II SA/Wa 226/04

II SA/Wa 226/04 - Wyrok WSA w Warszawie
Data orzeczenia
2004-06-03
orzeczenie nieprawomocne
Data wpływu
2004-03-08
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Kołodziej
Jacek Fronczyk /sprawozdawca/
Małgorzata Jaśkowska /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
I OSK 667/05 - Wyrok NSA z 2005-10-04
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący: Sędzia NSA (del.) Małgorzata Jaśkowska Asesor WSA Andrzej Kołodziej Asesor WSA Jacek Fronczyk (spr.) Protokolant: Joanna Ukalska po rozpoznaniu na rozprawie w dniu 3 czerwca 2004r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2003r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę.
Uzasadnienie
W dniu 7 lipca 2003r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga A. M., w której skarżąca zwróciła się o zbadanie legalności udostępnienia przez [...] Sp. z o.o. jej danych osobowych podmiotowi zajmującemu się windykacją należności – E. S.A. z siedzibą w B.. A. M. wskazała, że w związku z pobytem za granicą nie uiściła należności za korzystanie z telewizji kablowej za okres od stycznia do marca 1999r., natomiast [...] Sp. z o.o. w dniu [...] czerwca 2002r. zawiadomiła ją o przekazaniu przysługującej Spółce, z tytułu wspomnianych zaległości, wierzytelności E. S.A..
W toku postępowania administracyjnego Generalny Inspektor Ochrony Danych Osobowych ustalił, że w dniu [...] października 1998r. A. M. zawarła z [...] Sp. z o.o. umowę na dostarczanie sygnału telewizji kablowej do zajmowanego przez nią lokalu, która to umowa została następnie przez [...] Sp. z o.o. rozwiązana w dniu [...] kwietnia 1999r. z powodu zalegania przez A. M. z płatnościami za więcej niż jeden okres płatności.
W dniu [...] lipca 2001r. [...] Sp. z o.o., na podstawie art. 509 i nast. ustawy z dnia 23 kwietnia 1964r. – Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.), zawarła umowę o przelew wierzytelności z E. S.A., na mocy której E. S.A. przejęła wierzytelność [...] Sp. z o.o., w tym także wobec A. M.. W wyniku powyższej umowy E. S.A. uzyskała dane osobowe A. M. obejmujące nazwisko i imię, adres zamieszkania, numer i datę faktury, kwotę należności głównej oraz odsetek.
Pismem z dnia 25 lipca 2003r. [...] Sp. z o.o. poinformowała GIODO, że nie posiada oświadczenia A. M., w którym wyraziłaby ona, na podstawie art. 3853 pkt 5 Kc, zgodę na cesję wierzytelności przysługującej Spółce wobec skarżącej, gdyż "artykuł ten został dodany do ustawy – Kodeks cywilny z dniem 1 lipca 2000 roku, a zatem ponad rok po rozwiązaniu przez [...] umowy abonenckiej ze Skarżącą."
Generalny Inspektor Ochrony Danych Osobowych w dniu [...] października 2003r. wydał decyzję administracyjną, mocą której nakazał [...] Sp. z o.o. nieudostępnianie danych osobowych A. M., przetwarzanych w związku z przelewem wierzytelności, bez spełnienia warunków określonych w art. 3851 § 1 w związku z art. 3853 pkt 5 Kc, tj. bez zgody A. M. ([...]).
[...] Sp. z o.o. złożyła wniosek o ponowne rozpoznanie sprawy. We wniosku tym Spółka zażądała uchylenia decyzji jako wydanej z rażącym naruszeniem prawa. [...] Sp. z o.o. wskazała, że organ powołuje się w swym rozstrzygnięciu na art. 3851 § 1 i art. 3853 pkt 5 Kc stwierdzając, że zbycie wierzytelności stanowiło niedozwoloną klauzulę umowną w umowie między A. M. a [...] Sp. z o.o., podczas gdy art. 509 nie stanowi dla takiej transakcji zbycia wierzytelności dostatecznej podstawy prawnej. [...] Sp. z o.o. podniosła, że w chwili dokonywania cesji wierzytelności umowa na dostarczanie sygnału telewizji kablowej była już rozwiązana, zatem powoływanie się przez GIODO na niedozwolone zapisy umowne jest nieuzasadnione. Według przepisów art. 384 i nast. Kc klauzule abuzywne – aby naruszały w sposób rażący interesy konsumenta – muszą istnieć w umownym wzorcu, który obowiązuje pomiędzy konsumentem i jego kontrahentem, gdyż tylko wówczas może taka klauzula kształtować prawa i obowiązki konsumenta. Brak klauzul we wzorcu umownym skutkuje zastosowaniem obowiązujących przepisów – w tym przypadku przepisu art. 509 Kc. Ponadto Spółka zarzuciła, że organ ograniczył swoją decyzją prawo podmiotowe – prawo wynagrodzenia szkody – nie mając do tego podstaw prawnych, ani oparcia w okolicznościach faktycznych wobec braku niedozwolonych klauzul w umowie abonenckiej, nieobowiązywania umowy w momencie dokonywania cesji wierzytelności powstałych w wyniku jej niewykonania. W ocenie Spółki cesja wierzytelności jest prawnie usprawiedliwionym celem administratora danych, o którym mowa w art. 23 ust. 1 pkt 5 ustawy i nie wymaga zgody osoby na przetwarzanie jej danych osobowych w związku z cesją. Skonstatowała, że ratio legis art. 3853 pkt 5 Kc jest zgoła odmienne, gdyż chodzi w nim o zbycie praw i obowiązków wynikających z umowy konsumenckiej, a nie o cesję wierzytelności, tym samym w przypadku podmiotowych zmian umowy nie mogą zdarzać się takie standardowe zapisy, które z góry wyrażać będą zgodę konsumenta na dokonanie "generalnej cesji umowy" nie mającej określonego celu lub przyczyny.
Po ponownym rozpatrzeniu sprawy Generalny Inspektor Ochrony Danych Osobowych wydał w dniu [...] grudnia 2003r. decyzję (znak: [...]), mocą której utrzymał swoją decyzję pierwszoinstancyjną nakazującą [...] Sp. z o.o. nieudostępnianie danych osobowych A. M., przetwarzanych w związku z przelewem wierzytelności bez jej zgody.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 lutego 2003r., złożonej za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych, [...] Sp. z o.o. wniosła o uchylenie decyzji GIODO zarzucając organowi rażące naruszenie prawa polegające na błędnej wykładni i niewłaściwym zastosowaniu przepisu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych oraz art. 3851 § 1 w związku z art. 3853 pkt 5 Kc.
[...] Sp. z o.o. wskazała, że cesja wierzytelności mieści się w polu semantycznym prawnie usprawiedliwionego celu administratora danych, albowiem celem cesji jest zaspokojenie roszczeń operatora telewizji kablowej, natomiast podstawą prawną jest w takim przypadku art. 471 Kc, zgodnie z którym dłużnik jest obowiązany do naprawienia szkody wyrządzonej na skutek niewykonania lub nienależytego wykonania umowy, chyba że odpowiedzialności nie ponosi oraz art. 509 Kc ustanawiający prawo podmiotowe wierzyciela do dokonywania przelewu wierzytelności.
Spółka podniosła, że przepis art. 3853 pkt 5 Kc nie ma zastosowania w niniejszej sprawie z uwagi na treść przepisu art. 21 ustawy z dnia 2 marca 2000r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny (Dz. U. Nr 22, poz. 271). Wskazała, że art. 3853 pkt 5 Kc stosuje się tylko do umów zawartych i niewykonanych w dniu wejścia w życie tejże ustawy. Ponadto zaznaczyła, że w przedmiotowej sprawie nie było żadnego postanowienia umownego dotyczącego przejęcia praw i obowiązków, a zatem nie było substratu umownego, do którego mógłby odnosić się art. 3853 pkt 5 Kc.
[...] Sp. z o.o. zarzuciła Generalnemu Inspektorowi Ochrony Danych Osobowych, że omawiany przepis dotyczy wyłącznie "cesji umowy", a w niniejszej sprawie doszło tylko do przelewu wierzytelności. Podkreśliła również, że art. 509 Kc stanowi dostateczną podstawą zezwalającą wierzycielowi na swobodne dysponowanie wierzytelnością oraz jej zbycie.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych podtrzymał stanowisko wyrażone w wydanych przez siebie decyzjach. W jego ocenie [...] Sp. z o.o. udostępniła dane osobowe A. M., bez jej wiedzy i zgody, E. S.A., czym naruszyła przepisy ustawy o ochronie danych osobowych. Jak wynika bowiem z art. 23 ust. 1 ustawy, administrator danych powinien legitymować się przynajmniej jedną z przesłanek przetwarzania danych enumeratywnie wymienionych w tym przepisie. Przetwarzanie danych osobowych jest dopuszczalne m.in. wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę (art. 23 ust. 1 pkt 1) lub gdy zezwalają na to przepisy prawa (art. 23 ust. 1 pkt 2) natomiast, w myśl przepisu art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych osobowych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel, o którym mowa powyżej, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy).
Odnosząc się do zarzutu niewłaściwego zastosowania przepisu art. 23 ust. 1 pkt 5 ustawy Generalny Inspektor Ochrony Danych Osobowych wskazał, iż z treści postanowień umowy z dnia [...] października 1998r. na dostarczanie sygnału telewizji kablowej nie wynika, aby A. M. wyraziła zgodę na udostępnienie jej danych osobowych innym niż [...] Sp. z o.o. podmiotom. Wprawdzie ustawodawca zadecydował, iż przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich - w tym do dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej, jednak powyższe prawo nie jest nieograniczone. Organ skonstatował, że w myśl wskazanego przepisu przetwarzanie danych osobowych w powyższym celu jest dopuszczalne wtedy, gdy nie narusza praw i wolności osoby, której dane dotyczą.
Udostępnienie danych osobowych A. M. przez [...] Sp. z o.o., w wyniku zawartej umowy przelewu wierzytelności, nie było niezbędne do dochodzenia roszczeń wynikających z umowy na dostarczanie sygnału telewizji kablowej. Zdaniem Generalnego Inspektora, jeżeli [...] Sp. z o.o. uznała, iż nie dysponuje wystarczającymi środkami organizacyjnymi skutecznego egzekwowania wobec A. M. należności, mogła je powierzyć wyspecjalizowanej firmie windykacyjnej, na podstawie umowy, co byłoby zgodne z art. 31 ustawy i nie skutkowałoby zmianą administratora danych. Zgodnie z tym przepisem, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (art. 31 ust. 1 ustawy), a podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (art. 31 ust. 2 ustawy). Zdaniem organu, gdyby zatem [...] Sp. z o.o. skorzystała z powyższej konstrukcji prawnej, nie byłoby podstaw do kwestionowania legalności takiego działania.
W opinii Generalnego Inspektora udostępnienie przez [...] Sp. z o.o. danych osobowych A. M. E. S.A. naruszyło jej prawa i wolności.
Organ zaznaczył, że skoro umowa na dostarczanie sygnału telewizji kablowej została zawarta w 1998r., ale do dnia 1 lipca 2000r. nie została wykonana, to w oczywisty sposób znajdują zastosowanie przepisy ustawy z dnia 2 marca 2000r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny.
Przepis art. 3851 § 1 Kc stanowi, że postanowienia umowy zawieranej z konsumentem nieuzgodnione indywidualnie nie wiążą go, jeżeli kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy (niedozwolone postanowienia umowne). Natomiast, w myśl art. 3853 pkt 5 Kc w razie wątpliwości uważa się, że niedozwolonymi postanowieniami umownymi są te, które w szczególności zezwalają kontrahentowi konsumenta na przeniesienie praw i przekazanie obowiązków wynikających z umowy bez zgody konsumenta. Wykładnia funkcjonalna powołanych powyżej przepisów wskazuje, że za niedozwolone uznać należy postanowienia umowy zawieranej z konsumentem, dopuszczające przeniesienie wierzytelności na osobę trzecią bez zgody konsumenta.
Jeżeli ustawa nie dopuszcza wprowadzenia do stosunków umownych klauzul zezwalających na przeniesienie praw i przekazanie obowiązków bez zgody konsumenta w sytuacji, gdyby było to sprzeczne z dobrymi obyczajami i w sposób rażący naruszało jego interesy, to tym bardziej nie może dojść do przeniesienia praw w sytuacji, gdy umowa na ten temat milczy. Rozumowanie a maiori ad minus prowadzi bowiem do wniosku, że skoro przelew jest niedopuszczalny, gdy był przewidziany w umowie, to tym bardziej jest niedopuszczalny, gdy umowa nie przewidywała takiej możliwości. Powoływanie się przy tym na swobodę umów nie ma znaczenia skoro ta kwestia jest uregulowana przez ustawodawcę, jako wyjątek od obowiązującej zasady swobody umów ze względu na konieczność zapewnienia ochrony konsumenta jako słabszej strony stosunku cywilnoprawnego.
Wskazując na słuszność przedstawionej powyżej interpretacji przepisów Kodeksu cywilnego Generalny Inspektor Ochrony Danych Osobowych przytoczył stanowisko Prezesa Urzędu Ochrony Konkurencji i Konsumentów, który uznał, iż "(...) cesja długów abonenta pomiędzy przedsiębiorcą, a firmą windykacyjną bez zgody konsumenta spełnia ogólne przesłanki niedozwolonego postanowienia umownego, określonego w art. 3853 pkt 5 Kc, tj. nie jest uzgodnione indywidualnie, kształtuje prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami i naruszający interesy konsumenta. Jednocześnie art. 3853 pkt 5 Kc wyszczególnia cesję praw i obowiązków konsumenta bez jego zgody, jako jedno z typowych niedozwolonych postanowień umownych. Na gruncie innych przepisów Kodeksu cywilnego (art. 509 Kc) do zmiany wierzyciela nie jest wymagana zgoda konsumenta. Niemniej w literaturze (Prawo umów konsumenckich - Ewa Łętowska, 2 wyd. C.H.Beck 2002) znaleźć można bezpośrednie odniesienie tejże klauzuli do instytucji przelewu (powoływanej przez przedsiębiorców jako podstawa przekazywania zobowiązań konsumenckich firmom windykacyjnym) oraz przejęcia długu. W sposób jednoznaczny uznać należy zatem, że zakaz przekazania obowiązków jest lex specialis wobec unormowania zezwalającego na cesję wierzytelności bez zgody konsumenta".
Generalny Inspektor Ochrony Danych Osobowych podkreślił również, że o ile z treści przepisu art. 385 3 pkt 5 Kc wynika, że niedozwolonymi postanowieniami umownymi są te, które w szczególności zezwalają kontrahentowi konsumenta na przeniesienie praw i przekazanie obowiązków wynikających z umowy bez zgody konsumenta, to jednak ogólne przesłanki przesądzające o uznaniu postanowienia za niedozwolone określa art. 3851 § 1 Kc. Powyższy przepis stanowi bowiem, że postanowienia umowy zawieranej z konsumentem nieuzgodnione indywidualnie nie wiążą go, jeżeli kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy (niedozwolone postanowienia umowne). Zdaniem organu, powyższe nie dotyczy postanowień określających główne świadczenia stron, w tym cenę lub wynagrodzenie, jeżeli zostały sformułowane w sposób jednoznaczny.
Generalny Inspektor Ochrony Danych Osobowych wskazał, iż z treści przepisów art. 3853 pkt 5 i art. 3851 § 1 Kc wynika zatem, że umieszczenie określonych postanowień w katalogu klauzul niedozwolonych nie przesądza automatycznie o tym, że mamy do czynienia z taką właśnie niedozwoloną klauzulą. Muszą być jeszcze spełnione ogólne przesłanki przesądzające o uznaniu postanowienia za niedozwolone.
W ocenie organu przykładem potwierdzającym naruszenie przez Spółkę interesów A. M. jest jej oświadczenie złożone do akt sprawy w dniu [...] listopada 2003 r., z którego wynika, że "po otrzymaniu informacji o zadłużeniu od firmy E. S.A., które wynikało wobec [...], skontaktowałam się z operatorem telewizji kablowej w celu uregulowania powstałej zaległości. W biurze [...] otrzymałam odpowiedź, że wierzytelność została sprzedana firmie E. i nie ma możliwości spłaty tego zadłużenia w [...]. Na pytanie dlaczego bez mojej zgody moje dane zostały udostępnione innej firmie, w biurze [...] otrzymałam odpowiedź, że skoro nie wyraziłam sprzeciwu na przekazywanie danych, to tak jak bym się zgodziła. Chcę jeszcze raz podkreślić, że z firmą E. nie zawierałam żadnej umowy, nie wyrażałam zgody na przetwarzanie przez tą firmę moich danych osobowych i nie czuję się zobowiązana do uregulowania moich zaległości na rzecz firmy E. S.A.".
Zdaniem Generalnego Inspektora Ochrony Danych Osobowych z treści powołanych przepisów wynika zatem wprost, że przelew wierzytelności przysługującej wobec konsumenta podlega szczególnym zasadom i stanowi wyjątek od postanowienia art. 509 § 1 Kc, iż zgoda dłużnika na zawarcie umowy przelewu jest potrzebna tylko wtedy, gdy w umowie łączącej wierzyciela z dłużnikiem wyłączono możliwość przeniesienia wierzytelności na osobę trzecią. W umowie zawartej pomiędzy [...] Sp. z o.o. a A. M. wprawdzie nie sformułowano w formie pisemnej postanowień o możliwości przeniesienia przez [...] Sp. z o.o. praw i obowiązków wynikających z umowy, bez zgody A. M., to jednak powyższe postanowienie wynikało wówczas bezpośrednio z przepisów prawa (art. 509 Kc i nast.), a tym samym znajdowało ono zastosowanie pomiędzy stronami ww. umowy. Bowiem do spraw, które nie są uregulowane postanowieniami umowy cywilnoprawnej stosuje się przepisy Kodeksu cywilnego.
GIODO stwierdził, iż [...] Sp. z o.o. w sposób nielegalny udostępniła dane osobowe A. M. Spółce E. S.A., co uzasadniało zastosowanie nakazu. W konkluzji wniósł o oddalenie skargi.
W piśmie procesowym z dnia [...] maja 2004r. [...] Sp. z o.o. ustosunkowała się do argumentów GIODO zawartych w odpowiedzi na skargę i dodatkowo zarzuciła rażące naruszenie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, art. 2 § 1 Kodeksu postępowania cywilnego i art. 97 § 1 pkt 4 Kodeksu postępowania administracyjnego. Zdaniem Spółki art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych umożliwia stosowanie wprost art. 509 Kc, a ten z kolei zezwala na dokonanie cesji wierzytelności bez zgody dłużnika.
Decyzje GIODO wkroczyły w obszar objęty kognicją sądów powszechnych poprzez ubezskutecznienie cesji wierzytelności. Organ winien obligatoryjnie zawiesić postępowanie do czasu rozstrzygnięcia o skuteczności umowy przelewu przez sąd powszechny. Oprócz tego podtrzymała zarzuty zawarte w skardze dotyczące błędnej wykładni i zastosowania przez Generalnego Inspektora przepisu art. 3853 pkt 5 Kc.
Generalny Inspektor Ochrony Danych Osobowych odniósł się do powyższych zarzutów w piśmie procesowym z dnia [...] czerwca 2004r., w którym wyjaśnił, że w niniejszej sprawie ocenił jedynie, czy na gruncie cesji wierzytelności (art. 509 Kc) zachodzą przesłanki przetwarzania danych bez zgody osoby, której dane dotyczą. Jego decyzje w żaden sposób nie podważają dopuszczalności przelewu wierzytelności na podstawie art. 509 Kc. Jak wskazał, przepis ten mówi o dopuszczalności przelewu, gdy nie sprzeciwia się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. W tym zakresie dokonał kontroli legalności przetwarzania danych. Wskazał, że po wejściu w życie ustawy z dnia 2 marca 2000r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny zmieniło się brzmienie art. 3851 § 1 Kc. Po 1 lipca 2000r. przepis ten stanowi, że postanowienia umowy zawieranej z konsumentem nieuzgodnione indywidualnie nie wiążą go, jeżeli kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy (niedozwolone postanowienia umowne). W razie wątpliwości uważa się, że niedozwolonymi postanowieniami umownymi są te, które w szczególności zezwalają kontrahentowi konsumenta na przeniesienie praw i przekazanie obowiązków wynikających z umowy bez zgody konsumenta. Tym samym, za niedozwolone postanowienia umowy zawieranej z konsumentem, uznać należy te, które dopuszczają przeniesienie wierzytelności na osobę trzecią bez zgody konsumenta. Podkreślił, iż w sytuacji stwierdzenia naruszenia przepisów ustawy o ochronie danych osobowych dochodzi do wydania stosownego nakazu i tylko w takim zakresie organ się wypowiada.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926), w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych w drodze decyzji administracyjnej przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie danych osobowych ze zbioru w celu usunięcia naruszeń.
Stosownie do treści art. 23 ust. 1 ustawy, administrator danych powinien legitymować się przynajmniej jedną z przesłanek przetwarzania danych, jakie enumeratywnie zostały wymienione w tym przepisie. Przetwarzanie danych osobowych jest dopuszczalne m.in. wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę (art. 23 ust. 1 pkt 1) lub gdy zezwalają na to przepisy prawa (art. 23 ust. 1 pkt 2) natomiast, w myśl przepisu art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych osobowych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel, o którym mowa powyżej, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy).
Przesłanką zezwalającą na przetwarzanie danych osobowych musi być więc zgoda osoby, której dane dotyczą (brak w niniejszej sprawie), wyraźne upoważnienie ustawowe (np. ustawa o statystyce publicznej lub o policji) lub usprawiedliwiony cel administratora danych. W sytuacji upoważnienia ustawowego przepis prawa musi wskazywać wyraźnie na istnienie możliwości przekazania danych osobowych. Art. 509 Kc takiej dyspozycji nie zawiera, bowiem mówi jedynie o przelewie wierzytelności, zatem nie może być samoistną podstawą przekazania danych osobowych. Czym innym bowiem jest cesja wierzytelności, a czym innym przetwarzanie danych osobowych. Dlatego też należy rozważyć możliwość przetwarzania danych osobowych na podstawie art. 23 ust. 1 pkt 5 ustawy, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych.
Umowa przelewu wierzytelności, podobnie jak działalność gospodarcza prowadzona w zakresie windykacji, może powodować, że powstaje usprawiedliwiony cel administratora. Jednakże trzeba pamiętać, że nie może nastąpić pogorszenie sytuacji prawnej właściciela danych.
Generalny Inspektor Ochrony Danych Osobowych i sąd administracyjny, oceniając czy nastąpiło pogorszenie sytuacji, rozpatruje ją na tle całokształtu przepisów, zarówno przepisów prawa administracyjnego, jak i przepisów prawa cywilnego. W ten sposób nie wkracza w kompetencje sądu powszechnego, gdyż nie wypowiada się o ważności umowy przelewu czy też jej skuteczności, do czego jest upoważniony sąd powszechny, lecz o przekazaniu danych z uwzględnieniem obowiązujących przepisów. Z tego względu wypowiedzi Generalnego Inspektora Ochrony Danych Osobowych na temat skuteczności czy ważności umowy przelewu mają charakter tylko prawnych dywagacji, które nie przesądzają sprawy w tym zakresie, lecz stanowią wyraz opinii organu.
Oceniając sytuację prawną kontrahenta strony umowy konsumenckiej, z którą mieliśmy do czynienia w niniejszej sprawie, należy badać, czy nastąpiło pogorszenie jego sytuacji prawnej w świetle przepisów dotyczących umów konsumenckich. Sąd przyjął, że art. 509 Kc mówi ogólnie o przelewie wierzytelności i pozwala na taki przelew bez zgody dłużnika, pod warunkiem, że nie sprzeciwia się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Sąd rozważał, czy przy umowach konsumenckich dokonanie takiego przelewu bez zgody dłużnika nie sprzeciwia się ustawie.
Przepis art. 3851 § 1 Kc stanowi, że postanowienia umowy zawieranej z konsumentem nieuzgodnione indywidualnie nie wiążą go, jeżeli kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy (niedozwolone postanowienia umowne). Z kolei w myśl art. 3853 pkt 5 Kc, w razie wątpliwości uważa się, że niedozwolonymi postanowieniami umownymi są te, które w szczególności zezwalają kontrahentowi konsumenta na przeniesienie praw i przekazanie obowiązków wynikających z umowy bez zgody konsumenta. Za niedozwolone należy zatem uznać te postanowienia umowy zawieranej z konsumentem, które dopuszczają przeniesienie wierzytelności na osobę trzecią bez jego zgody. Oznacza to, że takie postanowienia, nieuzgodnione z nim indywidualnie, jeżeli byłyby zawarte we wzorcu umownym nie wiążą go. W konsekwencji takie postanowienia, łącząc je z treścią art. 3853 pkt 5 Kc, musiałyby być określone w samej umowie indywidualnie uzgodnionej z konsumentem. Słusznie Generalny Inspektor Ochrony Danych Osobowych zauważył, że jeżeli ustawa nie dopuszcza wprowadzenia do stosunków umownych klauzul zezwalających na przeniesienie praw i przekazanie obowiązków bez zgody konsumenta w sytuacji, gdyby to było sprzeczne z dobrymi obyczajami i w sposób rażący naruszało jego interesy, to tym bardziej nie może dojść do przeniesienia praw w sytuacji, gdy umowa na ten temat milczy.
Przelew wierzytelności pomiędzy przedsiębiorcą, a firmą windykacyjną bez zgody konsumenta spełnia ogólne przesłanki niedozwolonego postanowienia umownego, określonego w art. 3853 pkt 5 Kc, albowiem nie jest uzgodniony indywidualnie, kształtuje prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami i naruszający interesy konsumenta. Warto podkreślić, że art. 3853 pkt 5 Kc wyszczególnia cesję praw i obowiązków konsumenta bez jego zgody, jako jedno z typowych niedozwolonych postanowień umownych. Na gruncie innych przepisów Kodeksu cywilnego (art. 509 Kc) do zmiany wierzyciela nie jest wymagana zgoda konsumenta.
Cesja wierzytelności przysługującej wobec konsumenta podlega szczególnym rygorom i stanowi wyjątek od postanowienia art. 509 § 1 Kc, iż zgoda dłużnika na zawarcie umowy przelewu jest potrzebna tylko wtedy, gdy w umowie łączącej wierzyciela z dłużnikiem wyłączono możliwość przeniesienia wierzytelności na osobę trzecią. W umowie zawartej pomiędzy [...] Sp. z o.o. a A. M. wprawdzie nie sformułowano w formie pisemnej postanowień o możliwości przeniesienia przez [...] Sp. z o.o., praw i obowiązków wynikających z umowy, bez zgody A. M., to jednak powyższe postanowienie wynikało wówczas bezpośrednio z przepisów prawa (art. 509 Kc i nast.), a tym samym znajdowało ono zastosowanie pomiędzy stronami ww. umowy. Bowiem do spraw, które nie są uregulowane postanowieniami umowy cywilnoprawnej stosuje się przepisy Kodeksu cywilnego.
Choć umowa o przekazywanie sygnału telewizji kablowej została formalnie rozwiązana, to jednak skutki wynikające z niej nadal istniały w chwili dokonywania cesji wierzytelności. Tym skutkiem był istniejący dług A. M. za nieuregulowaną wobec [...] Sp. z o.o., wynikającą z powyższej umowy, należność. W takiej sytuacji przekazanie danych osobowych A. M. przez [...] Sp. z o.o. Spółce E. S.A. trudniącej się windykacją należności, na podstawie art. 509 Kc, przyjmuje charakter niedozwolonych postanowień umownych, o których mowa w art. 3851 § 1 i art. 3853 pkt 5 Kc, co pozostaje w opozycji do treści art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.
Sąd nie badał prawidłowości umowy cesji, a jedynie ocenił, czy cesja wierzytelności jest prawnie usprawiedliwionym celem administratora danych uzasadniającym dopuszczalność przetwarzania danych osobowych w sposób nienaruszający praw i wolności osoby, której dane dotyczą. Czym innym bowiem jest skuteczność samej umowy przelewu, a czym innym przekazanie danych osobowych. Warto podkreślić, że rażące naruszenie interesu konsumenta (naruszenie praw i wolności) nie może być sprowadzane do wymiaru czysto ekonomicznego. Interesy konsumenta, w świetle tych szczególnych uregulowań, nabierają znaczenia pierwszorzędnego stanowiąc swego rodzaju zabezpieczenie gwarancji i praw przysługujących konsumentowi jako słabszej stronie umowy. Nie idzie więc tylko o wielkości finansowe. Chodzi o wszelkie niedogodności konsumenta, jakie towarzyszą realizowaniu przez kontrahenta jego uzasadnionego gospodarczo celu. Należy tu uwzględnić niewygodę organizacyjną, mitręgę, stratę czasu, nierzetelność traktowania, wprowadzenie w błąd, a także (coraz bardziej doceniane) naruszenie prywatności konsumenta itd. (E. Łętowska, Prawo umów konsumenckich, Warszawa 2002, s. 341). Dlatego też Sąd nie podzielił zarzutów skarżącej Spółki. Na marginesie, wobec stawianych przez nią tez, można dodać, iż możliwa jest taka sytuacja, gdy administrator danych przekazuje je bez jakiejkolwiek podstawy prawnej, w związku z czynnościami prawnie nieskutecznymi.
W sprawie [...] Sp. z o.o. przekazała dane osobowe A. M. Spółce E. S.A. nie wypełniając żadnej z przesłanek, o których mowa w art. 23 ust. 1 ustawy, a udostępnienie danych na podstawie art. 509 Kc – nie poprzedzone jej zgodą – wykazuje cechy klauzuli abuzywnej. Umowa przelewu wierzytelności zawarta między [...] Sp. z o.o. a E. S.A. ukształtowała prawa i obowiązki A. M. w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jej interesy. Sąd przyjął rozstrzygnięcie Generalnego Inspektora Ochrony Danych Osobowych za prawidłowe i odpowiadające przepisom ustawy o ochronie danych osobowych.
W takim stanie sprawy, uznając skargę za nieuzasadnioną, Wojewódzki Sąd Administracyjny w Warszawie w oparciu o art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270) orzekł, jak w sentencji.