(I OPS 2/05)
Naczelny Sąd Administracyjny /.../ po rozpoznaniu w dniu 6 czerwca 2005 r. przy udziale Prokuratora Prokuratury Krajowej /.../ na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej /.../ Spółki Akcyjnej w Warszawie od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 11 marca 2004 r. sygn. akt. II SA 2717/03 wydanego w sprawie ze skargi /.../ Spółki Akcyjnej w Warszawie na decyzje Generalnego Inspektora Ochrony Danych Osobowych z dnia 13 czerwca 2003r. Nr GI-DEC-DS-97/03/338,399 w przedmiocie przetwarzania danych osobowych
1) uchyla zaskarżony wyrok,
2) uchyla zaskarżoną decyzje,
3) zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącego /.../ Spółki Akcyjnej w Warszawie kwot 730 (sięedemset trzydzieści) zł tytułem zwrotu kosztów postępowania, w tym 480 (czterysta osięemdziesięąt) zł tytułem zwrotu kosztów postępowania kasacyjnego.
Wojewódzki Sad Administracyjny w Warszawie zaskaronym wyrokiem oddalił
skarg /.../ S.A. w Warszawie na decyzj Generalnego Inspektora Ochrony Danych Osobowych z dnia 13 czerwca 2003 r. nr GI-DEC-DS-97/03/338,339, który organ utrzymał w mocy swą poprzednią decyzję z dnia 17 stycznia 2003 r. nakazującą /.../ S.A. nieudostepnianie danych osobowych abonenta AB, przetwarzanych w związku z przelewem wierzytelności bez spełnienia warunków określonych w art. 3851
§ 1 w zw. z art. 3853 pkt 5 Kodeksu cywilnego, tj. bez zgody abonenta. W uzasadnieniu wyroku Sąd podzielił ustalenia i stanowisko Generalnego Inspektora.
Organ ustalił, ze dnia 14 maja 1999 r. została zawarta pomiędzy AB, a S.A. umowa o świadczenie usług telekomunikacyjnych, nastpnie rozwiązana dnia 7 lipca 2000 r., bez uregulowania wynikających z niej należności.
W dniu 24 czerwca 2002 r. S.A. zawarła umow o przelew ze Sp. z o.o. z sięedzibą w Pile, która dotyczyła równie wierzytelności AB i w wykonaniu tej umowy udostępniła tej Spółce jego dane osobowe. Jako podstawa udostępnienia danych osobowych wskazany został przepis art. 509 i nast. Kodeksu cywilnego.
Pismem z dnia 2 września 2002 r. Prezes Urzdu Ochrony Konkurencji i Konsumentów poinformował Generalnego Inspektora, że w jego opinii cesja długu abonenta będącego konsumentem pomiędzy przedsiębiorcą (kontrahentem konsumenta) a firmą windykacyjną jest dopuszczalna jedynie za zgodą konsumenta, w przeciwnym razie przyjście dopuszczalności takiej cesji na podstawie art. 3851 § 1 Kodeksu cywilnego spełnia ogólne przesłanki niedozwolonego postanowienia umownego. Wydając decyzję z dnia 17 stycznia 2003 r. Generalny Inspektor przyjął, że zgodnie z art. 23 ust. 1 pkt 1 ustawy z dnia 29 sięerpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 101, poz. 926, ze zm,), przetwarzanie danych jest dopuszczalne, gdy osoba, której dane dotyczą wyrazi na to zgodę. S.A. poprzez zawarcie umowy z AB nabyła prawo do przetwarzania jego danych osobowych w granicach określonych postanowieniami tej umowy i w celu jej realizacji, jak równie w celu dochodzenia ewentualnych roszczeń z tytułu niewłaściwego wykonania tej umowy. W ocenie organu wskazana przez S.A. przesłanka z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 509 Kodeksu cywilnego nie stanowi podstawy prawnej dla udostępnienia danych osobowych Spółce z o.o. w sytuacji, gdy AB nie wyraził na to zgody.
Organ powołał się przy tym na treść art. 3581 § 1 i art. 3853 pkt 5 Kodeksu cywilnego prezentując pogląd, że niedopuszczalne jest udostępnienie osobom (podmiotom) trzecim przez S.A., w drodze przelewu wierzytelności, danych osobowych AB wyłącznie na podstawie art. 509 Kodeksu cywilnego. Takie działanie, niepoprzedzone jego zgodą, przyjmuje bowiem charakter niedozwolonego postanowienia umownego, o którym mowa w art. 3853 pkt 5 Kodeksu cywilnego, te zaś zgodnie z art. 3851 § 1 Kodeksu nie są dla konsumenta wiążące.
We wniosku o ponowne rozpatrzenie sprawy S.A. zarzuciła niewłaściwą wykładni przepisów Kodeksu cywilnego i ustawy o ochronie danych osobowych wywodząc, i podstaw do przetwarzania danych stanowiły przepisy art. 23 ust 1 pkt 2 i 5 tej ustawy, stąd te brak było ustawowej przesłanki do zastosowania środków przewidzianych w art. 18 ustawy. Zdaniem tej Spółki podstaw przetwarzania danych osobowych stanowił w odniesięeniu do tego administratora danych art. 23 ust 1 pkt 5 ustawy, dopuszczający przetwarzanie danych, gdy jest to niezbdne do wypełnienia prawnie usprawiedliwionych celów administratorów danych lub osób trzecich, którym dane te są przekazywane, a przetwarzanie ich nie narusza praw i wolności osoby, której dane dotyczą.
Windykacj naleności należy uznać za prawnie usprawiedliwiony cel. Zdaniem S.A., organ naruszył take przepisy art. 3851 § 1, art. 3853 pkt 5 i art. 509 Kodeksu cywilnego, gdy brak jest podstaw do stwierdzenia, że stosunkom zobowiązaniowym z udziałem konsumentów ustawodawca nadal charakter szczególny (rozumiany jako lex specialis) i w odniesięeniu do nich wyłączone są inne przepisy Kodeksu. Brak jest take przesłanek do uznania, że istnieją szczególne, właściwości zobowiązania w rozumieniu art. 509 § 1 in fine Kodeksu, które przesądzały o zakazie dokonywania przelewu wierzytelności, przysługującej przedsiębiorcy w stosunku do konsumenta.
Zmiana podmiotowa w zakresięe osoby wierzyciela w odniesięeniu do ściśle określonej wierzytelności pieninej nie powoduje przekształcenia stosunku zobowiązaniowego w takim stopniu, który mógłby uzasadniać zastosowanie zakazu przenoszenia wierzytelności, ani te nie powoduje po stronie dłunika (konsumenta) obciąeń i trudności tego rodzaju, że z punktu widzenia jego interesów naleałoby takiej czynności zakazać.
Nie mona zatem uznać, że dokonanie przelewu naruszałoby interesy konsumenta, a naruszenie to miałoby charakter raący. Spółka twierdziła take, i naruszono art. 105 § 1 k.p.a., gdy postępowanie stało się bezprzedmiotowe, bowiem w dacie wydania decyzji S.A. nie przysługiwała żadna wierzytelnośc w stosunku do AB, stąd nie ma przedmiotu, który mógłby podlegać przelewowi bez jego zgody; nie ma wic uzasadnienia zakaz przekazania jakiemukolwiek podmiotowi danych osobowych AB.
W decyzji ostatecznej utrzymującej w mocy decyzj z dnia 17 stycznia 2003 r. organ podtrzymał poprzednią argumentacj, stwierdzając nadto, że nie wystąpiła w tej sprawie żadna z okoliczności, o których mowa w art. 105 § 1 k.p.a. uzasadniająca umorzenie
postępowania.
W uzasadnieniu tej decyzji obszernie odniósł się take do tego, że podstawy do udostępnienia danych osobowych nie może stanowić art. 23 ust 1 pkt 5 ustawy o ochronie danych osobowych, ponieważ Spółka Akcyjna, bez zgody konsumenta nie mogła dokonać przelewu wierzytelności. Organ przyznał, że sam przelew nie pogarsza sytuacji dłunika, jednake od chwili, gdy prawa wierzyciela zaczła wykonywać Spółka z o.o., raącemu pogorszeniu uległa jego sytuacja prawna. Pozostaje on niejako w zawieszeniu pomidzy S.A. a Spółką z o.o., stąd nie jest zasadne twierdzenie, że zmiana podmiotowa po stronie wierzyciela me naruszyła w sposób raący interesów AB.
Wojewódzki Sąd Administracyjny w Warszawie oddalając skarg S.A., w której powtórzono argumentacje i zarzuty z wniosku o ponowne rozpoznanie sprawy (rozbudowując je o dodatkowe rozwaania prawne), podzieli pogląd organu podkreślając jednake, i nie ocenia waności czy skuteczności umowy, do czego powołany jest sąd powszechny, lecz ocenia jedynie legalność przetwarzania danych osobowych, bowiem to należy do kompetencji Generalnego Inspektora Ochrony Danych Osobowych i sądu administracyjnego.
Odnosząc się do przesłanki przetwarzania danych osobowych, wskazanej w art. 23 ust 1 pkt 2 ustawy o ochronie danych osobowych, a wic gdy zezwalają na to przepisy prawa, Sąd stwierdził, że art. 509 Kodeksu cywilnego takiej dyspozycji nie zawiera. Stanowi on jedynie o przelewie wierzytelności, zatem nie może być samoistną podstawą przekazania danych osobowych. Rozwaając przesłank z art. 23 ust 1 pkt 5 ustawy, a wiec gdy jest to niezbdne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust 2 lub osób trzecich, którym są przekazywane te dane, a przetwarzanie ich nie narusza praw i wolności osoby, której dane dotyczą, Sąd stwierdził, i umowa o przelewie wierzytelności, jak i działalność windykacyjna, mogą powodować, że powstaje usprawiedliwiony cel administratora. Nie może jednak nastąpić pogorszenie sytuacji osoby, której dane dotyczą.
Oceniając sytuacje prawną kontrahenta strony umowy konsumenckiej należy badać, czy nie nastąpiło pogorszenie jego sytuacji prawnej w świetle przepisów dotyczących umów konsumenckich. Sąd przyjął, że art. 509 Kodeksu cywilnego pozwala na takie przelewy bez zgody dłunika, pod warunkiem, ze nie sprzeciwia się to ustawie, zastrzeeniu umownemu albo właściwości zobowiązania. W przypadku umów konsumenckich dokonanie takiego przelewu bez zgody dłunika sprzeciwia się ustawa.
Art. 3853 pkt 5 Kodeksu wskazuje na to, że niedozwolonym postanowieniem umownym jest takie postanowienie, które pozwala kontrahentowi konsumenta na przeniesięenie praw i obowiązków wynikających z umowy bez zgody konsumenta. Oznacza to, że takie postanowienie nieuzgodnione z nim indywidualnie, jeeli byłoby zawarte we wzorcu umownym nie wiąże go. W konsekwencji takie postanowienie, łącząc je z treścią art. 3853 pkt 5 Kodeksu, musięałoby być określone w samej umowie indywidualnie uzgodnionej z konsumentem. Skoro nie mona nawet we wzorcu umownym wyłączyć zgody konsumenta, to zakazane jest czynić wicej, a wic dokonywać takich czynności bez zgody konsumenta. W świetle art. 3853 pkt 5 Kodeksu ie można zezwolić kontrahentowi na zawarcie we wzorcach umownych postanowienia zezwalającego na przeniesięenie praw i obowiązków. Zdaniem Sądu dokonana cesja wierzytelności wiąże się zarówno z przeniesięeniem praw, jak i obowiązków, co potwierdza art. 513 § 2 Kodeksu i treść umowy przelewu, w której nabywca zobowiązał się do wysłania dłunikowi w imieniu zbywcy pisemnego zawiadomienia o przelewie.
Odnosząc się do zarzutu bezprzedmiotowości decyzji Generalnego Inspektora, Sąd dokonał oceny tej przestanki z uwzględnieniem treści art. 105 § 1 k.p.a. i stwierdził, że nie zachodziły w tej sprawie przesłanki bezprzedmiotowości ani z przyczyn podmiotowych, ani przedmiotowych. Natomiast po dokonaniu cesji wierzytelności S.A. nadal dysponowała danymi osobowymi AB; istniały zatem władcze kompetencje do orzekania w drodze decyzji na podstawie art. 18 ustawy o ochronie danych osobowych. Organ zakazał przekazywania danych osobowych w związku z przelewem wierzytelności bowiem wiązał to z zakresem stwierdzonego naruszenia.
Z punktu widzenia art. 18 tej ustawy nie jest zaś istotne, czy takie czynności byty prawnie skuteczne oraz czy mogły być takie w przyszłości. należy bowiem odrónić skuteczność samej umowy od przekazania danych osobowych.
W przypadku przekazania danych bez podstawy prawnej - zdaniem Sądu - nie jest zasadnym umarzanie postępowania, gdy poza zakresem kontroli Generalnego Inspektora pozostawałby cały obsza faktycznych działań administratora danych. Treść decyzji nie mogła być inna, gdy nakazy lub zakazy Generalnego Inspektora muszą być konsekwencją stwierdzonych naruszeń, w odniesięeniu do przetwarzania danych osobowych AB.
Skarg kasacyjną wniosła skarąca S.A., zaskarając wyrok w całości i wskazując nastpujące podstawy kasacyjne:
- naruszenie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych przez przyjcie, że art. 509 § 1 Kodeksu cywilnego - z uwagi na brzmienie art. 3853 pkt 5 i art. 513 § 2 Kodeksu - nie jest przepisem prawa zezwalającym na przetwarzanie danych, a tym samym błedną wykładni powyszych przepisów i niewłaściwe zastosowanie art. 3853 pkt 5 Kodeksu;
- naruszenie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, poprzez
przyjcie, że skarąca otrzymując i przetwarzając dane osobowe dla realizacji prawnie usprawiedliwionego celu, naruszyła prawa i wolności osoby, której dane dotyczą, a tym samym błędną wykładni tego przepisu;
- naruszenie art. 18 ust. 1 ustawy o ochronie danych osobowych, poprzez przyjcie, że Generalny Inspektor miał prawo wydać decyzj nakazującą uzyskiwanie zgody klienta na przelew wierzytelności, w sytuacji, gdy kompetencje organu ograniczają się tylko do sfery przetwarzania danych osobowych, a nie do sfery czynności cywilnoprawnych, a tym samym błędną wykładni tego przepisu i jego niewłaściwe zastosowanie.
W skardze kasacyjnej zawarto wniosek o uchylenie wyroku i przekazanie sprawy Wojewódzkiemu Sądowi Administracyjnemu do ponownego rozpoznania, ewentualnie o zmian wyroku w całości przez uchylenie obu decyzji Generalnego Inspektora (art. 176 w zw. z art. 188 ustawy Prawo o postępowaniu przed sadami administracyjnymi) i zasadzenie kosztów postępowania.
W uzasadnieniu skargi kasacyjnej podniesięono, że naruszenie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, polega na przyjciu, że działanie skarącej Spółki nie znajduje oparcia w przepisięe zezwalającym na przetwarzanie danych, podczas gdy przepisem takim jest przepis art. 509 § 1 Kodeksu cywilnego. Zdaniem skarącej Spółki, zezwolenie takie w przepisięe prawa nie musię wyraźnie upowanić podmiot do przetwarzania danych osobowych. Wystarczy, że zezwala on na wykonanie określonej czynności, do której niezbdne jest przetwarzanie danych osobowych.
Odesłanie z art. 23 ust 1 pkt 2 odnosię się do całego systemu prawnego, w tym przepisów prywatno-prawnych. należy wiec traktować je jako odsięanie do przepisów wyznaczających prawa i obowiązki administratora danych dla wykonania których nastpuje przetwarzanie przez niego danych osobowych. W poszczególnych ustawach zastosowano rone rozwiązania; w czści wyraźnie przyznano uprawnienie do przetwarzania danych, inne określają jedynie sposób zachowania się, z którym związane jest przetwarzanie danych.
Wnoszący skarg kasacyjną podniósł take, że na takie rozumienie przepisu art. 23 ust 1 pkt 2 ustawy wskazuje art. 7 lit. c dyrektywy UE nr 95/46 o ochronie osób fizycznych w związku z przetwarzaniem ich danych osobowych oraz o swobodnym przepływie tych danych. Zezwala on na przetwarzanie danych w sytuacji, gdy jest to konieczne w celu wykonania wynikającego z prawa zobowiązania, któremu administrator danych podlega.
Intencją dyrektywy jest wic wskazanie jako podstawy prawnej przetwarzania danych przepisów prawa, z których konieczność przetwarzania wynika równie pośrednio. Nie ma
racjonalnych przesłanek by treść powołanego przepisu ustawy interpretować odmiennie ni nakazuje to dyrektywa. Zdaniem skarącego znaczenie w tej sprawie dla zastosowania art. 23 ust. 1 pkt 2 ustawy, ma art. 509 § 1 Kodeksu cywilnego.
Wynika z niego zasada, że wierzytelność jest zbywalna i może być przedmiotem przelewu. Przelew wierzytelności konsumenckiej był w tej sprawie dopuszczalny, bowiem nie istnieje adna z negatywnych przesłanek, określonych w art. 509 § 1 Kodeksu. błędnie organ i Sąd przyjli, że w przypadku umów konsumenckich przeszkodą jest art. 3853 pkt 5 Kodeksu, stanowiący, że niedozwoloną może być klauzula w umowie z konsumentem dopuszczająca przeniesięenie praw i obowiązków z tej umowy na inny podmiot, bez zgody konsumenta.
Błąd polega na tym, ze:
1) umowa z konsumentem nie zawierała adnych postanowień odnoszących się docesji wierzytelnoś i, a przepis art. 3851 Kodeksu odnosię się do klauzul zawartych w umowach konsumenckich,
2) gdyby klauzula o przeniesięeniu wierzytelności była zawarta w umowie z konsumentem, to nie mogłaby być oceniana jako wadliwa w świetle art. 3853 pkt 5 Kodeksu.
Jeeli konsument unika zapłaty, a w ocenie przedsiębiorcy, jedynym i korzystnym rozwiązaniem dla niego bdzie zbycie wierzytelności lub jej dochodzenie przez nabywc wierzytelności (działalność polegająca na obrocie wierzytelnościami jest przecie zgodna z prawem), to, zdaniem skarącej, trudno odmówić mu takiego prawa, tym bardziej i w żadnym stopniu nie uderza to w prawa konsumenta ani nie podwaa przyznanych mu gwarancji uczciwego handlu.
Przy ocenie, jakie działania administratora danych mieszczą się w ramach usprawiedliwionego interesu oraz naruszenia praw i wolności (spełnienie przesłanek z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych), należy zwrócić uwag, i wedle ustawodawcy, nawet marketing usług (towarów) administratora spełnia powysze kryteria. Trudno zatem uznać, że może naruszać prawa i wolności osoby, bdącej dłunikiem, podejmowanie wobec niej działań słuących windykacji naleności. W tej sytuacji, przetwarzanie danych znajduje take oparcie w przesłance, o której mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.
Uzasadniając zarzut naruszenia art. 18 ustawy o ochronie danych osobowych skarący stwierdził, że zgodnie z tym przepisem Generalny Inspektor jest uprawniony do wydania decyzji w przypadku naruszenia przepisów o ochronie danych. Tymczasem organ powołując się na niedopuszczalność stosowania art. 509 § 1 Kodeksu, ze wzgldu na art. 3853 pkt 5 Kodeksu dopuścił się de facto rozstrzygnicia w zakresięe waności umowy przelewu, co należy do sądu powszechnego, a niektórych wypadkach do Prezesa Urzdu Ochrony Konkurencji i Konsumentów. Jeśli rozstrzygnicie w sprawie w sprawie z zakresu z zakresu danych osobowych (bdącej sprawą administracyjną) zaley od uprzedniej kontroli treści danej czynności przez inny organ, postępowanie administracyjne powinno ulec zawieszeniu na podstawie art. 97 § 1 pkt 4 k.p.a.
W przedmiotowej sprawie organ powołuje się na stanowisko Prezesa UOKiK, jednak nie może ono być potraktowane jako rozstrzygniecie zagadnienia wstpnego przez inny organ. Rozstrzygając wiec o niedopuszczalności przelewu wierzytelności bez zgody konsumenta, Generalny Inspektor wykroczył poza przyznane mu w art. 18 ustawy kompetencje. Ten sam błąd popełnił Sąd uznając, i ten organ mógł w przedmiotowej sprawie rozstrzygnąć zagadnienie wykraczające poza jego właściwość.
W odpowiedzi na skarg kasacyjną Generalny Inspektor wniósł o jej oddalenie, a odnosząc się szczegółowo do jej zarzutów, opowiedział się w pełni za stanowiskiem zajtym w zaskaronym wyroku.
W toku rozpoznawania skargi kasacyjnej skład orzekający NSA, na podstawie art. 187 § 1 ustawy z 30 sięerpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi, przedstawił do rozstrzygnicia przez skład sięedmiu sędziów zagadnienie prawne wyrażone w pytaniu, czy w przypadku przetwarzania danych osobowych abonenta, będącego stroną umowy o świadczenie usług telekomunikacyjnych, w związku z zawartą umową o przelew wierzytelności, oceny legalności podstawy przetwarzania danych osobowych, wskazanej w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych mona dokonywać w oparciu o regulacje zamieszczone w art. 3851 § 1, w zw. z art. 3853 pkt 5 Kodeksu cywilnego.
Przedstawiając zagadnienie prawne skład orzekający miał na uwadze take wyroki Naczelnego Sądu Administracyjnego z dnia 12 października 2004 r., sygn. akt OSK 769/04 i z dnia 16 grudnia 2004 r., sygn. akt OSK 829/04. W pierwszym z tych wyroków Sąd wyraził pogląd, że w odniesięeniu do umów konsumenckich, dokonanie przelewu wierzytelności bez zgody dłunika bdącego abonentem jest sprzeczne z art. 3853 pkt 5 Kodeksu cywilnego, a wobec tego przepis art. 509 § 1 tego Kodeksu nie może stanowić uzasadnienia przetwarzania danych osobowych na podstawie art. 23 ust 1 pkt 5 ustawy o ochronie danych osobowych.
W drugim z powołanych wyroków Sąd zajął natomiast stanowisko, że nie jest konieczne ocenianie czy zawarcie umowy przelewu wierzytelności było dopuszczalne, ponieważ wystarczającą przesłanką na podstawie której administrator danych może udostępnić dane abonenta bez jego zgody, jest przepis art. 23 ust 1 pkt 5 ustawy o ochronie danych osobowych i należy jedynie rozwayć, czy w wyniku udostępnienia danych osobowych abonenta nastąpiło naruszenie jego praw i wolności z uwzględnieniem katalogu tych praw określonych w Konstytucji.
Naczelny Sąd Administracyjny w składzie sięedmiu sędziów, na podstawie art. 187 § 3 Prawa o postępowaniu przed sądami administracyjnymi, przejął spraw do rozpoznania i zważył, co nastpuje:
W myśl art. 174 ustawy z dnia 30 sięerpnia 2002 r.- Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270, ze zm.) skarg kasacyjna. mona oprzeć na nastpujących podstawach:
1) naruszeniu prawa materialnego przez błędną jego wykładni lub niewłaściwe zastosowanie;
2) naruszeniu przepisów postępowania, jeeli uchybienie to mogło mieć istotny wpływ na wynik sprawy.
Naczelny Sąd Administracyjny jest związany podstawami skargi kasacyjnej, bowiem według art. 183 § 1 ustawy - p.p.s.a. rozpoznaje spraw w granicach skargi kasacyjnej, biorąc z urzdu pod uwag jedynie niewaność postępowania.
Związanie NSA podstawami skargi kasacyjnej wymaga prawidłowego ich określenia w samej skardze, co oznacza konieczność wskazania konkretnych przepisów prawa, którym - zdaniem skarącego - uchybił sąd, uzasadnienia zarzutu ich naruszenia, a w razie zgłoszenia zarzutu naruszenia prawa procesowego - wykazania dodatkowo, że to wytknite uchybienie (naruszenie przepisu o postępowaniu) mogło mieć istotny wpływ na wynik sprawy.
Rozpoznanie podniesięonych w skardze kasacyjnej zarzutów wymaga przede wszystkim dokonania wyjaśnienia rzeczywistej treści przepisów art. 23 ust. 1 pkt 2 i 5 ustawy o ochronie danych osobowych, w kontekście pozostałych przepisów tej ustawy, z uwzględnieniem dyrektyw Unii Europejskiej, a w szczególności dyrektywy Parlamentu Europejskiego i Rady 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresięe przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L281 z dnia 23 listopada 1995 r., załącznik A).
W okolicznościach tej sprawy istota sporu prawnego dotyczy tego, czy wskazane przepisy art. 23 ust. 1 pkt 2 i 5 ustawy o ochronie danych osobowych, pozwalały skarącemu, jako administratorowi danych osobowych, na ich przetwarzanie przez udostępnienie innemu podmiotowi bez zgody osoby, której dane te dotyczą.
Wojewódzki Sad Administracyjny w Warszawie w zaskaronym wyroku, dokonując oceny legalności zaskaronej decyzji, podzielił stanowisko organu, że przepisy te nie mogły być podstawą udostępnienia danych bez zgody osoby, której dane te dotyczą. Stanowisko to jest konsekwencją przyjcia poglądu, że w rozpoznawanej sprawie, z uwagi na przepis art. 3853 pkt 5 Kodeksu cywilnego, ogólny przepis art. 509 § 1 tego Kodeksu nie uzasadnia dokonania przelewu wierzytelności na rzecz innego podmiotu, jeeli dłunikiem jest konsument, który me wyraził zgody na przelew, a tym samym jest niedopuszczalne udostępnienie danych osobowych konsumenta temu podmiotowi.
Inaczej mówiąc, skoro niedozwolony jest przelew takiej wierzytelności na rzecz innego podmiotu to tym samym nie mona w ogóle mówić o istnieniu podstaw do przekazania temu podmiotowi danych osobowych konsumenta, z powołaniem się na przepisy ustawy o ochronie danych osobowych. Mówiąc ogólnie sąd pierwszej instancji wyraził take pogląd, który sprowadza się do tego, że działania kontrahenta konsumenta, który jest administratorem jego danych osobowych, nie mogą prowadzić do pogorszenia sytuacji konsumenta (osoby, której dane dotyczą).
Analizując przepis art. 23 ustawy o ochronie danych osobowych należy stwierdzić, że przepis ten pozwala na przetwarzanie danych osobowych (co obejmuje udostępnianie danych osobowych) w ściśle określonych przypadkach. Przede wszystkim dozwolone jest przetwarzanie danych osobowych za zgodą osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 ustawy).
Ustawa zezwala na przetwarzanie danych take bez zgody osoby, której dane dotyczą w przypadkach określonych w art. 23 ust. 1 pkt 2 - 5, co ma słuyć zasługującym na ochron interesom administratora danych osobowych lub osób trzecich, bądź ze wzgldu na ochron interesu publicznego. W szczególności przekazanie danych osobowych bez zgody osoby, której dotyczą jest dopuszczalne, gdy jest to niezbdne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2) oraz gdy jest to niezbdne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych albo odbiorc danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5).
Przesłanka, o której mowa w art. 23 ust.1 pkt 2 odnosię się niewątpliwie do takich przypadków, gdy przepis prawa powszechnie obowiązującego określa uprawnienie lub obowiązek, których spełnienie nie jest moliwe bez udostępnienia danych osobowych.
Natomiast przesłanka, o której mowa w art. 23 ust 1 pkt 5 odnosię się wprost do administratora danych osobowych lub odbiorcy danych, którzy aby zrealizować prawnie dopuszczalne cele muszą udostępnić dane osobowe, pod warunkiem wszake, że nie naruszy to praw i wolności osoby, której dane dotyczą.
Już samo użycie określenia jeżeli jest to niezbdne wskazuje, że stosowanie tych przepisów wymaga nie tylko wykazania, że chodzi o realizowanie uprawnienia lub obowiązku wynikającego z przepisów prawa lub prawnie usprawiedliwionego celu, ale take dokonania oceny, czy dla legalizacji tego konieczne jest (jest niezbdne) przekazanie danych, pomimo że brak jest na to zgody osoby, której dane dotyczą.
Ocena ta, to wyważanie racji i eresów, z jednej strony osoby, której dane dotyczą, mającej objty ochroną prawną interes aby jej dane nie były przetwarzane bez jej zgody, a z drugiej strony administratora danych, który ma take objty ochroną prawną interes polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia, co w przypadku administratora danych, bdącego wierzycielem obejmuje jego prawo do uzyskania nalenego świadczenia od dłunika.
Unormowanie to oparte jest wic na załoeniu, że dochodzi do konfliktu interesów midzy interesem osoby, która ma prawo do ochrony swoich danych osobowych a interesem administratora tych danych, który ma prawo przetwarzać te dane, jeeli jest to konieczne do realizacji jego uprawnień wynikających z przepisów prawa lub prawnie usprawiedliwionego celu.
Wyważenie tych interesów jest warunkiem koniecznym przy stosowaniu art. 23 ustawy o ochronie danych osobowych, przy uwzględnieniu rangi tych interesów w realiach konkretnej sprawy. Jest to szczególnie wane, ponieważ konflikt ten dotyczy ochrony prywatności osoby, której dane są przetwarzane, a wic wartości, która ma szczególnie wysoką rang, take w systemie wartości konstytucyjnych.
Oznacza to, że w przypadku przetwarzania danych osobowych przez administratora danych, bez zgody osoby, której te dane dotyczą, w pierwszej kolejności konieczne jest ustalenie i rozwaenie, czy spełniona jest ustawowa przesłanka szczegółowa uzasadniająca przetwarzanie danych bez zgody osoby, której dane dotyczą, a nastpnie, jeeli przesłanka ta jest spełniona, ustalenie i rozwaenie wszystkich okoliczności koniecznych do wyraenia niezbdnej ochrony interesów osoby, której dane dotyczą oraz interesów administratora danych.
Tak te rozumiane są postanowienia powołanej dyrektywy 95/46/WE z dnia 24 października 1995 r. Przepis art. 7 lit. f dyrektywy dopuszcza przetwarzanie danych osobowych przez administratora, gdy jest to konieczne z punktu widzenia potrzeb wynikających z uzasadnionych interesów administratora lub osoby trzeciej, chyba że interesy te są podporządkowane interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą.
Oznacza to, że dyrektywa nakazuje wayć interesy obu stron w konkretnym przypadku i - co do zasady - dopuszcza przetwarzanie danych, które jest konieczne do realizacji prawnie usprawiedliwionych celów administratora, chyba że po dokonaniu porównania interesów obu stron okae się, że podstawowe prawa i wolności jednostki maja wikszą wag ni konkretny interes administratora.
W wyroku z dnia 14 września 2000 r.- The Queen przeciwko Ministrowi Rolnictwa Wielkiej Brytanii (Zb. Orz. 2000 r., s. I- 6751, załącznik A.1), dotyczącym wykładni art. 7 lit f dyrektywy Europejski Trybunat Sprawiedliwości podkreślił, że przepisy prawa krajowego powinny być interpretowane tak dalece, jak to moliwe, na podstawie brzmienia i celu dyrektywy, aby zapewnić realizacje tego celu. Celem tym jest ochrona prywatności, która powinna być rozpatrywana take w świetle art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. W ocenie Europejskiego Trybunału Sprawiedliwości przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą jest dopuszczalne, jeżeli:
a) ma podstaw w przepisięe prawa, który wyraźnie na takie przetwarzanie zezwala,
b) przetwarzanie (udostępnianie) danych jest niezbdne do zrealizowania uprawnienia lub spełnienia obowiązku określonego ustawą,
c) dane są przetwarzane tylko w takim zakresięe, w jakim jest to niezbdne do osięągnicia tych celów.
Rozstrzygając o legalności przetwarzania danych trzeba kadorazowo, waąc interesy stron, znaleźć równowag miedzy prawami i wolnościami jednostki z jednej strony a prawnie usprawiedliwionym interesem osoby trzeciej z drugiej strony. Oznacza to obowiązek zapewnienia właściwej równowagi praw i interesów stron, w tym praw podstawowych.
Z uzasadnienia zaskaronego wyroku wynika, że - zdaniem Sądu podstawy przetwarzania danych nie mógł stanowić przepis art. 23 ust. 1 pkt 5 ustawy, ponieważ jest niedopuszczalna cesja wierzytelności osoby, której dane dotyczą, gdy osoba ta jest konsumentem, a bez zgody konsumenta nie mona przenieść praw i przekazać obowiązków wynikających z umowy.
Skoro bowiem stosownie do przepisu art. 3853 pkt 5 Kodeksu cywilnego nie mona nawet we wzorcu umownym wyłączyć zgody konsumenta na przeniesięenie praw i obowiązków wynikających z umowy, to ,,zakazane jest czynić wicej, zatem dokonywać takich czynności w ogóle bez zgody konsumenta. Stanowisko to sprowadza się wic do tego, że przetwarzanie danych bez zgody osoby, której dane dotyczą, na podstawie art. 23 ust. 1 pkt 5 ustawy jest w ogóle niedopuszczalne, ponieważ administrator danych nie realizuje prawnie usprawiedliwionego celu w rozumieniu tego przepisu, gdy zakazane jest dokonywanie przelewu wierzytelności konsumenta bez jego zgody.
W skardze kasacyjnej trafnie podniesięono, że takie rozumienie przepisu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych w związku z art. 509 i 3853 pkt 5 Kodeksu cywilnego stanowi naruszenie tych przepisów. Tak kategoryczne i jednoznaczne stanowisko, jak to przyjął Sąd w zaskaronym wyroku, podzielając w tym zakresięe stanowisko organu wyrażone w zaskaronej decyzji, nie wynika z przepis6w art. 3853 Kodeksu cywilnego Jeeli uwzględni się take przepis art. 3851 § 1 Kodeksu cywilnego, mona jedynie przyjąć, że postanowienie umowne zawarte we wzorcu umownym zezwalające kontrahentowi konsumenta na przelew wierzytelności, może być uznane za niedozwolone, jeeli kształtuje prawa i obowiązki konsumenta w sposób sprzeczny z dobrymi obyczajami, raąco naruszając jego interesy.
Oznacza to, że równie przelew wierzytelności, w przypadku gdy umowa zawarta z konsumentem na podstawie wzorca umownego, nie zawiera takiej klauzuli, mógł być jedynie oceniany na podstawie przesłanek określonych w art. 3851
Kodeksu cywilnego.
Nie mona wic przyjąć z góry załoenia, że nie mona przenieść wierzytelności na osob trzecią, gdy dłunikiem jest konsument, bez zgody dłunika (art. 509 § I Kodeksu cywilnego), ponieważ sprzeciwiałoby się to ustawie (art. 3853
pkt 5 Kodeksu cywilnego). Na takim załoeniu zaś zostało oparte rozstrzygniecie organu oraz Sądu w zaskaronym wyroku.
W uzasadnieniu zaskaronego wyroku, Sąd stwierdza, że przedmiotem rozstrzygnicia w tej sprawie jest kwestia dotycząca legalności udostępniania danych osobowych, a nie ocena waności czy skuteczności umowy przelewu wierzytelności, ponieważ w tym zakresięe właściwy jest sąd powszechny, jednake Sąd dokonuje oceny, że z mocy art. 3853 pkt 5 Kodeksu cywilnego zakazane jest w ogóle dokonywanie takich czynności bez zgody konsumenta.
Nie mona równie sprowadzić stanowiska organu wyrażonego w uzasadnieniu zaskaronej decyzji do tego, że wypowiedzi na temat waności czy skuteczności umowy przelewu mają charakter tylko prawnych dywagacji, które nie są w pełni adekwatne do przedmiotowej sprawy, lecz stanowią wyraz opinii organu. Z uzasadnienia zaskaronej decyzji jednoznacznie wynika, że zdaniem organu zawarcie umowy przelewu wierzytelności bez zgody dłunika było prawnie niedopuszczalne, ponieważ dłunik jest konsumentem i na tej podstawie organ przyjął, że skarący nie realizuje prawnie usprawiedliwionego celu w rozumieniu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. należy przy tym zwrócić uwag, że organ naruszenia praw osoby, której dane są przetwarzane, dopatruje się nie tyle w samej instytucji prawnej przelewu wierzytelności, co w działaniach podejmowanych po zawarciu umowy przelewu przez nabywc wierzytelności (brak faktycznych moliwości wyjaśnienia z udziałem dłunika istnienia zobowiązania, stosowanie swoistych metod zmierzających do uzyskania świadczenia).
Przyjcie takiego załoenia przez organ, aprobowanego przez Sąd, jest wadliwe. Nie oznacza to jednak, że w sprawie administracyjnej nie jest moliwe ocenianie znaczenia i skutków umowy dla potrzeb rozstrzygnicia administracyjnego, jeśli prawo administracyjne odsyła do prawa cywilnego.
W przypadku art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych takie odesłanie ma miejsce. Prawnie usprawiedliwiony cel, o którym mowa w tym przepisięe może być oparty take na przepisach prawa cywilnego. Za taki prawnie usprawiedliwiony cel ju sama ustawa uznaje dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej (art. 23 ust. 4 pkt 2).
Nie bez znaczenia przy ocenie, czy cel jest prawnie usprawiedliwiony są take przepisy prawa cywilnego, które słuą ochronie konsumentów. Czym innym jednak jest ocena, czy cel realizowany przez administratora danych osobowych jest prawnie usprawiedliwiony, w rozumieniu art. 23 ust. 1 pkt 5 ustawy, co należy do kompetencji organu rozpoznającego spraw administracyjną, a czym innym zanegowanie tego celu na podstawie stwierdzenia, że zawarcie określonej umowy w ogóle jest zakazane, co w tym przypadku wykracza poza ramy sprawy administracyjnej.
Należy z całą mocą podkreślić, że ustalenie, i administrator danych osobowych realizuje cel prawnie usprawiedliwiony nie może przesądzić o dopuszczalności przetwarzania danych osobowych (udostępniania tych danych innemu podmiotowi) bez zgody osoby, której dane dotyczą. Konieczne jest dokonanie oceny czy jest to niezbdne dla realizacji tego celu, a co najwaniejsze, dokonanie wywaenia interesów administratora danych i osoby, której dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP.
Z art. 1 ustawy wynika, że kady ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 ustawy, dopuszczalne jest tylko ze wzgldu na określone dobra i tylko w zakresięe i trybie określonym ustawą Realizacja prawnie usprawiedliwionego celu przez administratora danych w adnym razie nie może naruszać praw i wolności osoby, której dane dotyczą.
Dodać należy, i przepisy ustawy z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz. 424, ze zm.) regulują zasady i tryb udostępniania przez przedsiębiorców informacji gospodarczych, a w tym i danych osobowych osób fizycznych, dotyczących wiarygodności płatniczej innych przedsiębiorców i konsumentów, w szczególności danych o zwłoce w wykonywaniu zobowiązań pieninych osobom trzecim nieoznaczonym w chwili przeznaczenia tych danych do udostępnienia.
Przepisy tej ustawy dobitnie wskazują, że ochrona danych osobowych na podstawie ustawy o ochronie danych osobowych nie powinna być absolutyzowana, ponieważ jej przepisy muszą być stosowane i interpretowane łącznie z innymi przepisami ustawowymi słuącymi ochronie take innych wartości. Kierując się innymi od przedstawionego rozumieniem przepisu art. 23 ust 1 pkt 5 ustawy o ochronie danych osobowych. Sąd naruszył ten przepis i oddalił skarg, pomimo że takie samo wadliwe rozumienie tego przepisu było podstawą rozstrzygnicia w zaskaronej decyzji. Z tego wzgldu Naczelny Sad Administracyjny przyjmując, że wyrok został wydany z naruszeniem prawa materialnego, na podstawie art. 188 Prawa o postępowaniu przed sadami administracyjnymi uchylił zaskarony wyrok i rozpoznał skarg.
Uwzględniając skarg na podstawie art. 145 § 1 ust. 1 lit. a Prawa o postępowaniu przed sądami administracyjnymi Sąd uchylił zaskaroną decyzj ponieważ jest konieczne ponowne rozpoznanie sprawy przy uwzględnieniu oceny prawnej i wskazań wyej przedstawionych.
Naczelny Sąd Administracyjny nie podzielił zarzutu skargi kasacyjnej naruszenia art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, ponieważ przepis ten został prawidłowo zinterpretowany i zastosowany przez sąd pierwszej instancji. Zresztą skarący, od początku przytaczał jako uzasadnienie przekazania danych osobowych to, ze czynił to w celu dochodzenia roszczeń, co może być objęte unormowaniem art. 23 ust. 1 pkt 5 w związku z art. 23 ust 4 pkt 2 ustawy o ochronie danych osobowych, a nie przepisem art. 23 ust. 1 pkt 2 tej ustawy.
O kosztach postępowania Sad orzekł na podstawie art. 200 i 203 pkt 1 Prawa o postępowaniu przed sadami administracyjnymi i zasądził na rzecz skarącego od organu kwot 730 zł, która obejmuje zwrot kosztów postępowania kasacyjnego w kwocie 480 zł oraz zwrot wpisu od skargi i zastpstwa procesowego przed sadem pierwszej instancji.
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
