Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 60, art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w zw. z art. 12 pkt 2, art. 22, art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz art. 6 ust. 1, art. 28, art. 57 ust. 1 lit. a) i lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016 r. str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 r. str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani O. M., na przetwarzanie jej danych osobowych przez P. Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku

UZASADNIENIE

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pani O. M. (dalej także: „Skarżąca”) na nieuprawnione przetwarzanie jej danych osobowych przez D. Spółka z o.o. Spółka Komandytowo-Akcyjna (obecnie: P. Sp. z o.o.). (dalej także: „Spółka”), w związku z prowadzeniem wobec Skarżącej nieuprawnionej egzekucji z zadłużenia w stosunku do A. Sp. z o.o. Skarżąca wskazała, że zadłużenie w stosunku do A. Sp. z o.o. uległo przedawnieniu.

Wobec powyższego Skarżąca wniosła o przywrócenie w drodze decyzji administracyjnej stanu zgodnego z prawem poprzez zaprzestanie przetwarzania jej danych przez P. Sp. z o.o.

W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:

1. Na podstawie umowy sprzedaży wierzytelności z dnia […] czerwca 2014 r. A. Sp. z o.o. dokonała przelewu wierzytelności pieniężnych dłużników wynikające z zawartych umów sprzedaży produktów na rzecz D. Spółka z o.o. Spółka Komandytowo-Akcyjna, w tym wierzytelności dotyczącej Skarżącej, w oparciu o art. 509 § 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2019 r. poz. 1145 ze zm.).
2. W dniu […] października 2014 r. D. Spółka z o.o. Spółka Komandytowo-Akcyjna przekształcona została w De. Sp. z o.o. S.K.A.
3. Na podstawie umowy przelewu wierzytelności z dnia […] kwietnia 2019 r. De. Sp. z o.o. S.K.A. nastąpiło przeniesienia portfela wierzytelności ze spółki De. Sp. z o.o. S.K.A. na H., dalej także „Fundusz”, reprezentowany przez C. S.A..
4. P. Sp. z o.o. (dalej także: „Spółka”) jest licencjonowanym podmiotem zarządzającym częścią pakietu wierzytelności „Funduszu” (zezwolenie KNF nr […]).
5. Na podstawie umowy z […] października 2016 r. o zarządzanie częścią portfela obejmującą sekurytyzowane wierzytelności Funduszu zawartą pomiędzy Spółką a H., P. Sp. z o.o., jako podmiotowi posiadającemu zezwolenie Komisji Nadzoru Finansowego na zarządzanie wierzytelnościami (zezwolenie KNF nr […]) powierzono przetwarzanie danych osobowych dłużników Funduszu, w tym dane osobowe Pani O. M. Aneks nr […] z dnia […] listopada 2017 r. do ww. umowy szczegółowo reguluje prawa i obowiązki zarówno Funduszu, jako administratora danych, jak i Spółki, jako podmiotu przetwarzającego. Umowa ta zawarta została w oparciu o art. 46 ust. 2a, art. 45a ust. 1 w zw. z art. 192 ustawy z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz. U. z 2018 r. poz. 1355 ze zm.).
6. Zakres przetwarzanych przez Spółkę danych obejmuje: imię i nazwisko, PESEL, adres zamieszkania, numer telefonu oraz informacje dotyczące zadłużenia.
7. Zarzut przedawnienia roszczenia podnoszony przez Skarżącą nie ma wpływu na istnienie wierzytelności. Spółka zakupiła wymagalne roszczenie wobec Pani O. M. i jako obecny właściciel podejmuje działania zmierzające do zaspokojenia roszczenia na drodze polubownej, podejmując próby kontaktu z dłużnikiem, nakłaniając na spłatę dobrowolną.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje.

Stosownie do art. 57 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. U. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), zwanego dalej „Rozporządzeniem 2016/679”, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).

W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

Zgodnie z brzmieniem przepisu art. 23 ust. 1 ustawy o ochronie danych osobowych z 1997 r., obowiązującej w okresie, którego dotyczyła skarga Skarżącego, przetwarzanie danych osobowych było dopuszczalne, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5).

Od 25 maja 2018 r. przepisem uprawniającym administratora do przetwarzania danych osób fizycznych jest art. 6 Rozporządzenia 2016/679, który legalizuje przetwarzanie danych, gdy spełniona jest co najmniej jedna z enumeratywnie wskazanych w nim przesłanek. W konsekwencji Fundusz może przetwarzać dane osobowe Skarżącej wykazując spełnienie przynajmniej jednej enumeratywnie wskazanej przesłanki. Zgoda osoby, której dane dotyczą nie będzie jedyną podstawą zgodności z prawem przetwarzania danych osobowych. Na mocy przepisu Rozporządzenia 2016/679 przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c) Rozporządzenia 2016/679 ale również wtedy, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f) Rozporządzenia 2016/679).

Przytaczając motyw 47 Rozporządzenia 2016/679 należy wskazać, że podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Należy uznać, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem i w tym sensie nadrzędnym nad prawami i wolnościami osoby, której dane dotyczą, bowiem dochodzenie roszczeń nie stanowi nieproporcjonalnego ograniczenia tych praw i wolności.

Odnosząc powyższe do ustalonego w sprawie stanu faktycznego, wskazać należy, że Spółka pozyskała dane osobowe Skarżącego w związku z zawarciem przez Fundusz z De. Sp. z o.o. S.K.A. (przekształconej z D. Spółka z o.o. Spółka Komandytowo-Akcyjna) umowy przelewu wierzytelności z dnia […] kwietnia 2019 r. Powyższe znajduje oparcie w substytucji art. 509 § 1 Kodeksu cywilnego, zgodnie, z którą wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Na mocy powyższej umowy Fundusz nabył od A. Sp. z o.o. wierzytelność wobec Skarżącej. Cesja wierzytelności wiąże się z uprawnieniem do przekazania nabywcy danych osobowych dłużnika umożliwiających podjęcie względem niego stosownych działań zmierzających do odzyskania należności. Powyższa dopuszczalność przelewu wierzytelności nie podlegała ograniczeniom umownym ani ustawowym. Nie była również wymagana zgoda Skarżącej na przelew wierzytelności. W tym miejscu wymaga powołania stanowisko Naczelnego Sądu Administracyjnego (zwany dalej: NSA) orzekającego w składzie 7 sędziów, który w wyroku z dnia 6 czerwca 2005 r. (OPS 2/2005), wskazał, że przekazanie danych osobowych dłużników firmom windykacyjnym może nastąpić bez ich zgody, nie naruszając przy tym ochrony danych osobowych, które należy uznać za aktualne w odniesieniu do przedmiotowej sprawy.

Wobec powyższego Fundusz, na podstawie powyższej umowy, stał się administratorem przekazanych danych, przetwarzając je w celu windykacji nabytych należności. Zatem przesłanką legalizującą pozyskanie danych osobowych Skarżącej przez Fundusz był art. 23 ust. 1 pkt. 2 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.),  a mianowicie przepis prawa – art. 509 Kodeksu cywilnego. W przypadku przetwarzania danych przez Fundusz przed 25 maja 2018 r. podstawą prawną był art. 23 ust.1 pkt. 5 ww. ustawy o ochronie danych osobowych z 1997 r., a obecnie jest to art. 6 ust. 1 lit. f) Rozporządzenia 2016/679.

Natomiast na podstawie umowy z […] października 2016 r. o zarządzanie częścią portfela obejmującą sekurytyzowane wierzytelności Funduszu zawartą pomiędzy H. a P. Sp. z o.o., Spółce powierzono przetwarzanie danych osobowych dłużników Funduszu, w tym dane osobowe Pani O. M. Podstawę do powierzenia przetwarzania ww. danych osobowych do dnia 25maja 2018 r. stanowił art. 31 ustawy o ochronie danych osobowych z 1997 r. a od dnia 25 maja 2018 r. stanowi art. 28 ust. 3 Rozporządzenia 2016/679. W tym miejscu należy podkreślić, że na podstawie ww. przepisów, podmiot przetwarzający nie musi mieć odrębnej podstawy prawnej do przetwarzania danych, w tym przypadku danych osobowych dłużników Funduszu. Tym samym przesłanką legalizującą przetwarzanie danych osobowych Skarżącej przez Fundusz, a następnie przez Spółkę obecnie jest art. 28 ust. 3 Rozporządzenia 2016/679, zgodnie z którym przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, który wiąże podmiot przetwarzający i administratora, określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora.

Reasumując przetwarzanie danych Skarżącej przez Spółkę znajdowało uzasadnienie zarówno w przepisach ustawy o ochronie danych osobowych z 1997 r., jak i w obecnie obowiązującym Rozporządzeniu 2016/679, bowiem działa on na podstawie umowy w imieniu i na rzecz prawnie uzasadnionego interesu Funduszu (Administratora danych). Tym samym za bezpodstawny uznać należy zarzut o braku legalności tego działania z punktu widzenia przepisów rozporządzenia 2016/679. W związku z powyższym nie ma podstaw do wydania decyzji administracyjnej nakazującej usunięcie danych osobowych Skarżącego przez Spółkę.

Odnosząc się do natomiast do zarzutu Skarżącej dotyczącego przedawnienia dochodzenia roszczenia, Prezes Urzędu Ochrony Danych Osobowych pragnie wyjaśnić, iż kwestia przedawnienia dochodzenia roszczenia pozostaje poza zakresem kognicji Prezesa Urzędu Ochrony Danych Osobowych, gdyż jest sprawą cywilną w rozumieniu art. 1 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2019 r. poz. 1460 ze zm.), i może być rozpatrywana wyłącznie w postępowaniu prowadzonym przez sąd powszechny. Prezes Urzędu Ochrony Danych Osobowych nie jest natomiast właściwym organem do badania istnienia podstawy prawnej wierzytelności. Nie jest on bowiem organem kontrolującym ani nadzorującym prawidłowość stosowania prawa materialnego i procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji, czy w inny sposób określony odpowiednimi procedurami (por. wyrok Naczelnego Sądu Administracyjnego z dnia 2 marca 2001 r. sygn. akt II SA 401/00). Dlatego też w niniejszym postępowaniu ocenie podlegała wyłącznie legalność przetwarzania danych osobowych Skarżącej przez kwestionowane w skardze podmioty.

Niezależnie od powyższego informuję, iż jeżeli w ocenie Skarżącej poprzez prowadzenie wobec niej czynności windykacyjnych doszło do naruszenia jej dóbr osobistych np. w postaci naruszenia jej prawa do prywatności, może ona dochodzić swych roszczeń z tego tytułu w drodze powództwa cywilnego wytoczonego przed właściwy miejscowo sąd powszechny administratorowi danych, tj. Funduszowi. Zgodnie bowiem z treścią art. 24 § 1 i 2 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. z 2018 r., poz. 1025) ww. ustawy, ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.