokumentu tożsamości, dane zawarte na kserokopii dokumentu tożsamości, numer kontaktowy, adres e-mail.
Aktualnie Spółka przetwarza dane osobowe uczestnika na podstawie art. 6 ust. 1 lit. b RODO w celu realizacji umów o świadczenie usług telekomunikacyjnych zawartych pomiędzy uczestnikiem, a Spółką, art. 6 ust. 1 lit. c RODO, w szczególności: art. 180a ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2022 r. poz. 1648 z późn. zm., dalej: Pt) (retencja danych telekomunikacyjnych), art. 105-108 Pt (potencjalne reklamacje lub roszczenia dotyczące świadczenia usług telekomunikacyjnych), art. 86 w związku z art. 70 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (Dz.U. z 2022 r. poz. 2651 z późn. zm., dalej: OP), art. 58 ust. 1 lit. a i e RODO; art. 6 ust. 1 lit. f RODO, w szczególności w związku ustawą z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. z 2023 r. poz. 1610 z późn. zm.), w celach: i) archiwizacji danych i dokumentów, ii) udzielania odpowiedzi na pisma, wnioski i reklamacje, iii) ustalania, obrony i dochodzenia roszczeń.
Spółka wskazała, że będzie przechowywać dane osobowe uczestnika przez okresy wynikające z przepisów prawa lub prawnie uzasadnionych interesów realizowanych przez Spółkę, na podstawie:
• art. 180a Pt (retencja danych telekomunikacyjnych) - 12 miesięcy;
• art. 105-108 Pt (potencjalne reklamacje lub roszczenia dotyczące świadczenia usług telekomunikacyjnych) - 12 miesięcy;
• art. 86 w związku z art. 70 OP - 5 lat od końca okresu podatkowego;
• art. 118 KC - 7 lat od daty ostatecznego rozstrzygnięcia skargi po wydaniu decyzji przez PUODO lub prawomocnego wyroku sądu.
Spółka wyjaśniła, że w związku z podpisaniem w dniu [...] września 2019 r. umów cesji przeniesienia numerów [...]pomiędzy uczestnikiem, S. H., a Spółką, S. H. otrzymała dane osobowe uczestnika zawarte w umowach cesji. W związku zaś z cesją wierzytelności S. H. z dnia [...] listopada 2020 r. na rzecz Funduszu zostały przekazane umowy cesji przeniesienia numerów [...] zawierające również dane uczestnika tj. imię, nazwisko, numer PESEL, seria i numer dokumentu tożsamości, adres, adres e-mail oraz numer telefonu kontaktowego. Spółka wskazała, że udostępniła dane osobowe na rzecz Funduszu na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 509 KC.
W zakresie udostępnienia danych osobowych uczestnika na rzecz Towarzystwa; radcy prawnego D.S; komornika sądowego D.L.; Banku [...]; notariusza M.C.; notariusza P.S.; [...] Bank; radcy prawnego P.C.; [...]; S.H., Spółka wskazała, że nie udostępniła danych osobowych wskazanym podmiotom.
PUODO uzasadniając wydaną decyzję przytoczył treść art. 4 pkt 7, art. 5 ust.1, art. 6 ust. 1 RODO i wskazała, że Fundusz nabył od Spółki wierzytelność przysługującą wobec S.H. na podstawie umowy cesji wierzytelności z dnia [...] listopada 2020 r. W związku z ww. umową cesji wierzytelności Spółka przekazała na rzecz Funduszu umowy cesji przeniesienia numerów z dnia [...] września 2019 r. zawarte pomiędzy Spółką, uczestnikiem i S.H., które zawierały również dane osobowe uczestnika - jako osoby przenoszącej wszelkie prawa i obowiązku do numerów telefonu na rzecz S.H.
Mając na uwadze powyższe organ wskazał, że nabycie wierzytelności znajduje oparcie w art. 509 § 1 Kodeku cywilnego. Cesja wierzytelności wiąże się z uprawnieniem do przekazania nabywcy danych osobowych dłużnika umożliwiających podjęcie względem niego stosowanych działań zmierzających do odzyskania należności.
W ocenie organu dane uczestnika zawarte w umowach cesji przeniesienia numerów, a zatem dane osobowe osoby innej niż dłużnik, nie stanowiły w realiach niniejszej sprawy danych, których przetwarzanie było niezbędne w związku z dokonaniem cesji wierzytelności. Wierzytelność, będąca przedmiotem cesji pomiędzy Spółką i Funduszem, przysługiwała bowiem wyłącznie wobec S.H. Proces przetwarzania danych osobowych uczestnika związany z przedmiotową cesją wierzytelności nie znajdował zatem podstaw w art. 6 ust. 1 lit. f RODO. Administrator nie wykazał także istnienia innych przesłanek legalizujących ten proces. W szczególności, co jednoznacznie wynika ze skargi, Spółka nie dysponowała zgodą uczestnika na takie działanie, więc podstawy przedmiotowego udostępnienia nie stanowił art. 6 ust. 1 lit. a RODO. Nie zachodziła również sytuacja określona w art. 6 ust. 1 lit. b RODO, gdyż Spółka nie wykazała, aby udostępnienie to było niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Na Spółce nie ciążył również obowiązek prawny, dla którego wypełnienia konieczne było udostępnienie danych uczestnika (art. 6 ust. 1 lit. c RODO). W sprawie nie znalazły zastosowania również przesłanki legalizujące proces przetwarzania danych określone w art. 6 ust. 1 lit. d i e RODO, ponieważ udostępnienie to nie było niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, ani do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Przetwarzanie danych osobowych uczestnika przez Spółkę nie mogło odbywać się także na podstawie przesłanki wskazanej w art. 6 ust. 1 lit. f RODO, ponieważ administrator nie wykazał interesu prawnego, który uzasadniałby przetwarzanie danych w kwestionowany przez uczestnika sposób.
Zdaniem organu, w realiach niniejszej sprawy przekazanie Funduszowi danych osobowych uczestnika nie było niezbędne dla realizacji celu, jakim było dochodzenie wierzytelności przysługującej wobec osoby trzeciej, objętej cesją.
Ustalone okoliczności potwierdzają, że w sprawie doszło do udostępnienia danych osobowych uczestnika na rzecz Funduszu, który to proces nie znajdował oparcia w żadnej z przesłanek legalizujących proces przetwarzania danych osobowych, wyrażonych w art. 6 ust. 1 RODO. Udostępnienie ww. danych osobowych uczestnika przez Spółkę na rzecz Funduszu stanowiło przy tym naruszenie zasad minimalizacji, o której mowa w art. 5 ust. 1 lit. c RODO oraz poufności, o której mowa w art. 5 ust. 1 lit. f RODO.
PUODO uznał, że w realiach niniejszej sprawy, z uwagi na charakter przedmiotowego udostępnienia, właściwe jest zastosowanie wobec Spółki upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 RODO, polegające na udostępnieniu w dniu [...] listopada 2020 r. danych osobowych uczestnika w zakresie imienia, nazwiska, numeru PESEL, serii i numer dokumentu tożsamości, adresu, adresu e-mail oraz numeru telefonu kontaktowego na rzecz Funduszu bez podstawy prawnej.
W pozostałym zakresie organ umorzył postępowanie (pkt 2 decyzji) podnosząc, że brak jest dowodów na potwierdzenie podnoszonych przez uczestnika zarzutów w zakresie udostępnienia jego danych przez Spółkę na rzecz Towarzystwa, radcy prawnego D.S., komornika sądowego D.L., Banku [...] , notariusza M.C., notariusza P.S., [...] Banku, radcy prawnego P.C. oraz [...]. W zakresie natomiast udostępnienia danych na rzecz S.H. ustalono, że osoba ta była stroną umów cesji numerów zawartej pomiędzy uczestnikiem, S.H. oraz Spółką. Tym samym nie można uznać, że kwestionowany przez uczestnika proces przetwarzania danych osobowych polegający na ich udostępnieniu na rzecz ww. podmiotów zaistniał, wobec czego postępowanie w tej części to stało się bezprzedmiotowe.
Z pkt 1 decyzji Spółka nie zgodziła się i wywiodła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, wnosząc o uchylenie decyzji w zaskarżonej części oraz o zasądzenie od organu na jej rzecz kosztów postępowania według norm przepisanych.
Zaskarżonej decyzji zarzucono:
1. naruszenie art. 7 w zw. z art. 77 §1 w zw. z art. 107 § 3 K.p.a. poprzez niepodjęcie wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego, a w szczególności poprzez brak ustalenia okoliczności przemawiających za tym, że uczestnik w wyniku podpisania umowy cesji wierzytelności w dniu [...] listopada 2020 r. z Cesjonariuszem, przestał być stroną umów, które dotyczyły cesji przeniesienia numerów [...] na rzecz osoby trzeciej - gdzie Podmiot danych był ich integralną częścią, jako strona przenosząca wskazane wcześniej numery na osobę trzecią, a w jego miejsce wszelkie prawa i obowiązki z nimi związane przeszły na rzecz Cesjonariusza, co wiąże się z obowiązkiem przekazania oryginału dokumentów potwierdzających dany fakt;
2. naruszenie art. 107 § 1 pkt 6 i § 2 K.p.a. poprzez niewyjaśnienie podstawy prawnej upomnienia zawartego w decyzji;
3. naruszenie art. 6 ust. 1 lit. f w zw. z art. 5 ust. 1 lit. a i b RODO oraz art. 509 Kodeku cywilnego poprzez jego błędną wykładnię, skutkującą przyjęciem, że udostępnienie danych osobowych Podmiotu danych podczas cesji wierzytelności w sytuacji, kiedy dane Podmiotu danych znajdują się na umowie przeniesienia numeru na osobę trzecią, która stała się częścią cesji wierzytelności, nie stanowi prawnie uzasadnionego interesu administratora, podczas gdy prawidłowa interpretacja tego przepisu prowadzi do wniosku, iż takie przetwarzanie jest dopuszczalne na podstawie art. 509 Kodeku cywilnego w zakresie uzasadnionym celem takiego przetwarzania.
W uzasadnieniu skargi wskazano m.in., że nie znajduje uzasadnienia stanowisko organu, zgodnie z którym zasadne byłoby dokonanie anonimizacji części umowy cesji przeniesienia numerów na osobę trzecią w zakresie danych Podmiotu danych, ze względu na integralną ich części tego dokumentu, który jest częścią procesu cesji wierzytelności. Zdaniem skarżącego, organ nie podjął wszelkich czynności niezbędnych do ustalenia okoliczności przemawiających za tym, że skarżący nie może dokonać częściowej anonimizacji dokumentu w zakresie danych Podmiotu danych, gdyż godziłoby to w uzasadniony interes dostawcy usług telekomunikacyjnych, jak również doprowadziłoby to do ingerowania w dokument, który od momentu podpisania cesji wierzytelności nie jest już własnością skarżącego, lecz Cesjonariusza. Dodatkowo należy pamiętać, że anonimizacja jest procesem nieodwracalnym.
Organ nie wskazał podstawy prawnej w oparciu, o którą upomina skarżącego co do konieczności dokonania anonimizacji części dokumentu o sporne dane i nie uzasadnił swojej tezy.
W ocenie Spółki, najważniejszym elementem w niniejszej sprawie jest fakt, że dane Podmiotu danych nie zostały przekazane jako dane osoby, która przed cesja wierzytelności posiadała zobowiązania wobec skarżącego, lecz te dane zostały udostępnione Cesjonariuszowi w związku z ich integralną częścią umów przeniesienia numerów na osobę trzecią, czego organ nie przeanalizował podczas postępowania administracyjnego.
W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał swoje dotychczasowe stanowisko.
W piśmie procesowym z dnia [...] marca 2025 r. uczestnik działając przez pełnomocnika wniósł o oddalenie skargi i zasądzenie na jego rzecz kosztów postępowania. Uczestnik podzielił stanowisko wyrażone przez PUODO w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
W pierwszej kolejności należy przypomnieć, że celem ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz RODO jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP (por. wyrok NSA z dnia 30 marca 2006 r., I OSK 628/05, LEX nr 198299; wyrok NSA w składzie 7 sędziów z dnia 6 czerwca 2005 r., I OPS 2/05).
W doktrynie, na gruncie art. 47 Konstytucji RP, prawo do prywatności oznacza "przymioty, wewnętrzne przeżycia osobiste (jednostkowe) człowieka i ich oceny, refleksje dotyczące wydarzeń zewnętrznych i jego wrażenia zmysłowe, a także stan zdrowia. Nie są one w założeniu przeznaczone do upowszechniania i sam zainteresowany decyduje o kręgu osób, z którymi zechce się nimi podzielić. Składową prawa do prywatności jest życie prywatne, które odnosi się generalnie do życia: osobistego, towarzyskiego, nienaruszalności mieszkania, tajemnicy korespondencji i ochrony informacji dotyczących danej osoby. Można je opisać jako "prawo do pozostawienia w spokoju" czy "prawo jednostki do bycia pozostawioną samej sobie" (B. Banaszak, Konstytucja RP,. Komentarz, Warszawa 2012, tekst za Legalis). Uprawnienie to oznacza, że ochronie podlegają te informacje o osobie fizycznej, które dotyczą jej najbliższej sfery życia, wyznaczonej przez nią samą, o której decydować powinna tylko ona lub ewentualnie osoby jej najbliższe. Sfera ta w istocie stanowi o tożsamości tej osoby i określa jej godność statuującą ją jako człowieka.
Zgodnie z art. 4 pkt 1 RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
W interesie osób fizycznych leży udostępnianie tych danych o tyle, o ile taka jest ich wola, chyba że ustawodawca realizując inne jeszcze wartości przesądza o udostępnianiu tych danych niezależnie od woli tych osób stanowiąc tym samym w konkretnym przypadku o pierwszeństwie wartości związanych z interesem publicznym nad wartościami powiązanymi z interesami indywidualnymi.
Zamknięty katalog przesłanek dopuszczalności przetwarzania danych osobowych określa art. 6 ust. 1 RODO. Stosownie do treści tego przepisu, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Nie może też ujść uwadze, że RODO wiąże przetwarzanie danych z przestrzeganiem zasad określonych w art. 5 RODO, które mają charakter podstawowy w odniesieniu do całej regulacji. Zgodnie z art. 5 ust. 1 lit. a RODO, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"). Stosownie z kolei do treści art. 5 ust. 1 lit. b RODO, dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu"). Jednocześnie, na administratorze spoczywa obowiązek poszanowania wyrażonej w art. 5 ust. 1 lit c RODO zasady minimalizacji danych, obligującej go do ograniczenia zakresu przetwarzanych danych do niezbędnego, adekwatnego do realizowanego celu minimum. Stosownie do art. 5 ust. 1 lit. f RODO administrator zobowiązany jest przetwarzać dane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Stosownie zaś do treści art. 5 ust. 2 RODO administrator jest odpowiedzialny za przestrzeganie powyższych zasad i musi być w stanie wykazać ich przestrzeganie ("rozliczalność").
W tej sprawie nie jest sporne, że w związku z podpisaniem w dniu [...] września 2019 r. umów cesji przeniesienia numerów [...] pomiędzy uczestnikiem, S, H., a Spółką, S. . H. otrzymała dane osobowe uczestnika zawarte w umowach cesji.
W związku zaś z cesją wierzytelności S. H. z dnia [...] listopada 2020 r. na rzecz Funduszu zostały przekazane przez Spółkę umowy cesji przeniesienia numerów [...] zawierające również dane uczestnika tj. imię, nazwisko, numer PESEL, seria i numer dokumentu tożsamości, adres, adres e-mail oraz numer telefonu kontaktowego.
W orzecznictwie sądów administracyjnych konsekwentnie zauważa się, że dokonanie przelewu wierzytelności nierozerwalnie związane jest z przekazaniem danych osobowych dłużnika. Zgodnie z art. 509 § 2 Kodeksu cywilnego wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, a więc i prawo do dysponowania danymi osobowymi dłużnika w celu realizacji długu. Nabywca wierzytelności, poprzez dokonaną czynność cywilnoprawną, staje się samoistnym posiadaczem danych osobowych dłużnika. Staje się zatem administratorem danych osobowych i przetwarza dane osobowe na własny rachunek i ryzyko. Korzysta z takich samych praw i obowiązków w zakresie przetwarzania danych osobowych, jakie przysługiwały poprzedniemu administratorowi danych.
Przekazanie danych osobowych dłużników firmom windykacyjnym może nastąpić bez ich zgody, nie naruszając przy tym ochrony danych osobowych (por. uchwała Naczelnego Sądu Administracyjnego z dnia 6 czerwca 2005 r., sygn. akt I OPS 2/05)
W tej sprawie, Fundusz, na podstawie zawartej umowy cesji wierzytelności, stał się administratorem przekazanych danych osobowych S. H. i przetwarzał je w celu windykacji nabytych wierzytelności, co stanowi prawnie uzasadniony cel, o którym mowa w art. 6 ust. 1 lit. f RODO.
Skoro zatem cesja wierzytelności wiąże się z uprawnieniem do przekazania nabywcy danych osobowych dłużnika, umożliwiających podjęcie względem niego stosowanych działań zmierzających do odzyskania należności, to rację ma organ wskazując, że dane uczestnika zawarte w umowach cesji przeniesienia numerów, a zatem dane osobowe osoby innej niż dłużnik, nie stanowiły danych, których przetwarzanie było niezbędne w związku z dokonaniem cesji wierzytelności.
Prawidłowe jest stanowisko PUODO, że proces przetwarzania danych osobowych uczestnika niebędącego dłużnikiem, związany z przedmiotową cesją wierzytelności, nie znajdował podstaw w art. 6 ust. 1 lit. f RODO.
Wyjaśnienia również wymaga, że wierzytelność, która ma być przedmiotem cesji, powinna istnieć w momencie zawarcia umowy. Musi też być oznaczona w zakresie stosunku prawnego, z którego wynika, a także stron i przedmiotu świadczenia. Elementy te powinny być już znane, ewentualnie musi istnieć możliwość ich ustalenia na podstawie treści stosunku prawnego, z którego wynikają. (zob. Ciszewski Jerzy (red.), Nazaruk Piotr (red.), Kodeks cywilny. Komentarz, art. 509).
W ocenie Sądu, brak przekazania przez Spółkę Funduszowi danych osobowych uczestnika P. P., który jak już wskazano dłużnikiem nie był, nie niweczy celu i istotny umowy cesji wierzytelności. Umowa taka musi bowiem umożliwiać przede wszystkim zindywidualizowanie wierzytelności, to wierzytelność powinna być w umowie oznaczalna (Por. też J. Kuropatwiński, Glosa do wyroku Sądu Najwyższego z 17 marca 2016 r., V CSK 379/15, OSP 2018/1, s. 28; wyrok Sądu Najwyższego z 5 listopada 1999 r., III CKN 423/98, OSNC 2000/5, poz. 92) oraz dłużnika.
Nie zasługują zatem na uwzględnienie zarzuty skargi sprowadzające się do twierdzenia, że dane Podmiotu danych zostały udostępnione cesjonariuszowi ze względu na ich integralną część dokumentów, które podlegały procesowi związanemu z podpisaniem umowy cesji wierzytelności. Uszło uwadze Spółki, że uczestnik P. P. nie był dłużnikiem, a zatem brak jego danych osobowych nie mógł doprowadzić do szkody na rzecz [...] poprzez brak możliwości dochodzenia roszczeń poprzez sprzedaż wierzytelności.
Prawidłowa była również ocena organu, że skarżący nie wykazał istnienia innych przesłanek legalizujących proces przetwarzania danych osobowych uczestnika. Spółka nie dysponowała zgodą uczestnika na takie działanie, więc podstawy przedmiotowego udostępnienia nie stanowił art. 6 ust. 1 lit. a RODO. Nie zachodziła również sytuacja określona w art. 6 ust. 1 lit. b RODO, gdyż Spółka nie wykazała, aby udostępnienie to było niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Na Spółce nie ciążył również obowiązek prawny, dla którego wypełnienia konieczne było udostępnienie danych uczestnika (art. 6 ust. 1 lit. c RODO). W sprawie nie znalazły zastosowania również przesłanki legalizujące proces przetwarzania danych określone w art. 6 ust. 1 lit. d i e RODO, ponieważ udostępnienie to nie było niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, ani do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
W konsekwencji, zachodziły zatem podstawy do skorzystania przez organ z uprawnienia przewidzianego w art. 58 ust. 2 lit. b RODO i udzielenia Spółce upomnienia. W tym miejscu wyjaśnić trzeba, że pozbawiony racji jest zarzut skarżącej dotyczący naruszenia art. 107 § 1 pkt 6 i § 2 K.p.a. poprzez niewyjaśnienie podstawy prawnej upomnienia zawartego w decyzji. Organ wskazał podstawę prawną zastosowanej sankcji, która okazała się najłagodniejszą z możliwych.
Mając powyższe na uwadze Sąd doszedł do przekonania, że zaskarżona decyzja PUODO odpowiada prawu. Sąd nie dopatrzył się żadnego naruszenia przepisów prawa materialnego w stopniu mającym wpływ na wynik sprawy, bądź przepisu postępowania w stopniu mogącym mieć istotny wpływ na rozstrzygnięcie, albo też przepisu prawa dającego podstawę do wznowienia postępowania lub stwierdzenia nieważności. Organ prawidło ustalił stan faktyczny sprawy, w wystarczający sposób zebrał i ocenił materiał dowodowy, a następnie w przekonywujący sposób uzasadnił swoje rozstrzygnięcie. Postępowanie administracyjne zostało przeprowadzone zgodnie z zasadami ogólnymi K.p.a., a w szczególności art. 7, art. 77 § 1 w zw. z art. 107 § 3 K.p.a., a zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego.
W tym stanie sprawy, nie podzielając argumentów zawartych w złożonej skardze, oraz uznając iż organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, oraz iż przy wykonywaniu tych czynności nie naruszył przepisów prawa, Wojewódzki Sąd Administracyjny w Warszawie orzekł jak w sentencji wyroku na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935 ze zm., dalej, jako: P.p.s.a.).
O kosztach postępowania na rzecz skarżącego nie orzeczono albowiem zgodnie z art. 200 P.p.s.a., skarżącemu od organu przysługuje zwrot kosztów postępowania niezbędnych do celowego dochodzenia praw, jedynie gdy Sąd I instancji uwzględnia skargę.
Odnośnie zaś wniosku uczestnika o zwrot kosztów postępowania, to należy wyjaśnić, że zasady zwrotu kosztów postępowania między stronami określone zostały w Dziale V Rozdziale 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi. Wśród przepisów regulujących powyższe brak jest podstawy prawnej dla zasądzenia kosztów postępowania na rzecz uczestnika postępowania.