OSK 829/04

OSK 829/04 - Wyrok NSA
Data orzeczenia
2004-12-16
orzeczenie prawomocne
Data wpływu
2004-06-23
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Alicja Plucińska-Filipowicz /przewodniczący/
Andrzej Gliniecki /sprawozdawca/
Zygmunt Niewiadomski
Symbol z opisem
648  Sprawy z zakresu informacji publicznej i prawa prasowego
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA 1630/03 - Wyrok WSA w Warszawie z 2004-03-11
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok i przekazano sprawę do ponownego rozpoznania przez Wojewódzki Sąd Administracyjny
Powołane przepisy
Dz.U. 2002 nr 153 poz 1270
art. 185 § 1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi.
Sentencja
Naczelny Sąd Administracyjny w składzie : Przewodniczący Sędzia NSA Alicja Plucińska-Filipowicz, Sędziowie NSA Andrzej Gliniecki (spr.), Zygmunt Niewiadomski, Protokolant Mariola Błaszczyk, po rozpoznaniu w dniu 2 grudnia 2004 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej P. SA z siedzibą w [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 11 marca 2004 r. sygn. akt II SA 1630/03 w sprawie ze skargi P. SA w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] Nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok i przekazuje sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącej - P. SA kwotę 500 zł (pięćset) tytułem zwrotu kosztów postępowania
Uzasadnienie
OSK 829/04
U Z A S A D N I E N I E
Zaskarżonym wyrokiem z dnia 11 marca 2004 r. sygn. akt II S.A. 1630/03 Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę P. S.A. w [...] na decyzję z dnia [...]. ([...]), którą Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy własną decyzję z dnia [...]. ([...]), którą nakazał P. S.A. z siedzibą w [...], nie udostępnianie danych osobowych G. K., przetwarzanych w związku z przelewem wierzytelności, bez spełnienia warunków określonych w art. 3851 § 1 w związku z art. 3853 pkt 5 Kc, tj. bez zgody G. K .
Jak wynika z uzasadnienia zaskarżonego wyroku, Generalny Inspektor Ochrony Danych Osobowych, dalej zwany G.I.O.D.O., wszczął postępowanie na skutek skargi wniesionej przez G. K., który w dniu 18.12.1997 r. zawarł z P. S.A. w [...] umowę o świadczenie usług telekomunikacyjnych, o rozwiązanie której następnie wystąpił w dniu 28.03.2000 r. W dniu 24.06.2002 r. P. S.A. zawarła z Z.. sp. z o.o. z siedzibą w [...], umowę, o przelew wierzytelności na podstawie art. 509 K.c., która dotyczyła również wierzytelności G.K.. W wykonaniu tej umowy P. S.A. udostępniła Z. Sp. z o.o. dane osobowe G.K.. W opinii z dnia 2.09.2002 r. Prezes Urzędu Ochrony Konkurencji i Konsumentów poinformował GIODO, że cesja długów abonenta pomiędzy przedsiębiorcą a firmą windykacyjną dopuszczalna jest jedynie za zgodą klienta, co wynika z art. 3851 Kc. W związku z czym, GIODO wydał w dniu [...] decyzję cytowaną na wstępie i decyzję nakazującą Z. Sp. z o.o. usunięcie danych osobowych G.K..
Od powyższej decyzji adresowanej do P., firma ta złożyła wniosek o ponowne rozpatrzenie sprawy, powołując się między innymi na naruszenie art. 105 kpa. Dokonana została cesja wierzytelności, której bezskuteczności nie stwierdzono. Z chwilą dokonania przelewu, P. nie posiada już wierzytelności i nie ma w związku z tym "przedmiotu", który mógłby podlegać przelewowi bez zgody G.K.. Podniesiono też zarzut naruszenia art. 18 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926), powołanej dalej jako uodo, w związku z art. 105 kpa, w związku z art. 23 ust.1 uodo oraz nie uwzględnienie podstawy przekazania danych osobowych, wynikającej z art. 23 ust.1 pkt 5 uodo. Zakwestionowano też dokonaną przez GIODO interpretację art. 3851 § 1 i art. 3853 pkt 5 kc.
Decyzją z dnia [...] GIODO utrzymał w mocy swoją wcześniejszą decyzję, również inną decyzją z dnia [...]. GIODO utrzymał w mocy swoją decyzję adresowaną do firmy Z..
W uzasadnieniu decyzji GIODO wskazał, iż przymiot administratora danych posiadała Spółka P., która nabyła prawo do przetwarzania danych, w granicach określonych postanowieniami umowy abonenckiej i w celu jej realizacji. Z umowy tej nie wynika, aby G.K. wyraził zgodę na przekazanie swoich danych innym podmiotom. Podstawą przekazania danych osobowych G. K., nie mogła być umowa zawarta na podstawie art. 509 kc, na co wskazuje przepis art. 3851 § 1 kc, w brzmieniu nadanym ustawą z dnia 2 marca 2000 r. o ochronie niektórych praw konsumentów oraz odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny (Dz. U. Nr 22, poz. 571).
Na powyższą decyzję, w dniu 30.04.2003 r. P. S.A. złożyła skargę do Naczelnego Sądu Administracyjnego w Warszawie, wnosząc o uchylenie zaskarżonej decyzji i zasądzenie kosztów postępowania. Skarżąca podnosiła argumenty podobne, jak wcześniej we wniosku o ponowne rozpatrzenie sprawy. Umowa zawarta z G. K. nie zawierała żadnych postanowień zakazujących dokonania przelewu wierzytelności, nie ma więc w tym przypadku niedozwolonych postanowień umownych. GIODO błędnie utożsamia skutki wynikające z ustawy (swobodne dysponowanie wierzytelnością) z postanowieniami umownymi. Przedmiotem regulacji art. 3853 pkt 5 kc jest łączne przeniesienie praw i obowiązków z umowy na osobę trzecią, a nie tylko samych praw. Przelew wierzytelności, nie jest też sprzeczny z dobrymi obyczajami, ani nie narusza rażąco interesów klienta.
Wierzytelność została scedowana umową dnia 24.06.2002 r. i GIODO nie uznał, że umowa ta jest nieważna. Zgodnie z brzmieniem art. 3851 kc postanowienia abuzywne, nie wiążą konsumenta. Przepis ten dotyczy umów zawieranych przez przedsiębiorcę z konsumentem i nie powinien być brany pod uwagę przy umowach zawieranych pomiędzy przedsiębiorcami. GIODO utożsamia zgodę na dokonanie przelewu ze zgodą na przetwarzanie danych osobowych. Tymczasem GIODO jest to organ ochrony danych osobowych i nie może zajmować się problematyką konsumencką. Podstawą przekazania danych osobowych był art. 509 § 1 kc w związku z art. 23 ust.1 pkt 2 uodo.
W odpowiedzi na skargę, GIODO, podtrzymując stanowisko zajęte w zaskarżonej decyzji, wniósł o oddalenie skargi, jednocześnie wskazując, iż sprzeczność czynności prawnej z przepisem powszechnie obowiązującym, rodzi na tle art. 58 § 1 kc bezwzględną nieważność danej czynności, co ma miejsce w przedmiotowej sprawie. Z tego powodu, nie zmienił się administrator danych osobowych, nadal nim jest spółka P. i sprawa nie jest bezprzedmiotowa. Zawarta umowa przelewu wierzytelności na podstawie art. 509 kc jest sprzeczna z przepisami art. 3853 i 3851 § 1 kc, bowiem G. K. zawarł umowę o świadczenie jako konsument i nie wyrażał zgody na przeniesienie wierzytelności. Umowa przelewu wierzytelności zawarta pomiędzy firmami P. a PPESCO, ukształtowała prawa i obowiązki G.K. w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy.
Wojewódzki Sąd Administracyjny w Warszawie oddalając skargę P. wyrokiem z dnia 11 marca 2004 r. podkreślił, iż z uwagi na zakres swojej właściwości, nie badał ważności, czy też skuteczności umowy cesji wierzytelności dokonanej pomiędzy P. a Z., bowiem należy to do kompetencji sądu powszechnego. Zarówno GIODO, jak i sąd administracyjny, mogą oceniać kwestie ochrony danych osobowych z punktu widzenia ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Z tego względu wypowiedzi GIODO na temat skuteczności, czy ważności umowy przelewu , mają tylko charakter prawnych dywagacji - opinii organu. Zdaniem Sądu, podstawą przekazania danych osobowych G.K., nie mógł być art. 23 ust.1 pkt 2 uodo, który dopuszcza przetwarzanie danych, gdy zezwalają na to przepisy prawa, bowiem art. 509 kc takiej dyspozycji nie zawiera. Tymczasem musi to być wyraźne upoważnienie ustawowe, takie jak zostało zawarte w ustawie o statystyce publicznej lub o policji. Skarżąca wskazuje też na przepis art. 23 ust.1 pkt 5 uodo, który dopuszcza przetwarzanie danych, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych, nie narusza praw i wolności osoby, której dane dotyczą. Umowa o przelewie wierzytelności, zadaniem Sądu, może powodować powstanie usprawiedliwionych celów administratora w rozumieniu w/w przepisu, należy jednak pamiętać, że nie może nastąpić pogorszenie sytuacji właściciela danych. Dokonana cesja wierzytelności wiąże się zarówno z przeniesieniem praw, jak i przeniesieniem obowiązków, co potwierdza art. 5l3 § 2 kc, jak i treść umowy przelewu, w której nabywca zobowiązał się do wysłania dłużnikowi w imieniu zbywcy pisemnego zawiadomienia o przelewie wierzytelności - § 5 umowy przelewu. Przepis art. 5l9 kc nie ma w sprawie znaczenia. Dokonane przekazanie danych osobowych G. K. w związku z umową cesji wierzytelności, w ocenie Sądu , nie znajduje podstawy prawnej w art. 23 uodo.
Zarzut bezprzedmiotowości decyzji GIODO, po dokonanej cesji wierzytelności, Sąd uznał za niezasadny. P. nadal dysponował danymi osobowymi G.K. i istniały władcze kompetencje do orzekania w drodze decyzji na podstawie art. 18 uodo. Fakt, że GIODO zakazał przekazania danych w związku z przelewem wierzytelności, wiązał się z zakresem stwierdzonego naruszenia. Z punktu widzenia art. 18 nie jest istotne, czy takie czynności były prawnie skuteczne, czy nie oraz czy mogły być prawnie skuteczne w przyszłości. Czym innym jest skuteczność samej umowy, a czym innym przekazanie danych osobowych. Gdyby GIODO w takiej sytuacji umarzał postępowania, to poza zakresem jego kontroli pozostawałby cały obszar faktycznych działań administratora. Sentencja decyzji GIODO, nie mogła być inna, gdyż nakazy lub zakazy tego organu muszą być konsekwencją stwierdzonych naruszeń i nie mogły generalnie dotyczyć przekazania danych G.K. na podstawie innych przesłanek i w innych sytuacjach faktycznych i prawnych.
Na powyższy wyrok została wniesiona skarga kasacyjna do Naczelnego Sądu Administracyjnego.
W skardze kasacyjnej P. S.A., reprezentowany przez radców prawnych E.ę B. i A. M., zarzuca naruszenie przepisów prawa materialnego:
- art. 23 ust.1 pkt 2 uodo, poprzez przyjęcie, że art. 509 § 1 kc - z uwagi na brzmienie art. 3853 pkt 5 i art. 5l3 § 2 kc - nie jest przepisem prawa zezwalającym na przetwarzanie danych, a tym samym błędną wykładnię powyższych przepisów i niewłaściwe zastosowanie art. 3853 pkt 5 kc,
- art. 23 ust.1 pkt 5 uodo, poprzez przyjęcie, że skarżąca, przekazując dane osobowe dla realizacji prawnie usprawiedliwionego celu, naruszyła prawa i wolności osoby, której dane dotyczą, a tym samym, błędną wykładnię tego przepisu,
- art. 18 ust.1 uodo, poprzez przyjęcie, że przepis ten może być podstawą prawną do wydania przez GIODO decyzji nakazującej uzyskiwanie przez skarżącą zgody klienta na przelew wierzytelności, w sytuacji, gdy kompetencje GIODO ograniczają się tylko do sfery przetwarzania danych osobowych, a nie do sfery czynności cywilnoprawnych, a tym samym błędną wykładnię tego przepisu i jego niewłaściwe zastosowanie.
Wskazując na powyższe zarzuty, pełnomocnicy P. S.A. wnoszą o:
- uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu, lub
- zmianę zaskarżonego wyroku w całości poprzez uchylenie decyzji GIODO z dnia [...]. i [...],
- zasądzenie kosztów postępowania według norm przepisanych.
Zdaniem skarżącej "zezwolenie" o którym mowa w art. 23 ust.1 pkt 2 uodo, wbrew twierdzeniu Sądu, nie musi oznaczać wyraźnego upoważnienia do przetwarzania danych, wystarcza, że zezwala przepis na wykonanie określonej czynności, do której niezbędne jest wykorzystanie danych osobowych. W poszczególnych ustawach zastosowano różne rozwiązania, w niektórych przyznano kompetencje do przetwarzania danych, w innych określono jedynie sposób zachowania się, a którym związane jest przetwarzanie danych. Takie rozumienie przepisu art. 23 ust.1 pkt 2 uodo, nie budzi również wątpliwości GIODO, co wynika ze sprawozdań tego organu z działalności w roku 2001 i 2002, gdzie uznano między innymi art. 808 kc, art. 93 ust.1 pkt 2 w związku z art. 92 ust.3 ustawy o organizacji i funkcjonowaniu funduszy emerytalnych i art. 29 ust.3 ustawy o własności lokali, za przepisy zezwalające na przetwarzanie danych w rozumieniu art. 23 ust.1 pkt 2 uodo, chociaż w żadnym z nich, nie ma takich postanowień. Omawiany przepis jest implementacją art.7lit.c Dyrektywy UE nr 95/46 o ochronie osób fizycznych w związku z przetwarzaniem ich danych osobowych oraz o swobodnym przepływie tych danych, nie ma więc żadnych racjonalnych przesłanek, by treść art. 23 ust.1 pkt 2 uodo interpretować w sposób odmienny, niż nakazuje to w/w Dyrektywa. Przepis art. 509 § 1 kc w związku z powyższym, jest przepisem zezwalającym na przetwarzanie danych osobowych w rozumieniu art. 23 ust. 1 pkt 2 uodo. Sąd a wcześniej GIODO błędnie przyjęli, że w przypadku umów konsumenckich przeszkoda w przelewie wierzytelności na podstawie art. 509 § 1 kc, jest przepis art.3853 pkt 5 kc, który odnosi się do klauzul w umowach z konsumentami. Umowa zawarta pomiędzy P. S.A. a G.K., nie zawierała żadnych klauzul dotyczących cesji wierzytelności, nie można więc w tym przypadku mówić o kształtowaniu praw i obowiązków konsumenta w sposób sprzeczny z dobrymi obyczajami i rażącym naruszeniu jego interesu.
Poza tym, przepis art. 3853 pkt 5 kc mówi o przenoszeniu bez zgody konsumenta praw i obowiązków, natomiast art. 509 § 1 kc dotyczy przeniesienia wyłącznie praw. Przepisy te dotyczą różnych zagadnień, dlatego art. 3853 pkt 5 kc, nie może być traktowany jako lex specjalis w stosunku do art. 509 kc. Cesja wierzytelności nie jest tożsama z cesją umowy, nie ulega też pogorszeniu sytuacja prawna dłużnika (art. 5l3 kc) w wyniku dokonanej cesji wierzytelności.
Zdaniem skarżącej, P. S.A. miał też prawo przetwarzać dane na podstawie art. 23 ust.1 pkt 5 uodo. Sąd stanął na stanowisku, iż w przedmiotowej sprawie mógł istnieć po stronie skarżącej "prawnie usprawiedliwiony cel", jednak jednocześnie uznał, że nastąpiło "pogorszenie sytuacji właściciela danych", nie jest to jednak przesłanka przewidziana w w/w przepisie. Zgodnie z art. 23 ust.1 pkt 5 uodo, aby zanegować zastosowanie tego przepisu, Sąd powinien wykazać, że przez takie przetwarzanie danych (zawarcie umowy przelewu wierzytelności), doszło do naruszenia praw i wolności G. K., czego w zaskarżonym wyroku Sąd nie wykazał. Trudno natomiast uznać, że może naruszać prawa i wolności osoby będącej dłużnikiem, podejmowanie wobec niej działań służących windykacji należności. Ponadto należy zwrócić uwagę, że cesja wierzytelności została dokonana, po upływie terminu przewidzianego do składania reklamacji i z której to możliwości nie skorzystał G. K..
Zdaniem skarżącej, Sąd dopuścił się też naruszenia art. 18 uodo, bowiem kompetencje GIODO ograniczają się wyłącznie do oceny, czy naruszone zostały przepisy o ochronie danych osobowych. Tymczasem organ ten, dokonując oceny na podstawie przepisów prawa cywilnego, dokonał rozstrzygnięcia w zakresie ważności umowy przelewu wierzytelności, jak również w decyzji sformułował wobec skarżącej, nakaz uzyskiwania zgody klienta na przelew wierzytelności, co było podnoszone w skardze. Kontrola treści umowy zawartej pomiędzy przedsiębiorcą a konsumentem, należy do sądu powszechnego a w niektórych przypadkach również do Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Jeżeli zaś rozstrzygnięcie w sprawie z zakresu ochrony danych osobowych, zależy od uprzedniej kontroli czynności prawnej przez inny organ, postępowanie administracyjne powinno być zawieszone na podstawie art. 97 § 1 pkt 4 kpa. GIODO powołuje się na stanowisko Prezesa UOKiK, które jednak nie może być potraktowane tu jako rozstrzygnięcie zagadnienia wstępnego w rozumieniu w/w przepisu. GIODO swoją decyzją z dnia l7 stycznia 2003 r., wykroczył poza przyznane mu w art. 18 uodo kompetencje, ten sam błąd popełnił Sąd, nie dyskwalifikując powyższej decyzji oddalając skargę P. S.A.
Z. Sp. z o.o. w odpowiedzi na skargę kasacyjną, poparła w całej rozciągłości wnioski tam zawarte w zakresie podstaw kasacji, zgłoszonych zarzutów oraz ich argumentacji.
GIODO w odpowiedzi na skargę kasacyjną, nie uznając zarzutów i argumentacji podniesionych przez skarżącą za zasadne, podtrzymał swoje stanowisko zajęte w sprawie.
Naczelny Sąd Administracyjny zważył, co następuje:
Skarga kasacyjna została oparta na ustawowych podstawach, określonych w art. 174 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 127o), powołanej dalej jako p.p.s.a.
W ocenie Sądu, skarżąca wykazała, że są w sprawie usprawiedliwione podstawy, wymagające uwzględnienia skargi kasacyjnej. Na wstępie należy wyraźnie i jednoznacznie rozgraniczyć dwa aspekty sprawy, wynikające z różnych regulacji prawnych. Faktem jest, że w niniejszej sprawie została zawarta pomiędzy P. S.A. a Z. Sp. z o.o. umowa przeniesienia wierzytelności na podstawie art. 509 § 1 kc z jednoczesnym udostępnieniem danych osobowych dłużników skarżącej. Celem tej transakcji, co jasno wynika z zawartej umowy, było przeniesienie wierzytelności, jednak dla realizacji celu podstawowego, było niezbędne jednoczesne przekazanie danych osobowych dłużników w tym również G.K.. Jak z tego wynika, zawarcie umowy cywilnoprawnej, wywołało skutki prawne regulowane przepisami Kodeksu cywilnego i przepisami ustawy o ochronie danych osobowych. Ocena dopuszczalności, skuteczności, czy też ważności umowy zawartej w dniu 24.06.2002 r. pomiędzy skarżącą a Z. Sp. z o.o., należy do sądów powszechnych, ewentualnie w niektórych jej aspektach, może być również przedmiotem zainteresowań Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Jest to aspekt cywilnoprawny tej sprawy, który nie może być przedmiotem zainteresowań organów administracji publicznej, ani sądów administracyjnych.
Przedmiotem kontroli GIODO zgodnie z art. 12 pkt 1 uodo, powinna być jedynie zgodność przetwarzania danych z przepisami o ochronie danych osobowych. W tym konkretnym zaś przypadku kontrola ta powinna polegać na zbadaniu, czy w wyniku zawartej umowy cywilnoprawnej, P. mógł przekazać firmie Z. dane osobowe G. K., zgodnie z przepisami ustawy o ochronie danych osobowych. GIODO, nie jest natomiast uprawniony do badania, czy mogła być zawarta umowa przeniesienia wierzytelności zgodnie z przepisami Kodeksu cywilnego, przekazująca dane osobowe G. K., gdyż w tym przypadku organ administracji publicznej, jakim niewątpliwie jest GIODO, wykracza poza swoje ustawowo określone kompetencje. Dla GIODO zawarta umowa przeniesienia wierzytelności, powinna być czynnością prawną nie podlegającą jego ocenie, wywołującą skutki prawne do czasu, dopóki nie zostanie zakwestionowana w formie i trybie przewidzianym przez prawo. Przekazanie danych osobowych G. K., nastąpiło wprawdzie w wyniku zawartej pomiędzy skarżącą a Z. umowy, jednak dla oceny tego zdarzenia z punktu widzenia przepisów ustawy o ochronie danych osobowych, nie jest konieczna ocena samej umowy z punktu widzenia przepisów prawa cywilnego. Jak nie trudno zauważyć, przedmiotem zawartej na podstawie art. 509 kc umowy, było przeniesienie wierzytelności, a nie udostępnienie (przekazanie) danych osobowych. Dane osobowe były tu tylko elementem niezbędnym do wykonania tej umowy, jest to niejako efekt wtórny zawartej umowy. Mogą być jednak sytuacje, w których same dane osobowe a ściślej ich przetwarzanie, jest przedmiotem umowy - transakcji, czyli dane osobowe są "towarem" o czym stanowi art. 31 uodo. "Przetwarzanie danych" (art. 7 pkt 2 uodo) zgodnie z określeniem ustawowym, stanowi szereg różnych operacji (działań, czynności), które mogą być dokonywane na danych osobowych, wyliczenie to jednak, nie stanowi katalogu zamkniętego czynności, które mogą prowadzić do pozyskania danych osobowych. Pozyskanie danych osobowych może mieć charakter pierwotny(bezpośrednio od osoby, której dane dotyczą) bądź wtórny (od innego podmiotu, niż osoba, której dane dotyczą) w drodze zawarcia umowy cywilno-prawnej np. użyczenia, najmu, sprzedaży. Jednak z punktu widzenia przepisów ustawy o ochronie danych osobowych, nie jest istotna forma pozyskania danych, lecz sam fakt wejścia w posiadanie danych osobowych i ocena tego w oparciu o przepisy tej ustawy (A.Mednis, Ustawa o ochronie danych osobowych, Komentarz, Wyd. Praw. Warszawa 1999, s.28).
Ponieważ ustawodawca nie określił w Kodeksie cywilnym, ani w ustawie o ochronie danych osobowych, w sposób szczególny wzajemnych relacji pomiędzy przepisami tych dwu ustaw należy przyjąć, że są to dwie autonomiczne jednocześnie obowiązujące regulacje prawne, rządzące się własnymi regułami z założenia nie kolidującymi wzajemnie. Dane osobowe mieszczą się w szeroko rozumianym pojęciu dóbr osobistych i jako takie, do czasu wejścia w życie przepisów ustawy o ochronie danych osobowych, podlegały ochronie na podstawie art.23 i 24 kc. Wejście w życie ustawy o ochronie danych osobowych, nie spowodowało uchylenia ani zmiany w/w przepisów Kodeksu cywilnego, gdyż te dopuszczają również ochronę wynikającą z innych przepisów np. prawa karnego, prawa o wykroczeniach , czy też prawa administracyjnego. Tak więc ustawodawca celowo utrzymał (zachował) wielość form ochrony, opartych na różnych przepisach. Niektóre z nich z uwagi na zastosowanie metody regulacji prawnej, mają charakter cywilnoprawny inne zaś administracyjnoprawny. Wzajemna relacja przepisów Kodeksu cywilnego, w tym zakresie i innych przepisów, może polegać na kumulatywnym lub alternatywnym stosowaniu środków ochrony w nich przewidzianych, zależy to od osoby zainteresowanej (S. Dmowski, S. Rudnicki, Komentarz do kodeksu cywilnego, Księga pierwsza, część ogólna, Wyd. Praw. Lexis Nexis W-wa 2004, s. 102 i 114-115).
Przyjmując takie założenie, orzeczenie sądu powszechnego, oceniające na podstawie przepisów Kodeksu cywilnego, zawartą umowę, nie powoduje automatycznie konsekwencji na płaszczyźnie administracyjnoprawnej, czyli nie wpływa bezpośrednio na byt prawny aktu administracyjnego - decyzji wydanej przez GIODO w oparciu o przepisy ustawy o ochronie danych osobowych - i odwrotnie. Nie można przecież wykluczyć sytuacji, w których ocena samej umowy z punktu widzenia przepisów Kodeksu cywilnego może być negatywna, natomiast przetwarzanie danych w rozumieniu art.7 pkt 2 uodo, w oparciu o przepisy ustawy o ochronie danych osobowych, może być ocenione pozytywnie jako nie naruszające przepisów o ochronie danych osobowych - i odwrotnie. Dlatego też, czym innym jest zgoda, o której mowa w przepisach art.509 § 1 , art. 3851 § 1 i art. 3853 pkt 5 kc,a czym innym zgoda na przetwarzanie danych osoby, której dane dotyczą, w rozumieniu art. 23 ust.1 pkt 1 uodo. Są to pojęcia równobrzmiące, jednak z uwagi na zamieszczenie ich w różnych przepisach i w różnych kontekstach, mają różne znaczenie i konsekwencje prawne. Zgoda, o której mowa w pierwszym przypadku podlega ocenie sądu powszechnego w oparciu o przepisy Kodeksu cywilnego, a zgoda, o której mowa w art. 23 ust.1 pkt 1 uodo podlega ocenie GIODO i sądów administracyjnych - w oparciu o przepisy ustawy o ochronie danych osobowych. Mamy bowiem w rozpoznawanej sprawie do czynienia z dwoma czynnościami prawnymi: zawarciem umowy cywilnoprawnej i udostępnieniem danych osobowych, regulowanymi przepisami należącymi do dwu różnych gałęzi prawa.
Z uwagi na powyższe, zaskarżony wyrok, jak i kontrolowane przez sąd pierwszej instancji decyzje GIODO, należy uznać za wadliwe, oparte na błędnych założeniach, tym samym większość rozważań zawartych w uzasadnieniach tych aktów, jest bezużyteczna i zbędna w tym postępowaniu.
Sąd pierwszej instancji, mimo poczynionych zastrzeżeń, przyjął tok rozumowania w sprawie, podobnie jak GIODO, uznając za konieczne przesądzenie w pierwszej kolejności, czy było dopuszczalne zawarcie umowy na podstawie art. 509 § 1 kc w świetle regulacji prawnych art. 3851 § 1 i art. 3853 pkt 5 kc, przenosząc dokonaną w tym zakresie ocenę następnie na płaszczyznę art. 23 uodo, w którym zostały wymienione przesłanki dopuszczające przetwarzanie danych. Tymczasem wystarczyło dokonać oceny, czy dane osobowe G. K. zostały udostępnione firmie Z. w oparciu o jedną chociażby z przesłanek wymienionych w art. 23 ust.1 uodo. Wszystkie zawarte w tym przepisie przesłanki, są równorzędne i niezależne od siebie, i dla przesądzenia o tym, że przetwarzanie danych jest dopuszczalne, wystarczy wskazanie jednej z nich. Skarżąca wskazywała jako podstawę udostępnienia danych osobowych G. K., przepisy art. 23 ust.1 pkt 2 i 5 uodo. Sąd pierwszej instancji podobnie jak i GIODO, nie podzielił tego stanowiska.
Sytuacja, w której przetwarzanie danych jest dopuszczalne, gdy "zezwalają na to przepisy prawa" (art. 23 ust.1 pkt 2 uodo), niezależnie od tego, jak ten warunek się rozumie, budzić musi wiele wątpliwości z uwagi na to, że w większości źródeł powszechnie obowiązującego prawa w Polsce, nie ma w ogóle mowy o przetwarzaniu danych osobowych. W dużej części, jest to spowodowane zapewne tym, że ustawa o ochronie danych osobowych obowiązuje dopiero od siedmiu lat, zaś samą ustawą wprowadzono zmiany zaledwie w kilku ustawach. Tymczasem w obrocie prawnym, w różnych dziedzinach i w różnym zakresie, dane osobowe - szczególnie te podstawowe, są w powszechnym użyciu. Trudno więc uznać, że ustawodawca nie zauważa problemu, nie można jednak, tak jak wywodzi skarżąca, przyjąć za dorozumiane istnienie takiego zezwolenia, nawet jeśli wprost przepisy nie zezwalają na przetwarzanie danych. Przykłady wskazane przez skarżącą, odwołujące się do sprawozdań GIODO, nie przekonują do przyjęcia tak szerokiej wykładni, raczej powinny być zachętą dla GIODO do bardziej aktywnego korzystania z kompetencji, jakie zostały zamieszczone w art. 12 pkt 4 i 5 uodo. Chociaż omawianego tu problemu nie można uznać za zamknięty, należy zgodzić się ze stanowiskiem sądu pierwszej instancji, iż zezwolenie, o którym mowa w art. 23 ust.1 pkt 2 uodo, musi być wyraźnie wyartykułowane w przepisach bądź wynikać w ich kontekstu. Przepis art. 509 kc, nie zawiera w sobie zezwolenia, o którym mowa w art. 23 ust.1 pkt 2 uodo, podobnie jak i inne przepisy tego Kodeksu. Brzmienie przepisu art.23 ust. 1 pkt 2 uodo w odniesieniu do Dyrektywy 95/46 Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych , ujęte zostało zbyt szeroko. W związku z powyższym, mając na uwadze zalecenie Komisji Europejskiej, ustawą z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych (Dz.U. Nr 33, poz.285), zmieniono brzmienie art.23 ust.1 pkt 2 uodo. Zgodnie z aktualnym brzmieniem tego przepisu, przetwarzanie danych jest dopuszczalne, gdy " jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa".
Kolejnym zagadnieniem, które należy wyjaśnić w niniejszej sprawie jest to, czy skarżąca mogła udostępnić dane osobowe G. K. w oparciu o przepis art. 23 ust.1 pkt 5 uodo. W ocenie sądu pierwszej instancji i GIODO, skarżąca takiego prawa nie miała.
W świetle uzasadnienia zaskarżonego wyroku, należy przyjąć, że dochodzenie roszczeń jest prawnie usprawiedliwionym celem administratora danych w związku z czym przetwarzanie danych (udostępnienie), jest dopuszczalne jako niezbędne do realizacji tego celu pod warunkiem jednak, że nie narusza to praw i wolności osoby, której dane dotyczą - w tym przypadku G. K.. W sytuacji tak opisanej w pkt 5 w związku z ust.4 pkt 2 art. 23 uodo, nie jest wymagana zgoda osoby, której dane dotyczą. Pozostaje więc tylko do rozważenia, czy w rozpoznawanej sprawie, w wyniku udostępnienia danych osobowych firmie Z., zostały naruszone prawa i wolności G. K.. Mówiąc o naruszeniu praw i wolności obywatelskich, należy odnieść się tu do katalogu tych praw i wolności szeroko uwzględnionych w Konstytucji R.P. i wskazać konkretnie, które z nich zostały naruszone. Takiej egzemplifikacji nie dokonał, ani sąd pierwszej instancji, ani wcześniej GIODO, wskazując enigmatycznie, że nastąpiło pogorszenie sytuacji prawnej właściciela danych osobowych - G. K. (w świetle przepisów dotyczących umów konsumenckich). Ocena sądu i GIODO w tym przypadku, odwołuje się do kryteriów pozaustawowych, nieznanych przepisowi art. 23 ust.1 pkt 5 uodo, jest więc dowolna i gołosłowna. Gdyby nawet przyjąć hipotetycznie, że nastąpiło pogorszenie sytuacji prawnej G. K., to nie jest to równoznaczne z naruszeniem praw i wolności obywatelskich, o czym mowa w ustawie. Poza tym, żaden z przepisów ustawy o ochronie danych osobowych, nie upoważnia GIODO do tego, aby interpretować przepisy tej ustawy pod kątem przepisów o ochronie konsumentów. GIODO w tym przypadku wchodzi w rolę Prezesa Urzędu Ochrony Konkurencji i Konsumentów, którego zadania i kompetencje określa ustawa z dnia 15 grudnia 2000 r. o ochronie konkurencji i konsumentów. Z powyższych względów, nie można zgodzić się z oceną Sądu w tym zakresie, zawartą w zaskarżonym wyroku. Skoro nie wykazano jednoznacznie, że zostały naruszone prawa i wolności G. K., to należy przyjąć, że art. 23 ust.1 pkt 5 uodo, mógł stanowić podstawę prawną udostępnienia jego danych osobowych. Powyższe stwierdzenie przesądza też w głównej mierze o uwzględnieniu skargi kasacyjnej. Niewykluczone, że opinie formułowane przez Urząd Ochrony Konkurencji i Konsumentów, do których odwołuje się GIODO są uprawnione, jednak nie mogą one stanowić podstawy orzecznictwa GIODO, gdyż ten organ działa na podstawie innej ustawy, niż Prezes Urzędu Ochrony Konkurencji i Konsumentów i posiada inne kompetencje, do realizacji których i w granicach których obliguje go przepis art. 7 Konstytucji R.P. Należy więc zgodzić się z poglądem skarżącej, że opinie Urzędu Ochrony Konkurencji i Konsumentów, nie mogły w tej sprawie mieć znaczenia, jakie dla uzgodnień zostało przewidziane w art. 106 kpa.
Trzeci zarzut skargi kasacyjnej dotyczący naruszenia art. 18 ust.1 uodo, należy widzieć w kontekście wcześniejszych rozważań. Oczywistą konsekwencją stwierdzenia, że dane osobowe zostały udostępnione na podstawie art. 23 ust.1 pkt 5 uodo, jest brak naruszenia przepisów o ochronie danych osobowych i w związku z tym brak przesłanek do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem, czyli powinna być wydana decyzja odmowna,. a nie umarzająca postępowanie na podstawie art. 105 kpa, tak jak to wnosi się w skardze.
Zarzut naruszenia art. 18 ust.,1 uodo w świetle argumentacji przywołanej w skardze kasacyjnej, należy odczytać jako zarzut dotyczący powołanych przepisów prawnych w podstawie prawnej decyzji GIODO z dnia [...] i samego rozstrzygnięcia - osnowy tej decyzji. Decyzja administracyjna jako akt władczy (akt administracyjny) organu administracji publicznej w swojej podstawie prawnej, powinna zawierać powołane przepisy administracyjnego prawa materialnego i przepisy postępowania - najczęściej przepisy Kodeksu postępowania administracyjnego (art. 107 § 1 kpa). Nie ma też chyba wątpliwości, że przepisy Kodeksu cywilnego, nie należą do przepisów prawa administracyjnego, a tym bardziej, że organy administracji publicznej, nie mogą się powoływać na nie w swoich rozstrzygnięciach. Rozstrzygnięcie sprawy administracyjnej, zawarte w osnowie decyzji, nie może też być uzależnione do warunków, wynikających z przepisów Kodeksu cywilnego, chyba żeby ustawodawca tak wyraźnie postanowił.
Decyzja administracyjna wydana na podstawie art. 104 § 1 kpa, powinna rozstrzygać sprawę co do jej istoty, jednak orzeczenie to musi być oparte na przepisach prawa administracyjnego, co wynika wprost z art. 19 i n. kpa. Decyzja administracyjna jest rozstrzygnięciem władczym organu administracji publicznej, opartym na konkretnym stanie faktycznym (art.7, 77 § 1 kpa), niezależnie od tego, czy ten stan jest zgodny z prawem, czy też nie. Samo rozstrzygnięcie zawarte w osnowie decyzji przesądza dopiero o tym, czy istniejący stan faktyczny (podjęte przez stronę działania) jest zgodny z prawem, czy też nie. Nie można więc ignorować zaistniałych faktów i wydawać decyzji administracyjnej abstrahując od nich, tak jak to uczyniono w decyzji GIODO z dnia l7 stycznia 2003 r. adresowanej do P.. Rozstrzygnięcie zawarte w tej decyzji, wbrew oczywistym faktom przyjmuje, iż dane osobowe G. K., nie zostały udostępnione Z. i w dalszym ciągu są w posiadaniu P., co jest oczywistą fikcją. Należałoby tu przywołać znane powiedzenie, że "nie dyskutuje się z faktami". Czym innym jest samo udostępnienie danych osobowych (przetwarzanie danych), które jest pewnym zdarzeniem, czynnością materialno-techniczną, faktem - a czym innym ocena prawna tego zdarzenia, faktu i kwalifikacja tego na podstawie przepisów prawnych (art. 23 ust.1 uodo). Decyzje wydawane na podstawie art. 18 ust.1 uodo, co wynika z jego brzmienia, mają na celu "przywrócenie stanu zgodnego z prawem", a więc z istoty swej, dotyczą zdarzeń, faktów (przetwarzania danych) dokonanych z naruszeniem przepisów o ochronie danych osobowych.
W związku z powyższym, decyzja GIODO z dnia l7 stycznie 2003 r. jest abstrakcyjna, nakazuje P. określone zachowania, które muszą budzić poważne wątpliwości w świetle przepisu art. 156 § 1 pkt 5 kpa i w zestawieniu z analogiczną decyzją z dnia l7 stycznia 2003 r. adresowaną do Z. Sp. z o.o.
Reasumując należy stwierdzić, że zarzut naruszenia przepisu art. 18 ust.1 uodo, jest również uzasadniony tym bardziej jeśli się zważy, że katalog rozstrzygnięć (pkt 1-6), nie jest katalogiem zamkniętym o czym świadczy zwrot tam użyty "a w szczególności", co daje GIODO możliwość swobodnego kształtowania sformułowań rozstrzygnięć wydawanych decyzji administracyjnych.
Niejako na marginesie niniejszych rozważań, mając na uwadze brzmienie art.134 ppsa należy wskazać, iż w kontekście art. 23 ust.1 pkt 2, art. 18 ust.3 oraz 5 uodo, sąd pierwszej instancji nie wziął w ogóle pod uwagę, czy w rozpoznawanej sprawie nie mają zastosowania przepisy innych ustaw np. ustawy z dnia 21 lipca 2000 r. - Prawo telekomunikacyjne , co mogło mieć wpływ na wynik sprawy (patrz: I.Barta, P.Fajgielski,R. Markiewicz, Ochrona danych osobowych, Komentarz, Zakamczyce 2004, s.493).
Dokonując wykładni przepisów ustawy o ochronie danych osobowych, należałoby również wziąć pod uwag cele i podstawowe założenia tej ustawy, określone w jej art. 1 ust.2, gdzie wskazano, iż "przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich". Mając na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony własnej prywatności, ma swoje źródło w przepisach art. 51,47, 49 i 50 Konstytucji RP. W praktyce , prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie.
Nie można też tak rozumieć przepisów ustawy, że udostępnienie danych osobowych dłużnika w celu windykacji należności, narusza dobro tej osoby, gdyż byłoby to niczym nie uzasadnione jej uprzywilejowanie. Zawierając umowę cywilnoprawną, należy liczyć się z jej konsekwencjami a także z tym, że obowiązek wykonania umowy dotyczy jednej i drugiej strony, nawet jeżeli jedna z nich jest konsumentem, tak jak w tym przypadku zgodnie z poglądem przyjętym przez Sąd i GIODO. Ochrona dóbr jednych nie może się odbywać kosztem naruszania praw innych, co można pośrednio bądź bezpośrednio wywieźć z wielu przepisów Konstytucji RP ( art.2, 22, 31 ust.3, 32 ust.1, 83). Ustawa o ochronie danych osobowych, nie może też być alternatywą lub uzupełnieniem innych procedur prawnych np. postępowania reklamacyjnego, czy też zastępować dochodzenia roszczeń w postępowaniu sądowym. W rozpoznawanej sprawie, zgodnie z przepisami ustawy - Prawo telekomunikacyjne, G.K. miał prawo dochodzić swych roszczeń w tzw. postępowaniu reklamacyjnym, a gdyby to nie dało skutku miał prawo wystąpić do sądu powszechnego, nie uczynił jednak tego.
W obecnym czasie, w stosunkach cywilnoprawnych opartych na równości stron, nie do przyjęcia jest, ingerencja organów państwowych w formach administracyjnoprawnych (nakazowych), jeżeli nie ma na to wyraźnego przyzwolenia ustawowego.
Biorąc powyższe pod uwagę, Naczelny Sąd Administracyjny na podstawie art. 185 § 1 ppsa orzekł, jak w sentencji.