Trwa ładowanie...
Zaloguj
Notowania
Przejdź na

I OPS 2/05 - Wyrok NSA z 2005-06-06

0
Podziel się:

1. Prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 101 poz. 926 ze zm./ może być oparty także na przepisach prawa cywilnego.
2. Ustalenie, iż administrator danych osobowych realizuje cel prawnie usprawiedliwiony nie może przesądzać o dopuszczalności przetwarzania danych osobowych /udostępniania tych danych innemu podmiotowi/ bez zgody osoby, której dane dotyczą. Konieczne jest dokonanie oceny, czy jest to niezbędne dla realizacji tego celu, a co najważniejsze, dokonanie wyważenia interesów administratora danych i osoby, której dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP.

Tezy

  1. Prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 101 poz. 926 ze zm./ może być oparty także na przepisach prawa cywilnego.
  1. Ustalenie, iż administrator danych osobowych realizuje cel prawnie usprawiedliwiony nie może przesądzać o dopuszczalności przetwarzania danych osobowych /udostępniania tych danych innemu podmiotowi/ bez zgody osoby, której dane dotyczą. Konieczne jest dokonanie oceny, czy jest to niezbędne dla realizacji tego celu, a co najważniejsze, dokonanie wyważenia interesów administratora danych i osoby, której dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP.

Sentencja

Naczelny Sąd Administracyjny po rozpoznaniu przy udziale Prokuratora Prokuratury Krajowej Marii Teresy Kalocińskiej na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej P. Spółki Akcyjnej w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 11 marca 2004 r. II SA 2717/03 wydanego w sprawie ze skargi P. Spółki Akcyjnej w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 13 czerwca 2003 r. (...) w przedmiocie przetwarzania danych osobowych: 1/ uchyla zaskarżony wyrok, 2/ uchyla zaskarżoną decyzję, (...)

Uzasadnienie

Wojewódzki Sąd Administracyjny w Warszawie zaskarżonym wyrokiem oddalił skargę P. SA w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 13 czerwca 2003 r. (...), którą organ utrzymał w mocy swą poprzednią decyzję z dnia 17 stycznia 2003 r. nakazującą P. S.A. nieudostępnianie danych osobowych abonenta Zbigniewa C., przetwarzanych w związku z przelewem wierzytelności bez spełnienia warunków określonych, w art. 385[1] par. 1 w zw. z art. 385[3] pkt 5 Kodeksu cywilnego, tj. bez zgody abonenta. W uzasadnieniu wyroku Sąd podzielił ustalenia i stanowisko Generalnego Inspektora.

Organ ustalił, że dnia 14 maja 1999 r. została zawarta pomiędzy Zbigniewem C., a P. S.A. umowa o świadczenie usług telekomunikacyjnych, następnie rozwiązana dnia 7 lipca 2000 r., bez uregulowania wynikających z niej należności. W dniu 24 czerwca 2002 r. P. S.A. zawarła umowę o przelew z P. Sp. z o.o. z siedzibą w P., która dotyczyła również wierzytelności Z. C. i w wykonaniu tej umowy udostępniła tej Spółce jego dane osobowe. Jako podstawa udostępnienia danych osobowych wskazany został przepis art. 509 i nast. Kodeksu cywilnego. Pismem z dnia 2 września 2002 r. Prezes Urzędu Ochrony Konkurencji i Konsumentów poinformował Generalnego Inspektora, że w jego opinii cesja długu abonenta będącego konsumentem pomiędzy przedsiębiorcą /kontrahentem konsumenta/ a firmą windykacyjną jest dopuszczalna jedynie za zgodą konsumenta, w przeciwnym razie przyjęcie dopuszczalności takiej cesji na podstawie art. 385[1] par. 1 Kodeksu cywilnego spełnia ogólne przesłanki niedozwolonego postanowienia umownego. Wydając decyzję z
dnia 17 stycznia 2003 r. Generalny Inspektor przyjął, że zgodnie z art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. nr 101 poz. 926 ze zm./, przetwarzanie danych jest dopuszczalne, gdy osoba, której dane dotyczą wyrazi na to zgodę. P. S.A. poprzez zawarcie umowy z Z. C. nabyła prawo do przetwarzania jego danych osobowych w granicach określonych postanowieniami tej umowy i w celu jej realizacji, jak również w celu dochodzenia ewentualnych roszczeń z tytułu niewłaściwego wykonania tej umowy.

W ocenie organu wskazana przez P. S.A. przesłanka z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 509 Kodeksu cywilnego nie stanowi podstawy prawnej dla udostępnienia danych osobowych Spółce P. w sytuacji, gdy Z. C. nie wyraził na to zgody. Organ powołał się przy tym na treść art. 358[1] par. 1 i art. 385[3] pkt 5 Kodeksu cywilnego prezentując pogląd, że niedopuszczalne jest udostępnienie osobom /podmiotom/ trzecim przez P. S.A., w drodze przelewu wierzytelności, danych osobowych Z. C. wyłącznie na podstawie art. 509 Kodeksu cywilnego. Takie działanie, niepoprzedzone jego zgodą, przyjmuje bowiem charakter niedozwolonego postanowienia umownego, o którym mowa w art. 385[3] pkt 5 Kodeksu cywilnego, te zaś zgodnie z art. 385[1] par. 1 Kodeksu nie są dla konsumenta wiążące.

We wniosku o ponowne rozpatrzenie sprawy P. S.A. zarzuciła niewłaściwą wykładnię przepisów Kodeksu cywilnego i ustawy o ochronie danych osobowych wywodząc, iż podstawę do przetwarzania danych stanowiły przepisy art. 23 ust. 1 pkt 2 i 5 tej ustawy, stąd też brak było ustawowej przesłanki do zastosowania środków przewidzianych w art. 18 ustawy. Zdaniem tej Spółki podstawę przetwarzania danych osobowych stanowił w odniesieniu do tego administratora danych art. 23 ust. 1 pkt 5 ustawy, dopuszczający przetwarzanie danych, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych lub osób trzecich, którym dane te są przekazywane, a przetwarzanie ich nie narusza praw i wolności osoby, której dane dotyczą. Windykację należności należy uznać za prawnie usprawiedliwiony cel.

Zdaniem Spółki P., organ naruszył także przepisy art. 385[1] par. 1, art. 385[3] pkt 5 i art. 509 Kodeksu cywilnego, gdyż brak jest podstaw do stwierdzenia, że stosunkom zobowiązaniowym z udziałem konsumentów ustawodawca nadał charakter szczególny /rozumiany jako lex specialis/ i w odniesieniu do nich wyłączone są inne przepisy Kodeksu. Brak jest także przesłanek do uznania, że istnieją szczególne "właściwości zobowiązania" w rozumieniu art. 509 par. 1 in fine Kodeksu, które przesądzały o zakazie dokonywania przelewu wierzytelności, przysługującej przedsiębiorcy w stosunku do konsumenta. Zmiana podmiotowa w zakresie osoby wierzyciela w odniesieniu do ściśle określonej wierzytelności pieniężnej nie powoduje przekształcenia stosunku zobowiązaniowego w takim stopniu, który mógłby uzasadniać zastosowanie zakazu przenoszenia wierzytelności, ani też nie powoduje po stronie dłużnika /konsumenta/ obciążeń i trudności tego rodzaju, że z punktu widzenia jego interesów należałoby takiej czynności zakazać. Nie można
zatem uznać, że dokonanie przelewu naruszałoby interesy konsumenta, a naruszenie to miałoby charakter rażący. Spółka twierdziła także, iż naruszono art. 105 par. 1 Kpa, gdyż postępowanie stało się bezprzedmiotowe, bowiem w dacie wydania decyzji P. S.A. nie przysługiwała żadna wierzytelność w stosunku do Z. C., stąd nie ma przedmiotu, który mógłby podlegać przelewowi bez jego zgody; nie ma więc uzasadnienia zakaz przekazania jakiemukolwiek podmiotowi danych osobowych Z. C.

W decyzji ostatecznej utrzymującej w mocy decyzję z dnia 17 stycznia 2003 r. organ podtrzymał poprzednią argumentację, stwierdzając nadto, że nie wystąpiła w tej sprawie żadna z okoliczności, o których mowa w art. 105 par. 1 Kpa, uzasadniająca umorzenie postępowania. W uzasadnieniu tej decyzji obszernie odniósł się także do tego, że podstawy do udostępnienia danych osobowych nie może stanowić art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, ponieważ Spółka P., bez zgody konsumenta nie mogła dokonać przelewu wierzytelności. Organ przyznał, że sam przelew nie pogarsza sytuacji dłużnika, jednakże od chwili, gdy prawa wierzyciela zaczęła wykonywać Spółka P., rażącemu pogorszeniu uległa jego sytuacja prawna. Pozostaje on niejako w zawieszeniu pomiędzy P. S.A. a Spółką P., stąd nie jest zasadne twierdzenie, że zmiana podmiotowa po stronie wierzyciela nie naruszyła w sposób rażący interesów Z. C.

Wojewódzki Sąd Administracyjny w Warszawie oddalając skargę P. S.A., w której powtórzono argumentację i zarzuty z wniosku o ponowne rozpoznanie sprawy /rozbudowując je o dodatkowe rozważania prawne/, podzielił pogląd organu podkreślając jednakże, iż nie ocenia ważności czy skuteczności umowy, do czego powołany jest sąd powszechny, lecz ocenia jedynie legalność przetwarzania danych osobowych, bowiem to należy do kompetencji Generalnego Inspektora Ochrony Danych Osobowych i sądu administracyjnego.

Odnosząc się do przesłanki przetwarzania danych osobowych, wskazanej w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, a więc gdy zezwalają na to przepisy prawa, Sąd stwierdził, że art. 509 Kodeksu cywilnego takiej dyspozycji nie zawiera. Stanowi on jedynie o przelewie wierzytelności, zatem nie może być samoistną podstawą przekazania danych osobowych. Rozważając przesłankę z art. 23 ust. 1 pkt 5 ustawy, a więc gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 lub osób trzecich, którym są przekazywane te dane, a przetwarzanie ich nie narusza praw i wolności osoby, której dane dotyczą, Sąd stwierdził, iż umowa o przelewie wierzytelności, jak i działalność windykacyjna, mogą powodować, że powstaje usprawiedliwiony cel administratora. Nie może jednak nastąpić pogorszenie sytuacji osoby, której dane dotyczą.

Oceniając sytuację prawną kontrahenta strony umowy konsumenckiej należy badać, czy nie nastąpiło pogorszenie jego sytuacji prawnej w świetle przepisów dotyczących umów konsumenckich. Sąd przyjął, że art. 509 Kodeksu cywilnego pozwala na takie przelewy bez zgody dłużnika, pod warunkiem, że nie sprzeciwia się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. W przypadku umów konsumenckich dokonaniu takiego przelewu bez zgody dłużnika sprzeciwia się ustawa. Art. 385[3] pkt 5 Kodeksu wskazuje na to, że niedozwolonym postanowieniem umownym jest takie postanowienie, które pozwala kontrahentowi konsumenta na przeniesienie praw i obowiązków wynikających z umowy bez zgody konsumenta. Oznacza to, że takie postanowienie nieuzgodnione z nim indywidualnie, jeżeli byłoby zawarte we wzorcu umownym nie wiąże go. W konsekwencji takie postanowienie, łącząc je z treścią art. 385[3] pkt 5 Kodeksu, musiałoby być określone w samej umowie indywidualnie uzgodnionej z konsumentem. Skoro nie można nawet we wzorcu
umownym wyłączyć zgody konsumenta, to zakazane jest czynić więcej, a więc dokonywać takich czynności bez zgody konsumenta. W świetle art. 385[3] pkt 5 Kodeksu nie można zezwolić kontrahentowi na zawarcie we wzorcach umownych postanowienia zezwalającego na przeniesienie praw i obowiązków. Zdaniem Sądu dokonana cesja wierzytelności wiąże się zarówno z przeniesieniem praw, jak i obowiązków, co potwierdza art. 513 par. 2 Kodeksu i treść umowy przelewu, w której nabywca zobowiązał się do wysłania dłużnikowi w imieniu zbywcy pisemnego zawiadomienia o przelewie.

Odnosząc się do zarzutu bezprzedmiotowości decyzji Generalnego Inspektora, Sąd dokonał oceny tej przesłanki z uwzględnieniem treści art. 105 par. 1 Kpa i stwierdził, że nie zachodziły w tej sprawie przesłanki bezprzedmiotowości ani z przyczyn podmiotowych, ani przedmiotowych. Natomiast po dokonaniu cesji wierzytelności P. S.A. nadal dysponowała danymi osobowymi Z. C.; istniały zatem władcze kompetencje do orzekania w drodze decyzji na podstawie art. 18 ustawy o ochronie danych osobowych. Organ zakazał przekazywania danych osobowych w związku z przelewem wierzytelności bowiem wiązał to z zakresem stwierdzonego naruszenia. Z punktu widzenia art. 18 tej ustawy nie jest zaś istotne, czy takie czynności były prawnie skuteczne oraz czy mogły być takie w przyszłości. Należy bowiem odróżnić skuteczność samej umowy od przekazania danych osobowych. W przypadku przekazania danych bez podstawy prawnej - zdaniem Sądu - nie jest zasadnym umarzanie postępowania, gdyż poza zakresem kontroli Generalnego Inspektora
pozostawałby cały obszar faktycznych działań administratora danych. Treść decyzji nie mogła być inna, gdyż nakazy lub zakazy Generalnego Inspektora muszą być konsekwencją stwierdzonych naruszeń, w odniesieniu do przetwarzania danych osobowych Z. C.

Skargę kasacyjną wniosła skarżąca Spółka P., zaskarżając wyrok w całości i wskazując następujące podstawy kasacyjne:

- naruszenie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych przez przyjęcie, że art. 509 par. 1 Kodeksu cywilnego - z uwagi na brzmienie art. 385[3] pkt 5 i art. 513 par. 2 Kodeksu - nie jest przepisem prawa zezwalającym na przetwarzanie danych, a tym samym błędną wykładnię powyższych przepisów i niewłaściwe zastosowanie art. 385[3] pkt 5 Kodeksu;

- naruszenie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, poprzez przyjęcie, że skarżąca otrzymując i przetwarzając dane osobowe dla realizacji prawnie usprawiedliwionego celu, naruszyła prawa i wolności osoby, której dane dotyczą, a tym samym błędną wykładnię tego przepisu;

- naruszenie art. 18 ust. 1 ustawy o ochronie danych osobowych, poprzez przyjęcie, że Generalny Inspektor miał prawo wydać decyzję nakazującą uzyskiwanie zgody klienta na przelew wierzytelności, w sytuacji, gdy kompetencje organu ograniczają się tylko do sfery przetwarzania danych osobowych, a nie do sfery czynności cywilnoprawnych, a tym samym błędną wykładnię tego przepisu i jego niewłaściwe zastosowanie.

W skardze kasacyjnej zawarto wniosek o uchylenie wyroku i przekazanie sprawy Wojewódzkiemu Sądowi Administracyjnemu do ponownego rozpoznania, ewentualnie o zmianę wyroku w całości przez uchylenie obu decyzji Generalnego Inspektora /art. 176 w zw. z art. 188 Prawa o postępowaniu przed sądami administracyjnymi/ i zasądzenie kosztów postępowania.

W uzasadnieniu skargi kasacyjnej podniesiono, że naruszenie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, polega na przyjęciu, że działanie skarżącej Spółki nie znajduje oparcia w przepisie zezwalającym na przetwarzanie danych, podczas gdy przepisem takim jest przepis art. 509 par. 1 Kodeksu cywilnego. Zdaniem skarżącej Spółki, zezwolenie takie w przepisie prawa nie musi wyraźnie upoważnić podmiot do przetwarzania danych osobowych. Wystarczy, że zezwala on na wykonanie określonej czynności, do której niezbędne jest przetwarzanie danych osobowych. Odesłanie z art. 23 ust. 1 pkt 2 odnosi się do całego systemu prawnego, w tym przepisów prywatnoprawnych. Należy więc traktować je jako odesłanie do przepisów wyznaczających prawa i obowiązki administratora danych dla wykonania których następuje przetwarzanie przez niego danych osobowych. W poszczególnych ustawach zastosowano różne rozwiązania; w części wyraźnie przyznano uprawnienie do przetwarzania danych, inne określają jedynie sposób zachowania się, z
którym związane jest przetwarzanie danych.

Wnoszący skargę kasacyjną podniósł także, że na takie rozumienie przepisu art. 23 ust. 1 pkt 2 ustawy wskazuje art. 7 lit. "c" dyrektywy UE nr 95/46 o ochronie osób fizycznych w związku z przetwarzaniem ich danych osobowych oraz o swobodnym przepływie tych danych. Zezwala on na przetwarzanie danych w sytuacji, gdy "jest to konieczne w celu wykonania wynikającego z prawa zobowiązania, któremu administrator danych podlega". Intencją dyrektywy jest więc wskazanie jako podstawy prawnej przetwarzania danych przepisów prawa, z których konieczność przetwarzania wynika również pośrednio. Nie ma racjonalnych przesłanek by treść powołanego przepisu ustawy interpretować odmiennie niż nakazuje to dyrektywa. Zdaniem skarżącego znaczenie w tej sprawie dla zastosowania art. 23 ust. 1 pkt 2 ustawy, ma art. 509 par. 1 Kodeksu cywilnego. Wynika z niego zasada, że wierzytelność jest zbywalna i może być przedmiotem przelewu. Przelew wierzytelności konsumenckiej był w tej sprawie dopuszczalny, bowiem nie istnieje żadna z
negatywnych przesłanek, określonych w art. 509 par. 1 Kodeksu.

Błędnie organ i Sąd przyjęli, że w przypadku umów konsumenckich przeszkodą jest art. 385[3] pkt 5 Kodeksu, stanowiący, że niedozwoloną może być klauzula w umowie z konsumentem dopuszczająca przeniesienie praw i obowiązków z tej umowy na inny podmiot, bez zgody konsumenta. Błąd polega na tym, że: 1/ umowa z konsumentem nie zawierała żadnych postanowień odnoszących się do cesji wierzytelności, a przepis art. 385[1] Kodeksu odnosi się do klauzul zawartych w umowach konsumenckich, 2/ gdyby klauzula o przeniesieniu wierzytelności była zawarta w umowie z konsumentem, to nie mogłaby być oceniana jako wadliwa w świetle art. 385[3] pkt 5 Kodeksu. Jeżeli konsument unika zapłaty, a w ocenie przedsiębiorcy, jedynym i korzystnym rozwiązaniem dla niego będzie zbycie wierzytelności lub jej dochodzenie przez nabywcę wierzytelności /działalność polegająca na obrocie wierzytelnościami jest przecież zgodna z prawem/, to, zdaniem skarżącej, trudno odmówić mu takiego prawa, tym bardziej iż w żadnym stopniu nie uderza to w prawa
konsumenta ani nie podważa przyznanych mu gwarancji uczciwego handlu. Przy ocenie, jakie działania administratora danych mieszczą się w ramach "usprawiedliwionego interesu" oraz "naruszenia praw i wolności" /spełnienie przesłanek z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych/, należy zwrócić uwagę, iż wedle ustawodawcy, nawet marketing usług /towarów/ administratora spełnia powyższe kryteria. Trudno zatem uznać, że może naruszać prawa i wolności osoby, będącej dłużnikiem, podejmowanie wobec niej działań służących windykacji należności. W tej sytuacji, przetwarzanie danych znajduje także oparcie w przesłance, o której mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Uzasadniając zarzut naruszenia art. 18 ustawy o ochronie danych osobowych skarżący stwierdził, że zgodnie z tym przepisem Generalny Inspektor jest uprawniony do wydania decyzji w przypadku naruszenia przepisów o ochronie danych. Tymczasem organ powołując się na niedopuszczalność stosowania art. 509 par. 1 Kodeksu, ze względu na art. 385[3] pkt 5 Kodeksu dopuścił się de facto rozstrzygnięcia w zakresie ważności umowy przelewu, co należy do sądu powszechnego, a w niektórych wypadkach do Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Jeśli rozstrzygnięcie w sprawie z zakresu danych osobowych /będącej sprawą administracyjną/ zależy od uprzedniej kontroli treści danej czynności przez inny organ, postępowanie administracyjne powinno ulec zawieszeniu na podstawie art. 97 par. 1 pkt 4 Kpa. W przedmiotowej sprawie organ powołuje się na stanowisko Prezesa UOKiK, jednak nie może ono być potraktowane jako rozstrzygnięcie zagadnienia wstępnego przez inny organ. Rozstrzygając więc o niedopuszczalności przelewu
wierzytelności bez zgody konsumenta, Generalny Inspektor wykroczył poza przyznane mu w art. 18 ustawy kompetencje. Ten sam błąd popełnił Sąd uznając, iż ten organ mógł w przedmiotowej sprawie rozstrzygnąć zagadnienie wykraczające poza jego właściwość.

W odpowiedzi na skargę kasacyjną Generalny Inspektor wniósł o jej oddalenie, a odnosząc się szczegółowo do jej zarzutów, opowiedział się w pełni za stanowiskiem zajętym w zaskarżonym wyroku.

W toku rozpoznawania skargi kasacyjnej skład orzekający NSA, na podstawie art. 187 par. 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi, przedstawił do rozstrzygnięcia przez skład siedmiu sędziów zagadnienie prawne wyrażone w pytaniu, czy w przypadku przetwarzania danych osobowych abonenta, będącego stroną umowy o świadczenie usług telekomunikacyjnych, w związku z zawartą umową o przelew wierzytelności, oceny legalności podstawy przetwarzania danych osobowych, wskazanej w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych można dokonywać w oparciu o regulacje zamieszczone w art. 385[1] par. 1, w zw. z art. 385[3] pkt 5 Kodeksu cywilnego. Przedstawiając zagadnienie prawne skład orzekający miał na uwadze także wyroki Naczelnego Sądu Administracyjnego z dnia 12 października 2004 r., OSK 769/04 i z dnia 16 grudnia 2004 r., OSK 829/04. W pierwszym z tych wyroków Sąd wyraził pogląd, że w odniesieniu do umów konsumenckich, dokonanie przelewu wierzytelności bez zgody
dłużnika będącego abonentem jest sprzeczne z art. 385[5] pkt 5 Kodeksu cywilnego, a wobec tego przepis art. 509 par. 1 tego Kodeksu nie może stanowić uzasadnienia przetwarzania danych osobowych na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

W drugim z powołanych wyroków Sąd zajął natomiast stanowisko, że nie jest konieczne ocenianie czy zawarcie umowy przelewu wierzytelności było dopuszczalne, ponieważ wystarczającą przesłanką na podstawie której administrator danych może udostępnić dane abonenta bez jego zgody, jest przepis art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych i należy jedynie rozważyć, czy w wyniku udostępnienia danych osobowych abonenta nastąpiło naruszenie jego praw i wolności z uwzględnieniem katalogu tych praw określonych w Konstytucji.

Naczelny Sąd Administracyjny w składzie siedmiu sędziów, na podstawie art. 187 par. 3 Prawa o postępowaniu przed sądami administracyjnymi, przejął sprawę do rozpoznania i zważył, co następuje:

W myśl art. 174 ustawy z dnia 30 sierpnia 2002 r.- Prawo o postępowaniu przed sądami administracyjnymi /Dz.U. nr 153 poz. 1270 ze zm./ skargę kasacyjną można oprzeć na następujących podstawach: 1/ naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie; 2/ naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy. Naczelny Sąd Administracyjny jest związany podstawami skargi kasacyjnej, bowiem według art. 183 par. 1 Prawa o postępowaniu przed sądami administracyjnymi rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod uwagę jedynie nieważność postępowania. Związanie NSA podstawami skargi kasacyjnej wymaga prawidłowego ich określenia w samej skardze, co oznacza konieczność wskazania konkretnych przepisów prawa, którym - zdaniem skarżącego - uchybił sąd, uzasadnienia zarzutu ich naruszenia, a w razie zgłoszenia zarzutu naruszenia prawa procesowego - wykazania dodatkowo, że to wytknięte uchybienie /naruszenie przepisu o
postępowaniu/ mogło mieć istotny wpływ na wynik sprawy.

Rozpoznanie podniesionych w skardze kasacyjnej zarzutów wymaga przede wszystkim dokonania wyjaśnienia rzeczywistej treści przepisów art. 23 ust. 1 pkt 2 i 5 ustawy o ochronie danych osobowych, w kontekście pozostałych przepisów tej ustawy, z uwzględnieniem dyrektyw Unii Europejskiej, a w szczególności dyrektywy Parlamentu Europejskiego i Rady 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych /Dz.Urz. WE L281 z dnia 23 listopada 1995 r., załącznik A/.

W okolicznościach tej sprawy istota sporu prawnego dotyczy tego, czy wskazane przepisy art. 23 ust. 1 pkt 2 i 5 ustawy o ochronie danych osobowych, pozwalały skarżącemu, jako administratorowi danych osobowych, na ich przetwarzanie przez udostępnienie innemu podmiotowi bez zgody osoby, której dane te dotyczą. Wojewódzki Sąd Administracyjny w Warszawie w zaskarżonym wyroku, dokonując oceny legalności zaskarżonej decyzji, podzielił stanowisko organu, że przepisy te nie mogły być podstawą udostępnienia danych bez zgody osoby, której dane te dotyczą. Stanowisko to jest konsekwencją przyjęcia poglądu, że w rozpoznawanej sprawie, z uwagi na przepis art. 385[3] pkt 5 Kodeksu cywilnego, ogólny przepis art. 509 par. 1 tego Kodeksu nie uzasadnia dokonania przelewu wierzytelności na rzecz innego podmiotu, jeżeli dłużnikiem jest konsument, który nie wyraził zgody na przelew, a tym samym jest niedopuszczalne udostępnienie danych osobowych konsumenta temu podmiotowi. Inaczej mówiąc, skoro niedozwolony jest przelew takiej
wierzytelności na rzecz innego podmiotu to tym samym nie można w ogóle mówić o istnieniu podstaw do przekazania temu podmiotowi danych osobowych konsumenta, z powołaniem się na przepisy ustawy o ochronie danych osobowych. Mówiąc ogólnie sąd pierwszej instancji wyraził także pogląd, który sprowadza się do tego, że działania kontrahenta konsumenta, który jest administratorem jego danych osobowych, nie mogą prowadzić do pogorszenia sytuacji konsumenta /osoby, której dane dotyczą/.

Analizując przepis art. 23 ustawy o ochronie danych osobowych należy stwierdzić, że przepis ten pozwala na przetwarzanie danych osobowych /co obejmuje udostępnianie danych osobowych/ w ściśle określonych przypadkach. Przede wszystkim dozwolone jest przetwarzanie danych osobowych za zgodą osoby, której dane dotyczą /art. 23 ust. 1 pkt 1 ustawy/. Ustawa zezwala na przetwarzanie danych także bez zgody osoby, której dane dotyczą w przypadkach określonych w art. 23 ust. 1 pkt 2-5, co ma służyć zasługującym na ochronę interesom administratora danych osobowych lub osób trzecich, bądź ze względu na ochronę interesu publicznego. W szczególności przekazanie danych osobowych bez zgody osoby, której dotyczą jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa /art. 23 ust. 1 pkt 2/ oraz gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych albo odbiorcę danych, a przetwarzanie danych nie
narusza praw i wolności osoby, której dane dotyczą /art. 23 ust. 1 pkt 5/.

Przesłanka, o której mowa w art. 23 ust. 1 pkt 2 odnosi się niewątpliwie do takich przypadków, gdy przepis prawa powszechnie obowiązującego określa uprawnienie lub obowiązek, których spełnienie nie jest możliwe bez udostępnienia danych osobowych. Natomiast przesłanka, o której mowa w art. 23 ust. 1 pkt 5 odnosi się wprost do administratora danych osobowych lub odbiorcy danych, którzy aby zrealizować prawnie dopuszczalne cele muszą udostępnić dane osobowe, pod warunkiem wszakże, że nie naruszy to praw i wolności osoby, której dane dotyczą. Już samo użycie określenia "jeżeli jest to niezbędne" wskazuje, że stosowanie tych przepisów wymaga nie tylko wykazania, że chodzi o realizowanie uprawnienia lub obowiązku wynikającego z przepisów prawa lub prawnie usprawiedliwionego celu, ale także dokonania oceny, czy dla realizacji tego konieczne jest /jest niezbędne/ przekazanie danych, pomimo że brak jest na to zgody osoby, której dane dotyczą. Ocena ta, to wyważanie racji i interesów, z jednej strony osoby, której
dane dotyczą, mającej objęty ochroną prawną interes aby jej dane nie były przetwarzane bez jej zgody, a z drugiej strony administratora danych, który ma także objęty ochroną prawną interes polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia, co w przypadku administratora danych, będącego wierzycielem obejmuje jego prawo do uzyskania należnego świadczenia od dłużnika. Unormowanie to oparte jest więc na założeniu, że dochodzi do konfliktu interesów między interesem osoby, która ma prawo do ochrony swoich danych osobowych a interesem administratora tych danych, który ma prawo przetwarzać te dane, jeżeli jest to konieczne do realizacji jego uprawnień wynikających z przepisów prawa lub prawnie usprawiedliwionego celu. Wyważenie tych interesów jest warunkiem koniecznym przy stosowaniu art. 23 ustawy o ochronie danych osobowych, przy uwzględnieniu rangi tych interesów w realiach konkretnej sprawy. Jest to szczególnie ważne, ponieważ konflikt ten dotyczy ochrony prywatności osoby,
której dane są przetwarzane, a więc wartości, która ma szczególnie wysoką rangę, także w systemie wartości konstytucyjnych.

Oznacza to, że w przypadku przetwarzania danych osobowych przez administratora danych, bez zgody osoby, której te dane dotyczą, w pierwszej kolejności konieczne jest ustalenie i rozważenie, czy spełniona jest ustawowa przesłanka szczegółowa uzasadniająca przetwarzanie danych bez zgody osoby, której dane dotyczą, a następnie, jeżeli przesłanka ta jest spełniona, ustalenie i rozważenie wszystkich okoliczności koniecznych do wyrażenia niezbędnej ochrony interesów osoby, której dane dotyczą oraz interesów administratora danych.

Tak też rozumiane są postanowienia powołanej dyrektywy 95/46/WE z dnia 24 października 1995 r. Przepis art. 7 lit. "f" dyrektywy dopuszcza przetwarzanie danych osobowych przez administratora, gdy jest to konieczne z punktu widzenia potrzeb wynikających z uzasadnionych interesów administratora lub osoby trzeciej, chyba że interesy te są podporządkowane interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą. Oznacza to, że dyrektywa nakazuje ważyć interesy obu stron w konkretnym przypadku i - co do zasady - dopuszcza przetwarzanie danych, które jest konieczne do realizacji prawnie usprawiedliwionych celów administratora, chyba że po dokonaniu porównania interesów obu stron okaże się, że podstawowe prawa i wolności jednostki mają większą wagę niż konkretny interes administratora. W wyroku z dnia 14 września 2000 r.- The Queen przeciwko Ministrowi Rolnictwa Wielkiej Brytanii /Zb. Orz. 2000 r., str. I-6751, załącznik A.1/, dotyczącym wykładni art. 7 lit. "f" dyrektywy Europejski
Trybunał Sprawiedliwości podkreślił, że przepisy prawa krajowego powinny być interpretowane tak dalece, jak to możliwe, na podstawie brzmienia i celu dyrektywy, aby zapewnić realizację tego celu. Celem tym jest ochrona prywatności, która powinna być rozpatrywana także w świetle art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności.

W ocenie Europejskiego Trybunału Sprawiedliwości przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą jest dopuszczalne, jeżeli: a/ ma podstawę w przepisie prawa, który wyraźnie na takie przetwarzanie zezwala, b/ przetwarzanie /udostępnianie/ danych jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku określonego ustawą, c/ dane są przetwarzane tylko w takim zakresie, w jakim jest to niezbędne do osiągnięcia tych celów. Rozstrzygając o legalności przetwarzania danych trzeba każdorazowo, ważąc interesy stron, znaleźć równowagę między prawami i wolnościami jednostki z jednej strony a prawnie usprawiedliwionym interesem osoby trzeciej z drugiej strony. Oznacza to obowiązek zapewnienia właściwej równowagi praw i interesów stron, w tym praw podstawowych.

Z uzasadnienia zaskarżonego wyroku wynika, że - zdaniem Sądu - podstawy przetwarzania danych nie mógł stanowić przepis art. 23 ust. 1 pkt 5 ustawy, ponieważ jest niedopuszczalna cesja wierzytelności osoby, której dane dotyczą, gdyż osoba ta jest konsumentem, a bez zgody konsumenta nie można przenieść praw i przekazać obowiązków wynikających z umowy. Skoro bowiem stosownie do przepisu art. 385[3] pkt 5 Kodeksu cywilnego nie można nawet we wzorcu umownym wyłączyć zgody konsumenta na przeniesienie praw i obowiązków wynikających z umowy, to "zakazane jest czynić więcej, zatem dokonywać takich czynności w ogóle bez zgody konsumenta". Stanowisko to sprowadza się więc do tego, że przetwarzanie danych bez zgody osoby, której dane dotyczą, na podstawie art. 23 ust. 1 pkt 5 ustawy jest w ogóle niedopuszczalne, ponieważ administrator danych nie realizuje prawnie usprawiedliwionego celu w rozumieniu tego przepisu, gdyż zakazane jest dokonywanie przelewu wierzytelności konsumenta bez jego zgody.

W skardze kasacyjnej trafnie podniesiono, że takie rozumienie przepisu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych w związku z art. 509 i art. 385[3] pkt 5 Kodeksu cywilnego stanowi naruszenie tych przepisów. Tak kategoryczne i jednoznaczne stanowisko, jak to przyjął Sąd w zaskarżonym wyroku, podzielając w tym zakresie stanowisko organu wyrażone w zaskarżonej decyzji, nie wynika z przepisów art. 385[3] Kodeksu cywilnego. Jeżeli uwzględni się także przepis art. 385[1] par. 1 Kodeksu cywilnego, można jedynie przyjąć, że postanowienie umowne zawarte we wzorcu umownym zezwalające kontrahentowi konsumenta na przelew wierzytelności, może być uznane za niedozwolone, jeżeli kształtuje prawa i obowiązki konsumenta w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy. Oznacza to, że również przelew wierzytelności, w przypadku gdy umowa zawarta z konsumentem na podstawie wzorca umownego, nie zawiera takiej klauzuli, mógł być jedynie oceniany na podstawie przesłanek określonych w art.
385[1] Kodeksu cywilnego. Nie można więc przyjąć z góry założenia, że nie można przenieść wierzytelności na osobę trzecią, gdy dłużnikiem jest konsument, bez zgody dłużnika /art. 509 par. 1 Kodeksu cywilnego/, ponieważ sprzeciwiałoby się to ustawie /art. 385[3] pkt 5 Kodeksu cywilnego/. Na takim założeniu zaś zostało oparte rozstrzygnięcie organu oraz Sądu w zaskarżonym wyroku.

W uzasadnieniu zaskarżonego wyroku, Sąd stwierdza, że przedmiotem rozstrzygnięcia w tej sprawie jest kwestia dotycząca legalności udostępniania danych osobowych a nie ocena ważności czy skuteczności umowy przelewu wierzytelności, ponieważ w tym zakresie właściwy jest sąd powszechny, jednakże Sąd dokonuje oceny, że z mocy art. 385[3] pkt 5 Kodeksu cywilnego zakazane jest w ogóle dokonywanie takich czynności bez zgody konsumenta. Nie można również sprowadzić stanowiska organu wyrażonego w uzasadnieniu zaskarżonej decyzji do tego, że wypowiedzi "na temat ważności czy skuteczności umowy przelewu mają charakter tylko prawnych dywagacji, które nie są w pełni adekwatne do przedmiotowej sprawy, lecz stanowią wyraz opinii organu". Z uzasadnienia zaskarżonej decyzji jednoznacznie wynika, że zdaniem organu zawarcie umowy przelewu wierzytelności bez zgody dłużnika było prawnie niedopuszczalne, ponieważ dłużnik jest konsumentem i na tej podstawie organ przyjął, że skarżący nie realizuje prawnie usprawiedliwionego celu w
rozumieniu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Należy przy tym zwrócić uwagę, że organ naruszenia praw osoby, której dane są przetwarzane, dopatruje się nie tyle w samej instytucji prawnej przelewu wierzytelności, co w działaniach podejmowanych po zawarciu umowy przelewu przez nabywcę wierzytelności /brak faktycznych możliwości wyjaśniania z udziałem dłużnika istnienia zobowiązania, stosowanie swoistych metod zmierzających do uzyskania świadczenia/.

Przyjęcie takiego założenia przez organ, aprobowanego przez Sąd, jest wadliwe. Nie oznacza to jednak, że w sprawie administracyjnej nie jest możliwe ocenianie znaczenia i skutków umowy dla potrzeb rozstrzygnięcia administracyjnego, jeśli prawo administracyjne odsyła do prawa cywilnego. W przypadku art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych takie odesłanie ma miejsce. Prawnie usprawiedliwiony cel, o którym mowa w tym przepisie może być oparty także na przepisach prawa cywilnego. Za taki prawnie usprawiedliwiony cel już sama ustawa uznaje dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej /art. 23 ust. 4 pkt 2/. Nie bez znaczenia przy ocenie, czy cel jest prawnie usprawiedliwiony są także przepisy prawa cywilnego, które służą ochronie konsumentów. Czym innym jednak jest ocena, czy cel realizowany przez administratora danych osobowych jest prawnie usprawiedliwiony, w rozumieniu art. 23 ust. 1 pkt 5 ustawy, co należy do kompetencji organu rozpoznającego sprawę administracyjną, a
czym innym zanegowanie tego celu na podstawie stwierdzenia, że zawarcie określonej umowy w ogóle jest zakazane, co w tym przypadku wykracza poza ramy sprawy administracyjnej.

Należy z całą mocą podkreślić, że ustalenie, iż administrator danych osobowych realizuje cel prawnie usprawiedliwiony nie może przesądzić o dopuszczalności przetwarzania danych osobowych /udostępniania tych danych innemu podmiotowi/ bez zgody osoby, której dane dotyczą. Konieczne jest dokonanie oceny czy jest to niezbędne dla realizacji tego celu, a co najważniejsze, dokonanie wyważenia interesów administratora danych i osoby, której dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP. Z art. 1 ustawy wynika, że każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 ustawy, dopuszczalne jest tylko ze względu na określone dobra i tylko w zakresie i trybie określonym ustawą. Realizacja prawnie usprawiedliwionego celu przez administratora danych w żadnym razie nie może naruszać praw i wolności osoby, której dane dotyczą.

Dodać należy, iż przepisy ustawy z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych /Dz.U. nr 50 poz. 424 ze zm./ regulują zasady i tryb udostępniania przez przedsiębiorców informacji gospodarczych, a w tym i danych osobowych osób fizycznych, dotyczących wiarygodności płatniczej innych przedsiębiorców i konsumentów, w szczególności danych o zwłoce w wykonywaniu zobowiązań pieniężnych osobom trzecim nieoznaczonym w chwili przeznaczenia tych danych do udostępnienia. Przepisy tej ustawy dobitnie wskazują, że ochrona danych osobowych na podstawie ustawy o ochronie danych osobowych nie powinna być absolutyzowana, ponieważ jej przepisy muszą być stosowane i interpretowane łącznie z innymi przepisami ustawowymi służącymi ochronie także innych wartości.

Kierując się innym od przedstawionego rozumieniem przepisu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, Sąd naruszył ten przepis i oddalił skargę, pomimo że takie samo wadliwe rozumienie tego przepisu było podstawą rozstrzygnięcia w zaskarżonej decyzji. Z tego względu Naczelny Sąd Administracyjny przyjmując, że wyrok został wydany z naruszeniem prawa materialnego, na podstawie art. 188 Prawa o postępowania przed sądami administracyjnymi uchylił zaskarżony wyrok i rozpoznał skargę. Uwzględniając skargę na podstawie art. 145 par. 1 ust. 1 lit. "a" Prawa o postępowania przed sądami administracyjnego Sąd uchylił zaskarżoną decyzję, ponieważ jest konieczne ponowne rozpoznanie sprawy przy uwzględnieniu oceny prawnej i wskazań wyżej przedstawionych.

Naczelny Sąd Administracyjny nie podzielił zarzutu skargi kasacyjnej naruszenia art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, ponieważ przepis ten został prawidłowo zinterpretowany i zastosowany przez sąd pierwszej instancji. Zresztą skarżący, od początku przytaczał jako uzasadnienie przekazania danych osobowych to, że czynił to w celu dochodzenia roszczeń, co może być objęte unormowaniem art. 23 ust. 1 pkt 5 w związku a art. 23 ust. 4 pkt 2 ustawy o ochronie danych osobowych, a nie przepisem art. 23 ust. 1 pkt 2 tej ustawy.

O kosztach postępowania Sąd orzekł na podstawie art. 200 i art. 203 pkt 1 Prawa o postępowaniu przed sądami administracyjnymi i zasądził na rzecz skarżącego od organu kwotę 730 zł, która obejmuje zwrot kosztów postępowania kasacyjnego w kwocie 480 zł oraz zwrot wpisu od skargi i zastępstwa procesowego przed sądem pierwszej instancji.

Oceń jakość naszego artykułu:
Twoja opinia pozwala nam tworzyć lepsze treści.
KOMENTARZE
(0)