Tezy
Przepis art. 509 par. 1 Kc ze względu na regulację zamieszczoną w art. 385[3] pkt 5 Kc w odniesieniu do umów konsumenckich nie może stanowić podstawy przetwarzania danych osobowych konsumentów uzyskanych bez ich zgody.
Sentencja
Naczelny Sąd Administracyjny po rozpoznaniu na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej "P." Spółki z o.o. z siedzibą w P. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 4 marca 2004 r. II SA 1603/03 w sprawie ze skargi "P." Spółki z o.o. z siedzibą w P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 2 kwietnia 2003 r. (...) w przedmiocie nakazania usunięcia danych osobowych - oddala skargę kasacyjną.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 4 marca 2004 r. oddalił skargę "P." Spółki z o.o. z siedzibą w P. na decyzję ostateczną Generalnego Inspektora Ochrony Danych Osobowych z dnia 2 kwietnia 2003 r.(...), utrzymującą w mocy decyzję tego organu z 17 stycznia 2003 r. nakazującą "P." Spółka z o.o. usunięcie danych osobowych Grzegorza K. pozyskanych bez jego zgody w związku z zawarciem umowy przelewu wierzytelności od "P." S.A. z siedzibą w W.
W uzasadnieniu wyroku Sąd przytoczył ustalenia i stanowisko Generalnego Inspektora, który ustalił w toku postępowania, że 18 grudnia 1997 r. została zawarta umowa pomiędzy Grzegorzem K., a "P." S.A. o świadczenie usług telekomunikacyjnych, a następnie rozwiązana bez uregulowania wynikających z niej należności. W dniu 24 czerwca 2002 r. "P." S.A. zawarła umowę o przelew wierzytelności, która dot. również wierzytelności G. K. i w wyniku tego udostępniła jego dane osobowe Spółce z o.o. "P.". Zarówno u podstaw udostępnienia jak i przekazania danych wskazany został przepis art. 509 i nast. Kc Pismem z 2 września 2002 r. Prezes Urzędu Ochrony Konkurencji i Konsumentów poinformował Generalnego Inspektora, że w jego opinii cesja długu abonenta pomiędzy przedsiębiorcą a firmą windykacyjną jest dopuszczalna jedynie za jego zgodą, a w przeciwnym razie przyjęcie dopuszczalności takiej cesji na podstawie art. 385[1] par. 1 Kc spełnia ogólne przesłanki niedozwolonego postanowienia umownego.
Wydając decyzję z dnia 17 stycznia 2003 r. Generalny Inspektor ocenił, iż art. 509 Kc nie stanowi podstawy prawnej do pozyskania danych osobowych Grzegorza K. przez Spółkę P., gdyż Grzegorz K. pozbawiony był możliwości wyrażenia na to zgody.
Organ powołał się na treść art. 385[1] par. 1 Kc zmienionego z dniem 1 lipca 2000 r. na mocy ustawy z 2 marca 2000 r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny /Dz.U. nr 22 poz. 271/ i uznał, że "P." przetwarza dane osobowe Grzegorza K. nie dysponując żadną z przesłanek legalizujących przedmiotowe działania, o których mowa w art. 23 ust. 1 ustawy o ochronie danych osobowych /Dz.U. 2002 nr 11 poz. 926/. Pozyskanie danych Grzegorza K. wyłącznie na podstawie art. 509 Kc, niepoprzedzone jego zgodą, przyjmuje charakter niedozwolonych postanowień umownych, o których mowa w art. 385[3] pkt 5 Kc, te zaś zgodnie z art. 385[1] par. 1 Kc nie są dla konsumenta wiążące.
Jednocześnie decyzją z 17 stycznia 2003 r. organ nakazał "P." S.A. nieudostępnianie danych osobowych Grzegorza K., przetwarzanych w związku z przelewem wierzytelności bez jego zgody.
We wniosku o ponowne rozpatrzenie sprawy "P." Spółka z o.o. zarzuciła, iż organ nie uwzględnił, że przetwarzanie danych osobowych Grzegorza K. może nastąpić przy zastosowaniu art. 23 ust. 1 pkt 2 i pkt 5 tj. wówczas gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 lub osób trzecich, którym dane są przekazywane, a przetwarzanie danych nie narusza praw i wolności osób, o których dane chodzi. W sytuacji, gdy spółka "P." nabyła wierzytelność pieniężną "P." S.A., wobec Grzegorza K. w jej usprawiedliwionym interesie leży przetwarzanie danych osobowych. Zastrzeżenia końcowej części przepisu art. 509 dotyczą sytuacji, w których ustawodawca wprost w konkretnej normie prawnej zakazuje dokonania przelewu lub wynika to z zastrzeżenia umownego. Wierzytelność o zapłatę wynagrodzenia ze świadczenia usług telekomunikacyjnych nie spełnia tych cech. Skoro nie sprzeciwia się ustawie, umowa takiego zastrzeżenia nie zawiera, to art. 509 Kc ma
zastosowanie. Przepis art. 385[3] pkt 5 Kc ma zastosowanie do postanowień umowy, zaś umowa z Grzegorzem K. jak i treść regulaminu o świadczeniu usług nie zawiera postanowień dotyczących prawa czy też zakazu wobec stosowania przez wierzyciela cesji wierzytelności. Wynikiem niezrozumienia przez organ art. 385[3] pkt 5 Kc jest próba zakwalifikowania czynności prawnej wierzyciela z osoba trzecią jako postanowienia umowy pomiędzy wierzycielem a abonentem. W wyniku cesji wierzytelności charakter, ani wysokość zobowiązania nie uległa zmianie. Różnica polega na tym, że ewentualna zapłata powinna zostać dokonana na rzecz "P." Sp. z o.o. Nie można zatem stwierdzić, że dokonanie przelewu na rzecz "P." Sp. z o.o. spowodowało po stronie Grzegorza K. powstanie szczególnych uciążliwości czy też dodatkowych obciążeń, stąd brak jest podstaw do przyjęcia, że zmiana podmiotowa po stronie wierzyciela naruszałaby interesy Grzegorza K., a naruszenie to miałoby charakter rażący.
Utrzymując w mocy decyzję z dnia 17 stycznia 2003 r. Generalny Inspektor podtrzymał swe poprzednie stanowisko. Ponadto wskazał, że sam przelew wierzytelności nie pogarsza sytuacji dłużnika, gdy treść zobowiązania nie ulega zmianie.
Jednakże od chwili kiedy prawa wierzyciela zaczęła wykonywać "P." Sp. z o.o. rażącemu pogorszeniu uległa jego sytuacja prawna gdyż pozostaje niejako w zawieszeniu pomiędzy "P." S.A. a "P." Sp. z o.o., stąd nie jest zasadne twierdzenie, że zmiana podmiotowa po stronie wierzyciela nie naruszyła w sposób rażący interesów Grzegorza K. Podtrzymał argumenty przytoczone uprzednio i podkreślił, że zawarta umowa o świadczenie usług telekomunikacyjnych należy do grupy umów konsumenckich.
Skargę na powyższą decyzję do Naczelnego Sądu Administracyjnego wniosła "P." Sp. z o.o. żądając jej uchylenia z powodu naruszenia art. 23 ust. 1 ustawy o ochronie danych osobowych w związku z art. 509 par. 1 Kc i art. 385[3] pkt 5 Kc oraz zasądzenie kosztów postępowania w tym kosztów zastępstwa procesowego. Wskazała, że Generalny Inspektor Ochrony Danych Osobowych bezpodstawnie przyjął, że przelew wierzytelności między "P." S.A. i "P." Sp. z o.o. był nieważny. Zgodnie z art. 509 par. 1 Kc wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią /przelew/, chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Zgodnie z art. 513.par. 1 Kc dłużnikowi przysługują wobec nabywcy wierzytelności wszelkie zarzuty jakie miał przeciwko zbywcy w chwili powzięcia wiadomości o przelewie. Istnieje zatem zasada przelewu wierzytelności bez zgody dłużnika. Oznacza to, że wyjątki od tej zasady winny być traktowane ściśle. Treść art. 385[1] par. 1 Kc dotyczy umowy
zawieranej z konsumentem, chodzi o postanowienia takiej umowy, które nie zostały uzgodnione z konsumentem indywidualnie, a kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami i jednocześnie rażąco naruszają jego interesy. Artykuł ten odnosi się do analizy umowy zawieranej z konsumentem, nie może być zatem brany pod uwagę przy analizie umowy zawieranej przez dwóch przedsiębiorców. Fakt, że w umowie z G. K. nie znalazło się postanowienie odnoszące się do umowy przelewu między dwoma przedsiębiorcami oznacza, zdaniem skarżącego, że takie postanowienie nie istnieje, nie było objęte wolą stron, a zatem nie może być podstawą analiz. Nie jest tu właściwe posługiwanie się argumentacją a maiori ad minus, gdyż nie było tu w ogóle określonego cięższego obowiązku.
Pominął, zdaniem skarżącej, argumentację, że do oceny przelewu może mieć zastosowanie art. 385[3] pkt 5 Kc, gdyż norma ta traktuje łącznie o dokonaniu przelewu i przekazaniu obowiązków z umowy na rzecz osoby trzeciej. Tymczasem w danej umowie nie zachodziła pozostała część hipotezy. Przepis art. 509 par. 1 Kc zezwala wierzycielowi na dokonanie przelewu bez zgody dłużnika i nie jest tu konieczne wprowadzenie jakiejkolwiek klauzuli. Z kolei na podstawie art. 519 par. 2 Kc przejęcie długu może nastąpić przez umowę za zgodą dłużnika i dlatego też wprowadzono art. 385[3] pkt 5 Kc.
Skarżąca wskazała na szereg niekonsekwencji, gdyż w decyzjach kierowanych do "P." S.A. stwierdzono, że umowa przelewu nie może rodzić skutków prawnych wobec Grzegorza K., a nie stwierdzono, że jest dotknięta wadą nieważności. Podkreśliła, że organ nie wskazał na czym miałoby polegać rażące naruszenie interesów Grzegorza K., gdy art. 385[3] Kc statuuje tylko domniemanie abuzywności klauzul, a zastosowanie tego przepisu wymaga badania in concreto. Sytuacja dłużnika z uwagi na przelew wcale się nie pogorszyła.
Zdaniem skarżącej istotne jest też, że na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych możliwe jest przekazywanie danych osobowych przez administratora osobie trzeciej, gdy jest to uzasadnione dla realizacji usprawiedliwionego interesu osoby trzeciej. Może to dotyczyć także egzekwowania nabytych wierzytelności.
Kontrolując legalność zaskarżonej decyzji Sąd podkreślił, iż sprawa ta dotyczy udostępnienia danych osobowych, a nie ważności czy skuteczności umowy przelewu. Do decydowania o ważności czy skuteczności umowy właściwy jest sąd powszechny, natomiast ocena legalności przetwarzania danych osobowych należy do kompetencji Generalnego Inspektora Ochrony Danych Osobowych i sądu administracyjnego. Zdaniem Sądu podstawowe znaczenie dla rozstrzygnięcia ma rozważenie przesłanek określonych w przepisie art. 23 ustawy o ochronie danych osobowych.
Skarżący wskazuje jako podstawę przetwarzania danych osobowych pkt 2 i pkt 5 wyżej wskazanego przepisu. Zgodnie z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 11 poz. 926/ przetwarzanie danych osobowych jest dopuszczalne gdy zezwalają na to przepisy prawa, /art. 23 ust. 1 pkt 2/. Stąd przesłanką "legalizującą" przetwarzanie danych osobowych jest wyraźne upoważnienie ustawowe /takie, jak na przykład wynikające z ustawy o statystyce publicznej lub o policji/. W tym przypadku przepis prawny musi mówić wyraźnie o przekazaniu danych osobowych. Artykuł 509 Kc takiej dyspozycji nie zawiera, mówi jedynie o przelewie wierzytelności, zatem nie może być samoistną podstawą przekazania danych osobowych. Dlatego też, zdaniem Sądu, należy rozważyć podstawę przetwarzania danych osobowych na podstawie art. 23 ust. 1 pkt 5, tj. gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 lub osób trzecich,
którym są przekazywane te dane - a przetwarzanie ich nie narusza praw i wolności osoby, której dane dotyczą. Umowa o przelewie wierzytelności podobnie jak działalność gospodarcza prowadzona w zakresie windykacji może powodować, że powstaje usprawiedliwiony cel administratora. Należy jednak pamiętać, że nie może nastąpić pogorszenie sytuacji właściciela danych.
Generalny Inspektor i sąd administracyjny oceniając czy nastąpiło pogorszenie sytuacji rozpatruje ją na tle całokształtu przepisów zarówno przepisów prawa administracyjnego jak i przepisów prawa cywilnego W ten sposób nie wkracza w kompetencje sądu powszechnego, gdyż nie wypowiada się o ważności umowy przelewu, czy też jej skuteczności, do czego jest upoważniony sąd powszechny lecz o przekazaniu danych z uwzględnieniem obowiązujących przepisów. Z tego względu wypowiedzi Generalnego Inspektora na temat skuteczności czy ważności umowy przelewu mają charakter tylko prawnych dywagacji, które nie są w pełni adekwatne do przedmiotowej sprawy lecz stanowią wyraz opinii organu.
Oceniając sytuację prawną kontrahenta strony umowy konsumenckiej należy badać, czy nie nastąpiło pogorszenie jego sytuacji prawnej w świetle przepisów dotyczących umów konsumenckich. Sąd przyjął, że art. 509 Kc mówi ogólnie o przelewach wierzytelności i pozwala na takie przelewy bez zgody dłużnika, pod warunkiem że nie sprzeciwia się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Sąd rozważał, czy przy umowach konsumenckich dokonanie takiego przelewu bez zgody dłużnika nie sprzeciwia się ustawie. Art. 385[3] pkt 5 Kc wskazuje na to, że niedozwolonym postanowieniem umownym jest takie zezwolenie, które pozwala kontrahentowi konsumenta na przeniesienie praw i obowiązków bez zgody konsumenta. Oznacza to, że takie postanowienie nieuzgodnione z nim indywidualnie jeżeli byłoby zawarte we wzorcu umownym, nie wiąże go. W konsekwencji takie postanowienie, łącząc go z treścią art. 385[3] pkt 5 Kc, musiałoby być określone w samej umowie indywidualnie uzgodnionej z konsumentem.
Rację ma skarżący, że jeżeli zakazane jest coś czynić więcej to nie można przyjmować, że zakazane jest czynić coś mniej. W tym przypadku zachodzi jednak sytuacja odwrotna. Mianowicie, jeżeli zakazane jest czynić mniej, czyli nie można nawet we wzorcu umownym wyłączyć zgody konsumenta, to zakazane jest czynić więcej, zatem dokonywać takich czynności w ogóle bez zgody konsumenta.
Na tle art. 385[3] pkt 5 Kc nie można zezwolić kontrahentowi na zawarcie we wzorcach umownych postanowienia zezwalającego na przeniesienie praw i obowiązków. Zdaniem Sądu, dokonana cesja wierzytelności wiąże się zarówno z przeniesieniem prawa jak i przeniesieniem obowiązków, co potwierdza treść art. 513 par. 2 Kc jak i treść umowy przelewu, w której nabywca zobowiązał się do wysłania dłużnikowi w imieniu zbywcy pisemnego zawiadomienia o przelewie wierzytelności - par. 5 umowy przelewu. Natomiast art. 519 Kc nie ma w sprawie znaczenia, bowiem dotyczy wstąpienia osoby trzeciej w miejsce dłużnika za zgodą dłużnika i odnosi się do wszelkich umów. Powołane zaś wyżej przepisy różnicują sytuację przelewu wierzytelności, a nie przejęcia długu w zależności od charakteru umowy w tym umowy konsumenckiej.
Z powyższych powodów Wojewódzki Sąd Administracyjny uznał, że zaskarżona decyzja prawa nie narusza i na podstawie art. 151 ustawy Prawo o postępowaniu przed sądami administracyjnymi /Dz.U. nr 153 poz. 1270/ oddalił skargę.
Skargę kasacyjną od powyższego wyroku wniosła do Naczelnego Sądu Administracyjnego "P." Spółka z o.o. reprezentowana przez radców prawnych Elżbietę B. i Arwida M. i zaskarżając wyrok w całości zarzucili:
- naruszenie prawa materialnego, art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez przyjęcie, że art. 509 par. 1 Kc - z uwagi na brzmienie art. 385[3] pkt 5 Kc i art. 513 par. 2 Kc - nie jest przepisem prawa zezwalającym na przetwarzanie danych, a tym samym błędną wykładnię powyższych przepisów i niewłaściwe zastosowanie art. 385[3] pkt 5 Kc;
- naruszenie prawa materialnego tj. art. 23 ust. 1 pkt 5 ww. ustawy, poprzez przyjęcie, że skarżąca otrzymując i przetwarzając dane osobowe dla realizacji prawnie usprawiedliwionego celu, naruszyła prawa i wolności osoby, której dane dotyczą /Grzegorza K./, a tym samym błędną wykładnię tego przepisu;
- naruszenie prawa materialnego, art. 18 ust. 1 ustawy, poprzez przyjęcie, że Generalny Inspektor miał prawo wydać decyzję nakazującą uzyskiwanie zgody klienta na przelew wierzytelności, w sytuacji gdy kompetencje organu ograniczają się tylko do sfery przetwarzania danych osobowych, a nie do sfery czynności cywilnoprawnych, a tym samym błędną wykładnię tego przepisu i jego niewłaściwe zastosowanie.
W skardze kasacyjnej zawarto wniosek o uchylenie wyroku i przekazanie sprawy Wojewódzkiemu Sądowi Administracyjnemu, do ponownego rozpoznania, zmianę wyroku w całości przez uchylenie obu decyzji Generalnego Inspektora /art. 176 w zw. z art. 188 ustawy - Prawo o postępowaniu przed sądami administracyjnymi/ i zasądzenie kosztów postępowania.
W uzasadnieniu skargi podnosi się, że naruszenie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, polega na przyjęciu, że działanie skarżącej spółki nie znajduje oparcia w przepisie zezwalającym na przetwarzanie danych, podczas gdy przepisem takim jest przepis art. 509 par. 1 Kc.
Zdaniem skarżącej, zezwolenie w przepisie prawa - wbrew twierdzeniom Sądu - nie oznacza, że przepis taki musi wyraźnie upoważnić podmiot do wykorzystania danych osobowych. Wystarczy, że zezwala on na wykonanie określonej czynności, do której niezbędne jest wykorzystanie /przetwarzanie/ danych osobowych. Odesłanie z art. 23 ust. 1 pkt 2 odnosi się do całego systemu prawnego w tym przepisów prywatno-prawnych. Należy więc traktować je jako odesłanie do przepisów wyznaczających prawa i obowiązki administratora danych, dla wykonania których następuje przetwarzanie przez niego danych osobowych. W poszczególnych ustawach zastosowano różne rozwiązania: w części przyznano kompetencje do przetwarzania danych, inne określają jedynie sposób zachowania się, z którym związane jest przetwarzanie danych.
Skarżący posługując się danymi ze sprawozdania, wskazuje kilka przykładów spraw, w których Generalny Inspektor wypowiedział się o zastosowaniu przepisu art. 23 ust. 1 pkt 2 ustawy jako podstawę przetwarzania:
- przez zakład ubezpieczeń danych osoby, nie będącej stroną umowy ubezpieczenia, a wskazanej w umowie jako osoba trzecia w rozumieniu art. 808 Kc, na rzecz której zawarto te umowę - osoba trzecia może w takim wypadku nie wiedzieć /i nie musi wyrażać zgody/ o objęciu jej ubezpieczeniem, a przepisem zezwalającym - w rozumieniu art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych - na przetwarzanie jej danych osobowych jest art. 808 Kc, w którym jednak nie ma mowy bezpośrednio o przetwarzaniu danych osobowych (...);
- danych osoby przez wspólnotę mieszkaniową w zakresie przekazywania danych o jej członkach innym członkom wspólnoty mieszkaniowej - w tym wypadku GIODO uznał, że przepisem takim jest art. 29 ust. 3 ustawy o własności lokali - także i w tym wypadku w przepisie tym nie ma mowy o prawie przetwarzania danych osobowych (...);
- danych osobowych dłużnika w związku z przelewem wierzytelności na podstawie art. 509 par. 1 Kc.
Treść powołanego przepisu art. 23 ust. 1 pkt 2 ustawy jest implementacją art. 7 lit. "c" Dyrektywy UE nr 95/46 o ochronie osób fizycznych w związku z przetwarzaniem ich danych osobowych oraz o swobodnym przepływie tych danych. Zezwala on na przetwarzanie danych w sytuacji gdy "jest to konieczne w celu wykonania wynikającego z prawa zobowiązania, któremu administrator podlega".
Intencją twórców Dyrektywy było więc wskazanie jako podstawy prawnej przetwarzania danych przepisów prawa, z których konieczność przetwarzania wynika również pośrednio. Nie ma racjonalnych przesłanek by treść powołanego przepisu interpretować odmiennie niż nakazuje to Dyrektywa.
Zdaniem skarżącego znaczenie w tej sprawie dla zastosowania art. 23 ust. 1 pkt 2 ustawy, ma art. 509 par. 1 Kc.
Wynika z niego zasada, że wierzytelność jest zbywalna i może być przedmiotem przelewu. Przelew wierzytelności konsumenckiej był w tej sprawie dopuszczalny, bowiem nie istnieje żadna z negatywnych przesłanek, określonych w art. 509 par. 1 Kc.
Błędnie organ i Sąd przyjęli, że w przypadku umów konsumenckich przeszkodą jest art. 385[3] pkt 5 Kc, stanowiący, że niedozwoloną może być klauzula w umowie z konsumentem dopuszczająca przeniesienie praw i obowiązków z tej umowy na inny podmiot, bez zgody konsumenta. Błąd w interpretacji polega na przyjęciu dwóch niedopuszczalnych założeń:
1/ Umowa konsumenta nie zawierała żądnych postanowień odnoszących się do cesji wierzytelności, a przepis art. 385[3] Kc odnosi się do klauzul zawartych w umowach konsumenckich; niedozwolone postanowienia umowne to takie, które pomimo nieuzgodnienia ich z konsumentem zostały do umowy wprowadzone, a ponadto "niedozwolone" postanowienie kształtuje prawo i obowiązek konsumenta w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy, obie te przesłanki muszą być spełnione łącznie; w treści umowy zawartej z Grzegorzem K., jak również w regulaminie usług telekomunikacyjnych nie znalazło się żadne postanowienie odnośnie możliwości przeniesienia przez "P." S.A. praw i obowiązków z umowy z klientem na inny podmiot. Organ i Sąd dokonały niedopuszczalnej na gruncie tego przepisu oceny praktyki, podczas gdy służą do tego inne instrumenty.
2/ Gdyby klauzula o przeniesieniu wierzytelności była zawarta w umowie z konsumentem, to nie mogła by być oceniana jako wadliwa w świetle art. 385[3] pkt 5 Kc. Przepis ten w porównaniu z art. 509 par. 1 Kc różni się zakresem. Pierwszy dotyczy zakazu przenoszenia bez zgody konsumenta praw i obowiązków, drugi natomiast dotyczy cesji wierzytelności, a więc przenoszenia wyłącznie praw przysługujących wierzycielowi. Wbrew temu, co stwierdził Sąd w uzasadnieniu wyroku, nie doszło do przeniesienia na "P." Sp. z o.o. praw i obowiązków z umowy zawartej pomiędzy "P." i abonentem. Nie świadczy o tym treść powołanego przez Sąd art. 513 par. 2 Kc ani par. 5 umowy. Zlecenia cesjononariuszowi /"P." Sp. z o.o./ przez cedenta /"P." S.A./ wykonanie usługi polegającej na wysłaniu do abonenta w imieniu cedenta informacji o przelewie, nie stanowi o przeniesieniu obowiązku wynikającego z umowy pomiędzy cedentem i jego dłużnikiem, gdyż czynność ta wykonywana była w imieniu cedenta, a poinformowanie dłużnika o dokonaniu cesji jest
obowiązkiem cedenta, który wynika z faktu dokonania cesji, a nie z umowy pomiędzy operatorem i abonentem /art. 512 Kc/.
Zdaniem skarżącej Spółki treść art. 513 Kc odnoszącego się do możliwości podniesienia przez dłużnika zarzutów wobec cesjonariusza /par. 1/ i do możliwości potrącenia przez dłużnika swej wierzytelności wobec nowego wierzyciela z wierzytelnością nabytą przez cesjonariusza /par. 2/ jest argumentem przemawiającym za tezą forsowaną przez skarżącą, iż art. 509 Kc nie dot. przeniesienia zobowiązań, co skarżący rozwija w obszernych rozważaniach przytaczając poglądy doktryny.
Zarzut naruszenia przez Sąd przepisu art. 23 ust. 1 pkt 5 ustawy uzasadniony jest błędnym przyjęciem, że przetwarzanie danych osobowych Grzegorza K. narusza jego prawa i wolności osobiste. Zgodnie z tym przepisem przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionego celu administratora lub odbiorcy danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Dążenie do odzyskania należności jest prawnie usprawiedliwionym celem przedsiębiorcy, ponieważ znajduje oparcie w obowiązujących przepisach. Sąd stanął na stanowisku, iż w tej sprawie mógł po stronie skarżącej istnieć prawnie usprawiedliwiony cel, natomiast rozważał, czy nie nastąpiło "pogorszenie sytuacji właściciela danych".
Ponieważ w art. 23 ust. 1 pkt 5 brak jest takiej przesłanki, można wnioskować, iż pod tym pojęciem WSA rozumie naruszenie "praw i wolności osoby, której dotyczą", o czym stanowi art. 23 ust. 1 pkt 5.
Rozumowanie Sądu w tym zakresie skarżący ocenia jako wadliwe nawiązując do przedstawionej wcześniej wykładni art. 385[3] pkt 5 Kc. Ponadto - zdaniem Spółki - negując możliwość wywiedzenia przez skarżącą legalności przetwarzania danych dla potrzeb windykacji wierzytelności nabytych od innego przedsiębiorcy z art. 23 ust. 1 pkt 5, Sąd winien wykazać, że poprzez takie przetwarzanie danych doszło do naruszenia praw i wolności osoby Grzegorza K.
Nawet gdyby przyjąć, że cesja wierzytelności w przedmiotowej sprawie była przewidziana w umowie z konsumentem i byłaby tożsama z klauzulą, o której mowa w art. 385[3], pkt 5 Kc /co wszak nie miało miejsca/, to i tak nie oznacza, że cesja taka stanowiłaby automatycznie niedozwoloną klauzulę umowną w rozumieniu tego przepisu.
Niedozwolone klauzule, o których mowa w art. 385[1] - 385[3] Kodeksu cywilnego, to klauzule "podejrzane o abuzywność" /tzw. "szare klauzule"/ /Nieuczciwe klauzule w prawie umów konsumenckich - pod red. E. Łętowskiej, Warszawa 2004, str. 8/. Ocena klauzuli jako niedozwolonej wymaga odwołania się do kryteriów określonych m.in. w art. 385[1] par. 1 Kc. Aby klauzula była uznana za niedozwoloną, nie wystarczy, że figuruje ona na liście ustalonej w art. 385[3] Kc. Świadczy o tym użyte w art. 385[3] Kc sformułowanie "w razie wątpliwości uważa się, że niedozwolonymi postanowieniami umownymi są (...)". Należy zatem za każdym razem dokonać weryfikacji danego postanowienia, oceniając, czy jest ono m.in. zgodne z dobrymi obyczajami, rażąco narusza interesy konsumenta, itd. /art. 385[1] par. 1 Kc/.
Takiej oceny w stosunku do cesji wierzytelności "P." S.A. wobec Grzegorza K., Sąd w niniejszej sprawie nie dokonał.
Skarżąca podkreśla, że w świetle literalnego, brzmienia art. 7 lit. "f" Dyrektywy 95/46 przesłanka przetwarzania danych dla usprawiedliwionego interesu /celu/ administratora danych jest spełniona, jeśli ów interes nie przeważa nad podstawowymi prawami i wolnościami osoby, której dane dotyczą. Gdyby więc interpretować art. 23, ust. 1 pkt 5 ustawy o ochronie danych osobowych pod kątem naruszenia równowagi interesu administratora danych i praw osoby, której dane dotyczą, trzeba stwierdzić, że przetwarzanie przez skarżącą danych osobowych dłużnika-konsumenta jest w pełni uzasadnione.
Stosunek zobowiązaniowy w swej naturze jest stosunkiem równorzędnych stron, o takich samych prawach i obowiązkach. Jednakże, w pewnych sytuacjach stosunek ten z różnych względów może okazać się nierówny z uwagi na słabszą pozycję jednej ze stron na rynku.
Dotyczy to głównie umów z konsumentami, a więc takich, w których stronami są: przedsiębiorca w zakresie prowadzonej przez siebie działalności gospodarczej lub zawodowej jako zbywca towarów /usług/ oraz osoba fizyczna zawierająca umowę w celu niezwiązanym z działalnością gospodarczą.
W takich przypadkach istnieje konstytucyjne przyzwolenie na ograniczenie swobody w prowadzeniu działalności gospodarczej, o ile przemawia za tym ważny interes publiczny /art. 22 Konstytucji RP/. Nie chodzi jednak o ochronę konsumenta "przeciw" tej działalności, ale o ochronę w jej ramach. Priorytetem jest zatem zasada swobody i wolności działalności gospodarczej, jako zasada ustrojowa, przy uwzględnieniu szczególnej sytuacji konsumentów jako słabszych uczestników tej działalności.
Przy badaniu zgodności ograniczeń w uprawnieniach - tak przedsiębiorcy jak i konsumenta - należy brać pod uwagę wyważenie proporcji w randze, interesu naruszonego i chronionego. Trudno uznać, iż niewywiązywanie się przez konsumenta ze swoich zobowiązań, tylko dlatego, że jest on konsumentem, przeważa nad pewnością obrotu gospodarczego i prawem podmiotu świadczącego na rzecz konsumentów do uzyskania zapłaty za spełnione świadczenie /w takim duchu sformułowany jest również wspomniany powyżej przepis Dyrektywy 95/46/. Jeżeli konsument unika zapłaty, a w ocenie przedsiębiorcy, jedynym i korzystnym rozwiązaniem dla niego będzie zbycie wierzytelności lub jej dochodzenie przez nabywcę wierzytelności /działalność polegająca na obrocie wierzytelnościami jest przecież zgodna z prawem./, trudno odmówić mu takiego prawa, tym bardziej, iż w żadnym stopniu nie uderza to w prawa konsumenta, ani nie podważa przyznanych mu gwarancji uczciwego handlu.
Przy ocenie, jakie działania administratora danych mieszczą się w ramach "usprawiedliwionego interesu" oraz "naruszenia praw i wolności" /spełnienie przesłanek z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych/, należy zwrócić uwagę, iż wedle ustawodawcy, nawet marketing usług /towarów/ administratora spełnia powyższe kryteria. Trudno zatem uznać, że może naruszać prawa i wolności osoby, będącej dłużnikiem, podejmowanie wobec niej działań służących windykacji należności.
W tej sytuacji, przetwarzanie danych Grzegorza K. znajduje także oparcie w przesłance, o której mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.
Skarżąca uważa, iż cesja wierzytelności została dokonana po upływie terminu na wnoszenie reklamacji odnośnie rachunków przez abonentów. Grzegorz K., który twierdzi, iż rozwiązał umowę za pośrednictwem faksu przyznał, iż otrzymał rachunki telefoniczne, jednak nie złożył reklamacji. Wobec dokonania cesji po upływie okresu reklamacyjnego - zdaniem Skarżącej - sytuacja prawna Grzegorza K. nie uległa po dokonaniu cesji żadnemu pogorszeniu.
Nawet gdyby taka cesja dokonana była przed upływem terminu do wniesienia reklamacji, nie pozbawiłaby Grzegorza K. prawa do wniesienia reklamacji, a "P." S.A. miałby obowiązek tak wniesioną reklamację rozpatrzyć. WSA nie odniósł się do powyższych zarzutów podniesionych w skardze, jak również zarzutu, iż G K. nie skorzystał z usług "P." S.A. jako konsument bowiem przyznał, że z jego telefonu "korzystał jego pracownik". Nie można zatem wykluczyć zamiaru Grzegorza K. wprowadzenia w błąd "P.", gdyż nie miał zamiaru korzystać z usług jako konsument lub że następnie zmienił ten zamiar. W takim razie wykonywanie i skutki umowy nie powinny być oceniane - jak to uczyniono w tej sprawie - z uwzględnieniem przepisów Kc dotyczących umów z udziałem konsumentów.
Na koniec skarżący uzasadniając zarzut naruszenia art. 18 ustawy o ochronie danych osobowych stwierdził, że zgodnie z tym przepisem Generalny Inspektor jest uprawniony do wydania decyzji w przypadku naruszenia przepisów o ochronie danych.
Tymczasem organ powołując się na niedopuszczalność stosowania art. 509 par. 1 Kc w świetle art. 385[3] pkt 5 Kc dopuścił się de facto rozstrzygnięcia w zakresie ważności umowy przelewu, co należy do sądu powszechnego a w niektórych wypadkach do Prezesa Urzędu Ochrony Konkurencji i Konsumentów.
Jeśli rozstrzygnięcie w sprawie z zakresu danych osobowych /będącej sprawa administracyjną/ zależy od uprzedniej kontroli treści danej czynności przez inny organ, postępowanie administracyjne powinno ulec zawieszeniu na podstawie art. 97 par. 1 pkt 4 Kpa.
W przedmiotowej sprawie organ powołuje się na stanowisko Prezesa UOKiK, jednak nie może być potraktowane jako rozstrzygnięcie zagadnienia wstępnego przez inny organ /tak: X. Konarski, G. Sibiga - "Nierozerwalny związek" Rzeczpospolita 19.04.2004 r./.
Rozstrzygając więc o niedopuszczalności przelewu wierzytelności bez zgody konsumenta, Generalny Inspektor wykroczył poza przyznane mu w art. 18 ustawy kompetencje. Ten sam błąd popełnił Sąd uznając, iż ten organ mógł w przedmiotowej sprawie rozstrzygnąć zagadnienie wykraczające poza jego właściwości.
Wniosku dowodowego zamieszczonego w skardze kasacyjnej o załączenie dokumentów, znajdujących się w aktach sprawy, pełnomocnik nie podtrzymał na rozprawie.
W odpowiedzi na skargę kasacyjną Generalny Inspektor wniósł o jej oddalenie opowiadając się w pełni za stanowiskiem zajętym w zaskarżonym wyroku.
Naczelny Sąd Administracyjny zważył, co następuje:
Skarga kasacyjna jako niezawierająca usprawiedliwionych podstaw podlegała oddaleniu.
Zaskarżonemu wyrokowi Wojewódzkiego Sądu Administracyjnego nie można zarzucić naruszenia przepisów prawa materialnego - art. 23 ust. 1 pkt 2 i 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 101 poz. 926/ w sposób sformułowany w zarzutach skargi kasacyjnej.
Przepis art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych dopuszcza przetwarzanie danych gdy zezwalają na to przepisy prawa.
Przetwarzanie danych zgodnie z definicją legalną zamieszczoną w art. 7 pkt 2 ustawy, to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przekazywanie, opracowywanie, zmienianie udostępnianie i usuwanie.
Podlegająca kontroli sądu pierwszej instancji decyzja Generalnego Inspektora Ochrony Danych Osobowych została wydana w związku z uzyskaniem przez Spółkę "P." danych osobowych Grzegorza K., w wyniku zawartej umowy o przelew wierzytelności z "P." S.A., z którą uprzednio Grzegorz K. zawarł umowę o świadczenie usług telekomunikacyjnych, a która to umowa została rozwiązana bez uregulowania wynikających z niej należności. Przetwarzając te dane Spółka "P." powołała się na art. 509 par. 1 Kc.
Przepis ten zezwala na przeniesienie wierzytelności bez zgody dłużnika na osobę trzecią chyba, że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Te dwie ostatnie przesłanki z oczywistych powodów nie będą mieć zastosowania, natomiast zasadnie Wojewódzki Sąd Administracyjny uznał, iż w odniesieniu do umów konsumenckich, a taką zawarł "P." S.A. z Grzegorzem K., dokonanie przelewu bez zgody dłużnika jest sprzeczne z art. 385[3] pkt 5 Kc.
Przepis ten nawiązuje wprawdzie do postanowień umownych nakazując w razie wątpliwości uważać za niedozwolone postanowienia umowne te, które zezwalają kontrahentowi konsumenta na przeniesienie praw i przekazanie obowiązków, wynikających z umowy bez zgody konsumenta, lecz odnosi się to tym bardziej do czynności dokonywanych bez takiej zgody.
Skoro więc nie można zezwolić przedsiębiorcy na zawarcie we wzorach umownych lub umowie zawieranej z konsumentem postanowienia zezwalającego na przeniesienie bez jego zgody praw i obowiązków, to tym bardziej za naruszające prawo należy uznać dokonywanie takich czynności bez zgody konsumenta.
Zastosowanie przez Sąd w tym przypadku zasady wnioskowania a maiori ad minus należy uznać za w pełni uzasadnione.
Z uwagi na treść zawartej umowy przelewu, a zwłaszcza jej par. 5, zawierającego zobowiązanie Spółki "P." do wysłania dłużnikom w imieniu zbywcy pisemnego zawiadomienia o przelewie wierzytelności, zasadnie Sąd uznał, iż dokonana cesja wiąże się zarówno z przeniesieniem prawa jak i przeniesieniem obowiązków, a zatem mieści się w przepisie art. 385[3] pkt 5 Kc.
Oceniając legalność zaskarżonej decyzji Generalnego Inspektora, Sąd wyraźnie podkreślił, iż nie ocenia ważności czy skuteczności umowy przelewu, lecz dokonuje oceny zgodności z prawem decyzji, orzekającej o obowiązku usunięcia danych osobowych strony umowy konsumenckiej, uzyskanych w sposób naruszający prawo.
Wobec tego, że strona skarżąca powoływała się na przepis art. 509 par. 1 Kc, jako legalizujący przetwarzanie danych, Sąd dokonał wykładni tego przepisu w kontekście stosowania go do umów konsumenckich, po dokonanej ustawą z dnia 2 marca 2000 r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny /Dz.U. nr 22 poz. 271/ nowelizacji przepisu art. 385[1] par. 1 i art. 385[3] Kc.
Naczelny Sąd Administracyjny w składzie rozpoznającym niniejszą sprawę, podziela pogląd wyrażony w zaskarżonym wyroku, iż przepis art. 509 par. 1 Kc ze względu na regulację zamieszczoną w art. 385[3] pkt 5 Kc, w odniesieniu do umów konsumenckich nie może stanowić podstawy przetwarzania danych osobowych konsumentów uzyskanych bez ich zgody.
Zasadność tego stanowiska znajduje potwierdzenie w komentarzu do Kodeksu cywilnego, w którym stwierdza się, iż akceptowanie z góry /art. 509 i art. 519 par. 2 pkt 2/ przyszłego przeniesienia przez przedsiębiorcę wynikających z konsumenckiej umowy praw, a zwłaszcza przekazanie obowiązków naraża konsumenta na nieoczekiwaną, dokonaną w nieprzewidywalnej dla niego chwili zmianę osoby odpowiedzialnej z tytułu kontraktowej odpowiedzialności odszkodowawczej lub z tytułu rękojmi, co może znacznie pogorszyć sytuację konsumenta. /Komentarz do Kodeksu cywilnego W-wa 2002 r. Wydawnictwo Prawnicze LexisNexis Księga trzecia. Zobowiązania t. I str. 634/.
Oceniając stosowanie przez Generalnego Inspektora przepisu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, Sąd pierwszej instancji właściwie zinterpretował ten przepis stwierdzając, że nie mógł w tej sprawie stanowić podstawy przetwarzania danych osobowych Grzegorza K., będącego strona umowy konsumenckiej.
Powołany przepis zezwala na przetwarzanie danych tylko wówczas, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych, albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Z dokumentów znajdujących się w aktach sprawy w postaci pism Grzegorza K., jego korespondencji z Biurem Rzecznika Praw Obywatelskich i Urzędem Ochrony Konkurencji i Konsumentów wynika, iż składał on reklamacje kwestionując istnienie swego zobowiązania, jednakże stanowisko obu Spółek, z których "P." S.A. uchylił się od odpowiedzi na reklamację zasłaniając się upływem 12 miesięcy, zaś Spółka "P." zażądała zapłaty całej sumy, stawia go w sytuacji, w której nie może dochodzić swoich racji, bowiem żądna ze Spółek będących stronami przelewu nie podjęła czynności w celu rozpatrzenia zarzutów i wyjaśnienia sprawy.
Zasadnie zatem Sąd przyjął, iż w okolicznościach tej sprawy - którym dał wyraz Generalny Inspektor w szczegółowym uzasadnieniu decyzji - przelew wierzytelności bez zgody Grzegorza K. naruszył jego prawa.
Sytuację tę ze względu na przedmiot, który stanowiła umowa o świadczenie usług telekomunikacyjnych, następnie rozwiązana, zasadnie oceniono w aspekcie pogorszenia sytuacji strony umowy konsumenckiej, będącej właścicielem danych osobowych.
Trafnie w zaskarżonej decyzji Generalny Inspektor powołuje się na opinię Prezesa Urzędu Ochrony Konkurencji i Konsumentów, wydaną dla potrzeb tej sprawy, że praktyka polegająca na zbywaniu firmom windykacyjnym wierzytelności wobec konsumentów zmniejsza gwarancje i prawa przysługujące konsumentom, zaś zobowiązanie konsumenta staje się niemal zobowiązaniem abstrakcyjnym. W okolicznościach tej sprawy, w której na pisma skarżącego udzielono informacji o przekazaniu sprawy "do działu windykacji bezpośredniej, czego następstwem będzie wizyta regionalnych windykatorów celem wyegzekwowania długu" organ administracji prawidłowo ocenił, iż wskutek przelewu wierzytelności doszło do naruszenia interesów konsumenta, a w konsekwencji do sprzecznego z prawem przetwarzania jego danych osobowych.
Na poparcie tej tezy, organ przywołał pogląd prof. Ewy Łętowskiej, według której pojęcie rażącego naruszenia prawa nie może być sprowadzone do wymiaru czysto ekonomicznego. Należy bowiem uwzględnić niewygodę organizacyjną, mitręgę, stratę czasu, nierzetelność traktowania, wprowadzenie w błąd, a także naruszenie prywatności konsumenta /E. Łętowska - Prawo umów konsumenckich - W-wa 2002 r. str. 341/.
W tym kontekście użyte przez Sąd określenie o dopuszczalności przelewu wierzytelności pod warunkiem, że nie może nastąpić pogorszenie sytuacji właściciela danych, odpowiada treści normatywnej zawartej w art. 23 ust. 1 pkt 5 ustawy.
Odnosząc się do zarzutu naruszenia przepisu art. 18 ust. 1 ustawy o ochronie danych osobowych przez Sąd i Generalnego Inspektora, należy odmówić mu trafności.
Przepis ten przewiduje uprawnienie Generalnego Inspektora do wydania decyzji w przypadku naruszenia przepisów o ochronie danych osobowych, nakazującej przywrócenie stanu zgodnego z prawem m.in. przez usunięcie danych osobowych /art. 18 ust. 1 pkt 6/.
W ustalonych przez organ i Sąd okolicznościach, przepis ten miał pełne zastosowanie wobec przekazania danych z naruszeniem przepisu art. 23 ust. 1 pkt 2 i 5 ustawy o ochronie danych osobowych.
Wprawdzie Generalny Inspektor w zaskarżonej decyzji wypowiadał się o ważności lub skuteczności umowy, lecz Sąd w uzasadnieniu zaskarżonego wyroku dał wyraz temu w jakim zakresie jest uprawniony rozpoznać tę sprawą Generalny Inspektor i w jakim zakresie podlega kognicji Sądu.
W świetle wyraźnych stwierdzeń i konsekwentnych wywodów Sądu, nie można postawić zarzutu, że przedmiotem kontroli sądu administracyjnego była ocena ważności umowy przelewu., zastrzeżona dla sądu powszechnego lub w niektórych przypadkach dla Prezesa UOKiK.
W okolicznościach tej sprawy /w której strony nie wystąpiły do Sądu powszechnego o rozstrzygnięcie kwestii ważności umowy cywilnoprawnej/ brak było podstaw do stosowania przez organ przepisu art. 97 par. 1 pkt 4 Kpa, bowiem ocenie organu i Sądu administracyjnego nie podlegała ważność umowy przelewu, lecz legalność przetwarzania danych w oparciu o przepisy ustawy o ochronie danych osobowych.
Z powyższych względów uznając, iż wyrok Sądu nie narusza prawa, Sąd oddalił skargę kasacyjną na podstawie art. 184 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi /Dz.U. nr 153 poz. 1270 ze zm./ jako niezawierającą usprawiedliwionych podstaw.