II SA/Wa 2396/04

II SA/Wa 2396/04 - Wyrok WSA w Warszawie
Data orzeczenia
2006-03-31
orzeczenie prawomocne
Data wpływu
2004-11-24
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Kwiecińska /sprawozdawca/
Ewa Pisula-Dąbrowska /przewodniczący/
Joanna Kube
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono decyzję I i II instancji
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Pisula-Dąbrowska, Sędziowie WSA Ewa Kwiecińska (spr.), WSA, Joanna Kube, Protokolant Izabela Kaliszewska, po rozpoznaniu na rozprawie w dniu 31 marca 2006 r. sprawy ze skargi P.R. Sp. z o.o. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2004 r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] czerwca 2004 r. nr [...], 2. zaskarżona decyzja nie podlega wykonaniu w całości, 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz P.R. Sp. z o.o. z siedzibą w Warszawie kwotę 440 zł (słownie: czterysta czterdzieści złotych) tytułem zwrotu kosztów postępowania.
Uzasadnienie
Decyzją z dnia [...] czerwca 2004 r., znak [...] Generalny Inspektor Ochrony Danych Osobowych nakazał firmie P. S.A. z siedzibą w W. nieudostępnianie danych osobowych M. L., przetwarzanych w związku z przelewem wierzytelności, bez spełnienia warunków określonych w art. 3851 § 1 i art. 3853 pkt 5 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm.), zwanej dalej k.c., tj. bez zgody M. L. oraz nakazał firmie P.R. Sp. z o.o. z siedzibą w W. usunięcie ze zbioru danych osobowych dłużników - danych osobowych M. L., pozyskanych bez jego zgody od P. S.A., w związku z przelewem wierzytelności, a w pozostałym zakresie odmówił uwzględnienia wniosku.
W toku postępowania administracyjnego organ ustalił, że dnia 26 września 2001 r. M. L., jako konsument w rozumieniu art. 221 Kodeksu cywilnego, zawarł z P. S.A. umowę o świadczenie usług telekomunikacyjnych. W dniu 28 sierpnia 2003 r. P. S.A. zawarła z P.R. Sp. z o.o. umowę o przelew wierzytelności wynikających z umów o świadczenie usług telekomunikacyjnych. Umowa ta dotyczyła również wierzytelności M. L. i w wykonaniu tej umowy P. S.A. udostępniła P.R. Sp. z o.o. jego dane osobowe. Jako podstawa udostępnienia danych osobowych wskazany został przepis art. 509 § 1 Kodeksu cywilnego. Zakres udostępnionych P.R. Sp. z o.o. danych M. L. obejmował nazwisko i imię, adres zameldowania na pobyt stały, adres do korespondencji, numer konta klienta w systemie bilingowym, numer PESEL, dane kontaktowe, numer SISDN telefonu, który użytkował klient, daty i numery faktur obejmujących wymagalne wierzytelności, terminy płatności tych faktur, kwotę należności głównej, kwotę wpłat dokonanych na poczet wierzytelności. Organ ustalił także, iż M. L. nie wyrażał zgody na przekazanie przez P. S.A. osobom trzecim praw i obowiązków wynikających z zawartej z nim umowy o świadczenie usług telekomunikacyjnych.
Wydając decyzję z dnia 30 czerwca 2004 r., Generalny Inspektor podkreślił, że przetwarzanie danych osobowych jest zgodne z prawem jedynie wówczas, gdy administrator danych legitymuje się posiadaniem co najmniej jednej, spośród wymienionych w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), zwanej dalej u.o.d.o., materialnych przesłanek dopuszczalności przetwarzania.
W ocenie Generalnego Inspektora, przepis art. 509 k.c. nie stanowi podstawy prawnej dla udostępnienia P.R. Sp. z o.o. danych osobowych M. L.
Organ wskazał, iż zgodnie z art. 509 k.c., wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania (§ 1). Wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, w szczególności roszczenie o zaległe odsetki (§ 2). Stosownie natomiast do treści przepisu art. 3851 § 1 zdanie pierwsze k.c., postanowienia umowy zawieranej z konsumentem, nieuzgodnione indywidualnie, nie wiążą go, jeżeli kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy (niedozwolone postanowienie umowne). W myśl art. 3853 pkt 5 k.c., w razie wątpliwości uważa się, że niedozwolonymi postanowieniami umownymi są te, które w szczególności zezwalają kontrahentowi konsumenta na przeniesienie praw i obowiązków wynikających z umowy, bez zgody konsumenta.
Generalny Inspektor podkreślił, iż z treści powołanych przepisów Kodeksu cywilnego wynika zatem wprost, że przelew wierzytelności przysługującej wobec konsumenta podlega szczególnym zasadom, określonym w art. 3851 § 1 i następne Kodeksu cywilnego i stanowi wyjątek od postanowienia art. 509 § 1 Kodeksu cywilnego. Wskazane przepisy dotyczące niedozwolonych postanowień umownych znajdują, w ocenie organu, zastosowanie w niniejszej sprawie, albowiem M. L. podpisał z P. S.A. umowę o świadczenie usług telekomunikacyjnych, jako konsument w rozumieniu art. 221 Kodeksu cywilnego oraz nie wyraził zgody na zmianę wierzyciela.
W ocenie Generalnego Inspektora, umowa przelewu wierzytelności zawarta między firmą P. S.A. a P.R. Sp. z o.o. ukształtowała prawa i obowiązki M. L. w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy. W świetle powyższego organ uznał, iż udostępnienie danych osobowych M. L. przez P. S.A. oraz ich pozyskanie przez P.R. Sp. z o.o. nie znajdowało podstaw w art. 23 ust. 1 pkt 2 u.o.d.o.
Organ wskazał ponadto, iż udostępnienie przez P. S.A. danych osobowych M. L. nie było również działaniem koniecznym dla realizacji zawartej z nim umowy o świadczenie usług telekomunikacyjnych. Tym samym, nie można, zdaniem Generalnego Inspektora, przyjąć, że przetwarzanie przedmiotowych danych było dopuszczalne na podstawie art. 23 ust. 1 pkt 3 ustawy. P. S.A. nie dysponując odpowiednimi środkami dla egzekucji należności, mogła powierzyć jej prowadzenie firmie windykacyjnej na podstawie art. 31 u.o.d.o..
Podstawy prawnej udostępnienia przez P. S.A. danych osobowych M. L. oraz ich pozyskania przez P.R. Sp. z o.o. nie stanowi także, zdaniem organu, art. 23 ust. 1 pkt 1 ustawy. Z zebranego w sprawie materiału dowodowego wynika bowiem bezspornie, iż M. L. nie wyraził zgody na przeniesienie przez P. S.A. przysługujących wobec niego praw i obowiązków w drodze przelewu na inne podmioty.
Organ wskazał także, iż ewentualną podstawą udostępnienia przez P. S.A. danych M. L. P.R. Sp. z o.o. mógłby być art. 23 ust. 1 pkt 5 ustawy. Niewątpliwie bowiem za podjęte w prawnie usprawiedliwionym celu, w rozumieniu tego przepisu, uznać należy działania przedsiębiorcy, które zmierzają do dochodzenia roszczeń z tytułu prowadzonej działalności. Niemniej jednak, aby działania powyższe można było zakwalifikować do kategorii prawnie usprawiedliwionego celu, nie mogą one naruszać praw i wolności osoby, której dotyczą. Udostępnienie przez P. S.A. danych osobowych M. L., zdaniem Generalnego Inspektora, narusza jego wolności oraz umniejsza gwarancje i prawa jakie przysługują wnioskodawcy jako konsumentowi.
Reasumując, Generalny Inspektor stwierdził, że udostępnienie przez P. S.A. danych osobowych M. L. firmie P.R. Sp. z o.o. nie znajdowało uzasadnienia w żadnej z przesłanek określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Brak jest również, zdaniem organu, podstaw pozyskania i dalszego przetwarzania tych danych przez P.R. Sp. z o.o. W tej sytuacji, niezbędne jest usunięcie przez P.R. Sp. z o.o. danych osobowych M. L. ze zbiorów danych osobowych dłużników tej Spółki.
We wniosku o ponowne rozpatrzenie sprawy P.R. Sp. z o.o. zarzuciła niewłaściwą wykładnię przepisów Kodeksu cywilnego i ustawy o ochronie danych osobowych, wywodząc, iż podstawę do przetwarzania danych stanowiły przepisy art. 23 ust. 1 pkt 2 i 5 tej ustawy, stąd też brak było ustawowej przesłanki do zastosowania środków przewidzianych w art. 18 ustawy.
Nieprawidłowość zaskarżonej decyzji polega, zdaniem wnioskodawcy, przede wszystkim na dokonaniu przez organ, na gruncie przepisów art. 3851 i art. 3853 pkt 5 Kodeksu cywilnego, oceny czynności prawnej przedsiębiorcy z osobą trzecią, gdy tymczasem do oceny wadliwych praktyk (działań) w relacjach przedsiębiorca-konsumenci służą inne instrumenty prawne, nieleżące w kompetencji GIODO.
Wnioskodawczyni podniosła także, iż w uzasadnieniu decyzji brak jest wskazania jakiejkolwiek okoliczności, która mogłaby przekonywać, iż wskutek cesji prawa i obowiązki M. L. ukształtowane zostały w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając prawo. Analogiczny zarzut należy, zdaniem P.R. Sp. z o.o., postawić również wobec stwierdzenia Generalnego Inspektora, iż cesja wierzytelności umniejszyła (naruszyła) prawa i gwarancje M. L., wobec czego odmowa zastosowania przez organ w niniejszej sprawie art. 23 ust. 1 pkt 5 u.o.d.o. także jest bezpodstawna.
Wnioskodawczyni podkreśliła także, iż wykonanie nakazu skierowanego w pkt. 2 decyzji wobec P.R. Sp. z o.o., będzie równoznaczne z pozbawieniem Spółki możliwości wykonywania swego uprawnienia, jakie wynika dlań z cesji wierzytelności. Jeśli bowiem Spółka usunie dane M. L., to nie będzie mogła dochodzić wierzytelności. Usunięcie danych spowoduje również naruszenie przepisów z zakresu rachunkowości. Ponadto we wniosku o ponowne rozpatrzenie sprawy podniesiono, że nakaz zawarty w pkt. 1 decyzji jest niewykonalny dla P. S.A., gdyż Spółka przeniosła już swe wszystkie wierzytelności wobec M. L., niemożliwe jest zatem kolejne udostępnienie jego danych osobowych.
Decyzją z dnia [...] września 2004 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, utrzymał w mocy zaskarżoną decyzję. W uzasadnieniu decyzji organ podkreślił, iż P. S.A., udostępniając P.R. Sp. z o.o. dane osobowe skarżącego, nie spełniła żadnego z warunków określonych w przepisie art. 23 ust. 1 pkt 5 u.o.d.o.
Bezzasadne jest, w ocenie organu, twierdzenie Spółek, że art. 3851 § 1 i art. 3853 pkt 5 Kodeksu cywilnego dotyczą wyłącznie klauzul uprzednio sformułowanych, a więc istniejących w treści wzorca umownego. Jeżeli bowiem ustawa nie dopuszcza wprowadzenia do stosunków umownych klauzul zezwalających na przeniesienie praw i przekazanie obowiązków bez zgody konsumenta w sytuacji, gdyby było to sprzeczne z dobrymi obyczajami i w sposób rażący naruszało jego interes, to tym bardziej nie może dojść do przeniesienia praw w sytuacji, gdy umowa na ten temat milczy. Przepis art. 3853 pkt 5 Kodeksu cywilnego nie dotyczy tylko łącznego przeniesienia praw i obowiązków przedsiębiorcy wobec konsumenta. Bezzasadne są zatem zarzuty dotyczące naruszenia przez Generalnego Inspektora wskazanych we wniosku o ponowne rozpatrzenie sprawy, przepisów Kodeksu cywilnego oraz przepisów ustawy o ochronie danych osobowych.
Nadto organ stwierdził, że w związku z tym, iż P. S.A. udostępniła przedmiotowe dane osobowe bez spełnienia jakiejkolwiek z przesłanek przetwarzania danych osobowych określonych w art. 23 ust. 1 ustawy, to w wyniku zawartej przez nią z P.R. Sp. z o.o. umowy o przelew wierzytelności - nie zmienił się administrator tych danych i jest nim nadal P. S.A. Uzasadnione było zatem nałożenie na Spółkę nakazu nieudostępniania w przyszłości tych danych osobowych, przetwarzanych w związku z przelewem wierzytelności, bez zgody zainteresowanego.
Skargę na decyzję tę złożyła do Wojewódzkiego Sądu Administracyjnego w Warszawie P.R. Sp. z o.o. W skardze podniesiono zarzuty naruszenia:
1. art. 18 ust. l ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz art. 6 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t.j. Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), poprzez wydanie decyzji administracyjnej w okolicznościach nie wskazujących na istnienie przesłanek do interwencji Generalnego Inspektora Ochrony Danych Osobowych, w tym w szczególności przy braku okoliczności wskazujących na naruszenie prawa,
2. art. 23 ust. l pkt 2 ustawy o ochronie danych osobowych w zw. z art. 509 § 1 - Kodeksu cywilnego, poprzez przyjęcie, że ten ostatni przepis nie może stanowić podstawy legalnego przetwarzania danych osobowych w związku z ważną czynnością prawną (przelewem) dokonaną na podstawie tego przepisu (w związku z realizacją wynikającego z tego przepisu prawa do zbycia wierzytelności),
3. art. 3851 § 1 oraz art. 3853 pkt 5 w zw. z art. 509 § 1 Kodeksu cywilnego poprzez błędne przyjęcie, że przepisy art. 3851 § 1 oraz art. 3853 pkt 5 Kodeksu cywilnego wyłączają możliwość dokonania przelewu wierzytelności przysługującej w stosunku do konsumenta,
4. art. 80 Kodeksu postępowania administracyjnego w zw. z art. 3851 § 1 oraz art. 3853 pkt 5 Kodeksu cywilnego, polegające na błędnym zastosowaniu ww. przepisów Kodeksu cywilnego w sytuacji, gdy w danych okolicznościach sprawy nie doszło do rażącego naruszenia interesów Pana M. L., a stosunki umowne z udziałem Pana M. L. nie zostały ukształtowane w sposób sprzeczny z dobrymi obyczajami,
5. art. 23 ust. l pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy o ochronie danych osobowych, poprzez nieuwzględnienie, że dochodzenie należności w ramach prowadzonej przez przedsiębiorcę działalności gospodarczej jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez przedsiębiorcę jako administratora danych,
6. art. 3853 pkt 5 w zw. z art. 513 § 2 Kodeksu cywilnego poprzez błędne przyjęcie, że pomiędzy P. S.A. i P.R. Sp. z o.o. jednocześnie z cesją wierzytelności doszło do przeniesienia obowiązków, co uzasadniałoby zastosowanie pierwszego z wymienionych przepisów,
7. art. 75 § 1 Kodeksu postępowania administracyjnego poprzez włączenie do materiału dowodowego opinii Prezesa Urzędu Ochrony Konkurencji i Konsumentów,
8. przepisów ustawy z dnia 29 września 1994 r. o rachunkowości (t.j. Dz. U. z 2002 r., Nr 76, poz. 694, z późn. zm.), w tym zwłaszcza przepisów art. 14, 23 i 24 tej ustawy, poprzez wydanie w stosunku do P.R. Sp. z o.o. nakazu usunięcia danych osobowych Pana M. L. bez uwzględnienia ustawowych obowiązków P.R. Sp. z o.o. związanych z prowadzeniem dokumentów księgowych, w wyniku czego wykonanie nakazu nałożonego na P.R. Sp. z o.o. może wywołać czyn zagrożony karą, co stanowiłoby wadę decyzji (w tej części) określoną w art. 156 § 1 pkt 6 k.p.a.
Spółka podniosła, że art. 3853 pkt 5 Kodeksu cywilnego nie ma zastosowania w niniejszej sprawie z uwagi na fakt, że nie było substratu umownego, do którego mógłby odnosić się art. 3853 pkt 5 k.c. Zarzuciła też Generalnemu Inspektorowi Ochrony Danych Osobowych, że omawiany przepis dotyczy wyłącznie "cesji umowy", a w niniejszej sprawie doszło tylko do przelewu wierzytelności. Podkreśliła, że art. 509 k.c. stanowi dostateczną podstawę zezwalającą wierzycielowi na swobodne dysponowanie wierzytelnością oraz jej zbycie.
Skarżąca wskazała, że cesja wierzytelności, jaką P. S.A. posiadał wobec M. L., dokonana na jej rzecz, bez zgody dłużnika, była dopuszczalna i skuteczna. W wyniku tej cesji P.R. Sp. z o.o. nabyła wierzytelność pieniężną, a dla jej oznaczenia, a jednocześnie - w celu wykonywania wszelkich uprawnień, jakie Spółka ta nabyła w wyniku cesji, niezbędne było uzyskanie przez nią danych osobowych dłużnika. Z tego względu, w ocenie skarżącej, przekazanie przez P. S.A. Spółce P.R. Sp. z o.o. danych osobowych M. L. o było dopuszczalne na podstawie art. 23 ust. 1 pkt 2 ustawy.
Skarżąca wskazała nadto, iż cesja wierzytelności oraz dochodzenie należności spełnia kryterium prawne usprawiedliwionego celu, o którym mowa w przepisie art. 23 ust. 1 pkt 5 u.o.d.o. Przetwarzanie danych osobowych przez przedsiębiorcę w związku z dochodzeniem należności objętej wierzytelnością nabytą przez przedsiębiorcę na podstawie ważnej umowy, w sposób legalny i skuteczny, znajduje uzasadnienie w ustawie o ochronie danych osobowych. W toku postępowania nie zostało wykazane, aby przekazanie danych osobowych M. L. pomiędzy P. S.A. a P.R. Sp. z o.o. spowodowało naruszenie praw i wolności M. L. Zatem na podstawie art. 23 ust. 1 pkt 5 ustawy Spółka może przetwarzać dane osobowe dłużników.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie i podtrzymał argumentację zawartą w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonego aktu administracyjnego i to z przepisami obowiązującymi w dacie jego wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.
Skarga analizowana pod tym kątem zasługuje na uwzględnienie.
W niniejszej sprawie zawarta została pomiędzy P. S.A. z siedzibą w W. a P.R. Sp. z o.o. z siedzibą w W. umowa przelewu wierzytelności, na podstawie art. 509 § 1 k.c., z jednoczesnym udostępnieniem skarżącej danych osobowych dłużników. Celem tej transakcji, co jasno wynika z zawartej umowy, było przeniesienie wierzytelności, jednak dla realizacji tego celu, było niezbędne jednoczesne przekazanie danych osobowych dłużników, w tym również M. L.
W tego rodzaju sprawach należy wyraźnie rozgraniczyć dwa aspekty, wynikające z różnych regulacji prawnych, albowiem zawarcie opisanej umowy przelewu wierzytelności wywołuje skutki prawne regulowane zarówno przepisami Kodeksu cywilnego, jak i przepisami ustawy o ochronie danych osobowych. Ocena dopuszczalności, skuteczności, czy też ważności umowy przelewu należy do sądów powszechnych, ewentualnie w niektórych jej aspektach, może być również przedmiotem zainteresowań Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Jest to aspekt cywilnoprawny tej sprawy, który nie może być przedmiotem zainteresowań organu administracji publicznej.
Oznacza to, że przedmiotem kontroli Generalnego Inspektora Ochrony Danych Osobowych, zgodnie z art. 12 pkt 1 ustawy o ochronie danych osobowych, powinna być jedynie zgodność przetwarzania danych z przepisami o ochronie danych osobowych. W tym konkretnym zaś przypadku kontrola ta powinna polegać na zbadaniu, czy w wyniku zawartej umowy cywilnoprawnej P. S.A. mogła przekazać firmie P.R. Sp. z o.o. dane osobowe M. L., zgodnie z przepisami tej ustawy. GIODO nie jest natomiast uprawniony do badania dopuszczalności umowy przelewu wierzytelności, zgodnie z przepisami Kodeksu cywilnego, przekazującej dane osobowe M. L., gdyż w tym przypadku organ administracji publicznej, jakim niewątpliwie jest GIODO, wykracza poza swoje ustawowo określone kompetencje. Wskazać należy, iż przekazanie danych osobowych M. L., nastąpiło wprawdzie w wyniku zawartej pomiędzy skarżącą a P. S.A. umowy, jednak dla oceny tego zdarzenia, z punktu widzenia przepisów ustawy o ochronie danych osobowych, nie jest konieczna ocena samej umowy, gdyż jej przedmiotem był przelew wierzytelności, a nie udostępnienie (przekazanie) danych osobowych. Przekazanie danych osobowych było tu tylko elementem niezbędnym do wykonania tej umowy. Należy zwrócić uwagę, iż mogą wystąpić sytuacje, w których samo przetwarzanie danych osobowych jest przedmiotem umowy, o czym stanowi art. 31 u.o.d.o..
Przetwarzanie danych (art. 7 pkt 2 u.o.d.o.), zgodnie z określeniem ustawowym, stanowi szereg różnych operacji (działań, czynności), które mogą być dokonywane na danych osobowych, wyliczenie to jednak nie stanowi katalogu zamkniętego czynności, które mogą prowadzić do pozyskania danych osobowych. Pozyskanie danych osobowych może mieć charakter pierwotny (bezpośrednio od osoby, której dane dotyczą), bądź wtórny (od innego podmiotu, niż osoba, której dane dotyczą). Jednak z punktu widzenia przepisów ustawy o ochronie danych osobowych, nie jest istotna forma pozyskania danych, lecz sam fakt wejścia w posiadanie danych osobowych i ocena tego w oparciu o przepisy tej ustawy (A. Mednis, Ustawa o ochronie danych osobowych, Komentarz, Wyd. Praw. Warszawa 1999, s. 28).
Ponieważ ustawodawca nie określił w Kodeksie cywilnym, ani w ustawie o ochronie danych osobowych, w sposób szczególny wzajemnych relacji pomiędzy przepisami tych dwu ustaw, przyjąć zatem należy, że są to dwie autonomiczne, jednocześnie obowiązujące regulacje prawne, rządzące się własnymi regułami, z założenia niekolidujące wzajemnie.
Dane osobowe mieszczą się w szeroko rozumianym pojęciu dóbr osobistych i jako takie, do czasu wejścia w życie przepisów ustawy o ochronie danych osobowych, podlegały ochronie na podstawie art. 23 i art. 24 k.c. Wejście w życie ustawy o ochronie danych osobowych nie spowodowało uchylenia, ani zmiany ww. przepisów Kodeksu cywilnego, gdyż te dopuszczają również ochronę wynikającą z innych przepisów, np. prawa karnego, prawa o wykroczeniach, czy też prawa administracyjnego. Tak więc ustawodawca celowo utrzymał (zachował) wielość form ochrony, opartych na różnych przepisach. Niektóre z nich, z uwagi na zastosowanie metody regulacji prawnej, mają charakter cywilnoprawny, inne zaś administracyjnoprawny. Wzajemna relacja przepisów Kodeksu cywilnego w tym zakresie i innych przepisów, może polegać na kumulatywnym lub alternatywnym stosowaniu środków ochrony w nich przewidzianych, zależy to od osoby zainteresowanej (S. Dmowski, S. Rudnicki, Komentarz do Kodeksu cywilnego, Księga pierwsza, część ogólna, Wyd. Praw. Lexis Nexis W-wa 2004, s. 102 i 114-115).
Przyjmując takie założenie, orzeczenie sądu powszechnego, oceniające na podstawie przepisów Kodeksu cywilnego zawartą umowę, nie powoduje automatycznie konsekwencji na płaszczyźnie administracyjnoprawnej, czyli nie wpływa bezpośrednio na byt prawny aktu administracyjnego - decyzji wydanej przez GIODO w oparciu o przepisy ustawy o ochronie danych osobowych - i odwrotnie. Nie można przecież wykluczyć sytuacji, w których ocena samej umowy, z punktu widzenia przepisów Kodeksu cywilnego, może być negatywna, natomiast przetwarzanie danych w rozumieniu art. 7 pkt 2 u.o.d.o., w oparciu o przepisy ustawy o ochronie danych osobowych, może być ocenione pozytywnie jako nienaruszające przepisów o ochronie danych osobowych - i odwrotnie. Dlatego też, czym innym jest zgoda, o której mowa w przepisach art. 509 § 1, art. 3851 § 1 i art. 3853 pkt 5 k.c., a czym innym zgoda na przetwarzanie danych osoby, której dane dotyczą, w rozumieniu art. 23 ust. l pkt 1 u.o.d.o.. Pojęcia te z uwagi na zamieszczenie ich w różnych przepisach i w różnych kontekstach, mają różne znaczenie i konsekwencje prawne. Zgoda, o której mowa w pierwszym przypadku podlega ocenie sądu powszechnego w oparciu o przepisy Kodeksu cywilnego, a zgoda, o której mowa w art. 23 ust. l pkt 1 u.o.d.o. podlega ocenie GIODO i sądów administracyjnych - w oparciu o przepisy ustawy o ochronie danych osobowych. Mamy bowiem w rozpoznawanej sprawie do czynienia z dwiema czynnościami: zawarciem umowy cywilnoprawnej i udostępnieniem danych osobowych, regulowanymi przepisami należącymi do dwu różnych gałęzi prawa (vide: wyrok Naczelnego Sądu Administracyjnego z dnia 16 grudnia 2004 r., sygn. akt OSK 829/04, niepublikowany).
Nie oznacza to jednak, że w sprawie administracyjnej w ogóle nie jest możliwe ocenianie znaczenia i skutków umowy dla potrzeb rozstrzygnięcia administracyjnego, jeśli prawo administracyjne odsyła do prawa cywilnego, o czym w dalszej części niniejszych rozważań.
Decyzje GIODO należy uznać za wadliwe, oparte na błędnych założeniach, tym samym większość tez zawartych w uzasadnieniach tych aktów jest bezużyteczna i zbędna w tym postępowaniu. Organ uznając za konieczne przesądzenie w pierwszej kolejności, czy było dopuszczalne zawarcie umowy na podstawie art. 509 § 1 k.c. w świetle regulacji prawnych art. 3851 § 1 i art. 3853 pkt 5 k.c., dokonał oceny tej dopuszczalności, a następnie przeniósł dokonaną w tym zakresie ocenę na płaszczyznę art. 23 u.o.d.o., w którym zostały wymienione przesłanki dopuszczalności przetwarzania danych osobowych. Tymczasem wystarczyło dokonać oceny, czy dane osobowe M. L. zostały udostępnione przez P. S.A. firmie P.R. Sp. z o.o. w oparciu o jedną chociażby z przesłanek wymienionych w art. 23 ust. l u.o.d.o..
Wszystkie zawarte w tym przepisie przesłanki są równorzędne i niezależne od siebie, a dla przesądzenia o tym, że przetwarzanie danych jest dopuszczalne, wystarczy wskazanie jednej z nich. Sąd celowo pomija w swych rozważaniach przesłanki z pkt 1, 3 i 4 art. 23 ust. 1 u.o.d.o.., albowiem w sposób oczywisty nie znajdują one zastosowania w niniejszej sprawie, co jest zresztą bezsporne. Skarżąca wskazywała jako podstawę udostępnienia danych osobowych M. L. przepisy art. 23 ust. l pkt 2 i 5 u.o.d.o.. GIODO nie podzielił tego stanowiska.
Sytuacja, w której przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla realizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 u.o.d.o.), niezależnie od tego, jak ten warunek się rozumie, budzić musi wiele wątpliwości z uwagi na to, że w większości źródeł powszechnie obowiązującego prawa w Polsce, nie ma w ogóle mowy o przetwarzaniu danych osobowych. W dużej części jest to spowodowane zapewne tym, że ustawa o ochronie danych osobowych obowiązuje dopiero od ośmiu lat, zaś samą ustawą wprowadzono zmiany zaledwie w kilku regulacjach. Tymczasem w obrocie prawnym, w różnych dziedzinach i w różnym zakresie, dane osobowe - szczególnie te podstawowe, są w powszechnym użyciu.
W ocenie Sądu, omawiana podstawa dopuszczalności przetwarzania danych osobowych odnosi się jedynie do uprawnień i obowiązków, które polegają na przetwarzaniu danych osobowych, a nie do innych, które jedynie związane są z przetwarzaniem danych. Słusznie zatem Generalny Inspektor w uzasadnieniu zaskarżonej decyzji, jak i w decyzji ją poprzedzającej, stwierdza, że przesłanka ta ma w sprawie zastosowanie. Przepis art. 509 § 1 k.c. nie zawiera bowiem zezwolenia na przetwarzanie danych osobowych.
W swych rozstrzygnięciach organ przyjął, że dochodzenie roszczeń jest prawnie usprawiedliwionym celem administratora danych, w związku z czym przetwarzanie danych (udostępnienie) jest dopuszczalne, jako niezbędne do realizacji tego celu, pod warunkiem jednak, że nie narusza to praw i wolności osoby, której dane dotyczą, w tym przypadku M. L. (art. 23 ust. l pkt 5 u.o.d.o.). W sytuacji opisanej w art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 2 u.o.d.o., nie jest wymagana zgoda osoby, której dane dotyczą.
Zwrócić należy uwagę, iż dochodzenie roszczeń wynikających z prowadzonej działalności gospodarczej stanowi prawnie usprawiedliwiony cel administratora danych. Pytanie jednak, czy cel ten może rodzić potrzebę (niezbędność) przetwarzania danych osoby, której te roszczenia dotyczą, wobec ustawowego zastrzeżenia, zgodnie z którym w takiej sytuacji nie może dojść do naruszenia praw i wolności tej osoby. Innymi słowy, czy cel administratora danych uzasadnia niezbędność przetwarzania danych, a jeśli tak to, czy nie narusza to praw i wolności osoby, której dane dotyczą. Pozostaje więc do rozważenia, czy w rozpoznawanej sprawie, po stronie administratora danych cel uzasadniał niezbędność przetwarzania danych i czy w wyniku udostępnienia danych osobowych, zostały naruszone prawa i wolności M. L.
W ocenie GIODO, P. S.A. nie mogła udostępnić firmie P.R. Sp. z o.o. danych osobowych M. L. w oparciu o treść art. 23 ust. l pkt 5 u.o.d.o., ponieważ w świetle przepisów dotyczących umów konsumenckich dochodzi do pogorszenia jego sytuacji prawnej, umniejszono bowiem gwarancje i prawa, jakie przysługiwały skarżącemu jako konstumentowi.
Przesłanka ta odnosi się wprost do administratora danych osobowych lub odbiorcy danych, którzy aby zrealizować prawnie dopuszczalne cele, zmuszeni są przetwarzać dane osobowe, pod warunkiem jednak, że nie naruszy to praw i wolności osoby, której dane dotyczą.
Ustalenie, że administrator danych osobowych (odbiorca danych) realizuje cel prawnie usprawiedliwiony nie może przesądzić o dopuszczalności przetwarzania danych osobowych (udostępniania tych danych innemu podmiotowi) bez zgody osoby, której dane dotyczą. Konieczne jest zatem dokonanie oceny, czy jest to niezbędne dla realizacji tego celu, a co najważniejsze, dokonanie wyważenia interesów administratora danych, zwłaszcza w aspekcie prawa do prowadzenia działalności gospodarczej, prawa dochodzenia roszczeń i interesów osoby, której dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności. Z art. 1 u.o.d.o. wynika, że każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 ustawy, dopuszczalne jest tylko ze względu na określone dobra i tylko w zakresie i trybie określonym ustawą. Realizacja prawnie usprawiedliwionego celu przez administratora danych w żadnym razie nie może naruszać praw i wolności osoby, której dane dotyczą. Zatem ocena ta ma służyć wyważeniu racji i interesów, z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes, aby jej dane osobowe nie były przetwarzane bez jej zgody, a z drugiej strony administratora danych, który ma także objęty ochroną prawną interes, polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia, co w przypadku administratora danych, będącego wierzycielem, obejmuje jego prawo do uzyskania należnego świadczenia od dłużnika.
Przepisy ustawy z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz. 424 z późn. zm.) regulują zasady i tryb udostępniania przez przedsiębiorców informacji gospodarczych, a w tym i danych osobowych osób fizycznych, dotyczących wiarygodności płatniczej innych przedsiębiorców i konsumentów, w szczególności danych o zwłoce w wykonywaniu zobowiązań pieniężnych osobom trzecim nieoznaczonym w chwili przeznaczenia tych danych do udostępnienia. Przepisy tej ustawy dobitnie wskazują, że ochrona danych osobowych na podstawie ustawy o ochronie danych osobowych nie powinna być absolutyzowana, ponieważ jej przepisy muszą być stosowane i interpretowane łącznie z innymi przepisami ustawowymi służącymi ochronie także innych wartości (vide: wyrok Naczelnego Sądu Administracyjnego w składzie 7 sędziów z dnia 6 czerwca 2005 r., sygn. akt I OPS 2/05, niepublikowany).
W tym też znaczeniu rozstrzygnięcie organu administracyjnego korzystać będzie z innych regulacji, zwłaszcza gdy prawo administracyjne odsyła do innych gałęzi prawa (np. prawa cywilnego). W przypadku art. 23 ust. 1 pkt 5 u.o.d.o. takie odesłanie ma miejsce.
Mówiąc o naruszeniu praw i wolności obywatelskich, należy odnieść się tu do katalogu tych praw i wolności, szeroko uwzględnionych w Konstytucji RP, a mających swoje rozwinięcie w szeregu innych ustaw, wskazać zatem należy, które z nich konkretnie zostały naruszone. Takiej egzemplifikacji GIODO nie dokonał, wskazując enigmatycznie, że nastąpiło pogorszenie sytuacji prawnej właściciela danych osobowych - M. L. (w świetle przepisów dotyczących umów konsumenckich). Ocena GIODO w tym przypadku odwołuje się do kryteriów pozaustawowych, nieznanych przepisowi art. 23 ust. l pkt 5 u.o.d.o. Jest więc dowolna i gołosłowna. Stwierdzenie, że nastąpiło pogorszenie sytuacji prawnej M. L. nie jest równoznaczne z naruszeniem praw i wolności obywatelskich, o czym mowa w ustawie.
Reasumując, skoro więc organ nie wykazał w sposób jednoznaczny, że zostały naruszone prawa i wolności M. L., to należy przyjąć, że art. 23 ust. l pkt 5 u.o.d.o. mógł stanowić podstawę prawną udostępnienia jego danych osobowych.
Konsekwencją stwierdzenia, że dane osobowe zostały udostępnione na podstawie art. 23 ust. l pkt 5 u.o.d.o., jest brak naruszenia przepisów o ochronie danych osobowych i w związku z tym brak przesłanek do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem. Oznacza to, że w sprawie doszło również do naruszenia art. 18 ust. l u.o.d.o..
Decyzje wydawane na podstawie art. 18 ust. l u.o.d.o., co wynika z jego brzmienia, mają na celu "przywrócenie stanu zgodnego z prawem", a więc z istoty swej, dotyczą sytuacji (przetwarzania danych), w których doszło do naruszenia przepisów o ochronie danych osobowych.
Ustawa o ochronie danych osobowych służy ochronie danych osobowych i przyjąć należy, że w tym zakresie ma charakter kompleksowy. Jeśli zasadą jest, że dane osobowe mogą być przetwarzane za zgodą osoby, której dotyczą, to wszelkie wyjątki od niej muszą być interpretowane ściśle. Ustawa wprowadza wiele rozwiązań, które umożliwiają swobodne i zarazem dopuszczalne przetwarzanie danych osobowych w różnych sytuacjach.
Z drugiej zaś strony, dokonując wykładni przepisów ustawy o ochronie danych osobowych, należy również wziąć pod uwagę cele i podstawowe jej założenia, określone w art. 1 ust. 2, gdzie wskazano, iż przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich. Mając na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony prywatności, ma swoje źródło w przepisach, art. 47, art. 49, art. 50 i art. 51 Konstytucji RP. Prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, nie jest to więc prawo o charakterze absolutnym.
Nie można też tak rozumieć przepisów ustawy, że udostępnienie danych osobowych dłużnika w celu windykacji należności, narusza dobro tej osoby, gdyż byłoby to niczym nieuzasadnione jej uprzywilejowanie. Zawierając umowę cywilnoprawną, należy liczyć się z jej konsekwencjami, a także z tym, że obowiązek wykonania umowy dotyczy jednej i drugiej strony, nawet jeżeli jedna z nich jest konsumentem. Ochrona dóbr jednych nie może się odbywać kosztem naruszania praw innych, co można pośrednio, bądź bezpośrednio wywieźć z wielu przepisów Konstytucji RP (art. 2, art. 22, art. 31 ust. 3, art. 32 ust. 1, art. 83).
Odnosząc się do zarzutu naruszenia przepisów ustawy o rachunkowości, stwierdzić należy, iż z treści nakazu nałożonego na Spółkę wynika wprost, że dotyczy on usunięcia danych M. L. jedynie ze zbiorów danych osobowych dłużników P.R. Sp. z o.o.
Dokonując ponownej analizy sprawy, GIODO zobowiązany będzie przede wszystkim do rozważenia stanu faktycznego niniejszej sprawy, zgodnie z obowiązującym stanem prawnym oraz wydania rozstrzygnięcia w trybie administracyjnym, w oparciu o przepisy ustawy o ochronie danych osobowych z uwzględnieniem wszelkich aspektów ochrony dóbr, interesów i uprawnień odnoszących się do zainteresowanych w sprawie podmiotów.
Z uwagi na powyższe, Wojewódzki Sąd Administracyjny w Warszawie w oparciu o art. 145 § 1 pkt 1 lit. "a" i "c" ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.) orzekł, jak w sentencji wyroku. W oparciu o art. 152 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, Sąd wstrzymał wykonanie zaskarżonej decyzji w całości. O kosztach Sąd orzekł na podstawie art. 200 i 209 przywołanej ustawy.