PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 27 maja 2020 r.

Decyzja

ZKE.440.66.2019

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) w związku z art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922  ze zm.) w związku z art. 6 ust. 1 lit. c) i f), art. 28 oraz art. 57 ust. 1 lit. a) i lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani K. Ż., reprezentowanej przez Panią K. D., na przetwarzanie jej danych osobowych przez G. S.A. (poprzednio: E. S. A.), Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

UZASADNIENIE

Do Prezesa Urzędu Ochrony Danych Osobowych (dawniej: Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pani K. Ż., reprezentowanej przez Panią K. D., na przetwarzanie jej danych osobowych przez G. S.A. (poprzednio: E. S. A.), zwaną dalej: „Spółką”.

W treści skargi Skarżąca zarzuciła, że Spółka naruszyła zasady ochrony danych osobowych poprzez ujawnienie jej danych w zakresie: imienia, nazwiska, adresu zamieszkania oraz informacji o wysokości obciążającego ją zadłużenia na ogólnodostępnej i bezpłatnej, [...], znajdującej się pod adresem: […] – pomimo braku uzyskania na takie działania zgody Skarżącej. Dostęp do wyżej wskazanych informacji mógł mieć każdy użytkownik sieci Internet, jako że odszukanie długu Skarżącej możliwe było bezpośrednio po wpisaniu  jej imienia oraz nazwiska w dostępnym w witrynie polu wyszukiwania.

W związku z powyższym Skarżąca wniosła o przywrócenie w drodze decyzji administracyjnej stanu zgodnego z prawem, poprzez usunięcie jej danych osobowych ze strony internetowej […].

W celu ustalenia okoliczności istotnych dla rozstrzygnięcia niniejszej sprawy, Prezes Urzędu Ochrony Danych Osobowych wszczął postępowanie administracyjne. Na podstawie zebranego  w sprawie materiału dowodowego ustalił następujący stan faktyczny:

  1. Pod adresem: […] znajduje się oferta sprzedaży wierzytelności, w której podane są dane osobowe Skarżącej w postaci imienia oraz nazwiska, a nadto dane adresowe, ograniczone jednak do wskazania miejsca zamieszkania Skarżącej, tj. […] z pominięciem numeru budynku bądź lokalu. Ponadto w ofercie podana jest wartość wierzytelności brutto „[…]”, oferowana cena jej sprzedaży „[…]” oraz informacja o przeterminowaniu wierzytelności „[…]”. Jako wystawca wierzytelności w ofercie widnieje: „A.”, zwany dalej także: „Funduszem” – zarządzany przez A. S.A., zwane dalej także: „Towarzystwem”, posiadające zezwolenie Komisji Nadzoru Finansowego z dnia […]  grudnia 2008 r. na prowadzenie działalności polegającej na tworzeniu i zarządzaniu funduszami inwestycyjnymi (sygn. decyzji […]).
  2. Fundusz nabył zobowiązanie Skarżącej na podstawie umowy cesji z dnia […] grudnia 2014 r. zawartej z Bankiem A. S.A. i tym samym wstąpił w prawa wierzyciela w zakresie wierzytelności dotyczącej Skarżącej, stając się administratorem dotyczących jej danych osobowych. Cesja wierzytelności nastąpiła na podstawie art. 509 i nast. ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2019 r., poz. 1145), zwanej dalej: „k.c.”.
  3. Zakres pozyskanych przez Fundusz danych dotyczących Skarżącej obejmował dane identyfikacyjne w postaci: numeru PESEL oraz numeru dokumentu tożsamości, dane teleadresowe w postaci: adresu zameldowania, adresu do korespondencji i numeru telefonu kontaktowego oraz dane finansowe dotyczące numerów dokumentów księgowych lub umów, z których wynikało zadłużenie, a nadto składników zadłużenia (sald, odsetek i innych). Podstawę prawną przetwarzania danych osobowych Skarżącej w chwili  ich pozyskania stanowił art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy z dnia  29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.), wobec faktu dochodzenia przez Fundusz roszczeń z tytułu prowadzonej działalności gospodarczej.
  4. Fundusz, w celu dochodzenia od Skarżącej przysługującej mu wierzytelności, zawarł z E. S.A., umowę z dnia […] stycznia 2016 r. o zarządzanie sekurytyzowanymi wierzytelnościami w rozumieniu art. 193 ustawy z dnia 24 maja 2007 r. funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz. U. z 2020 r., poz. 95), zwanej dalej: „u.f.i.”. Zgodnie z zapisami umowy, jej przedmiotem było zlecenie odpłatnego zarządzania całością portfela inwestycyjnego Funduszu (§ 2 ust. 1 umowy), polegającego m.in. na obsłudze wierzytelności wchodzących w skład Portfela, prowadzeniu i koordynowaniu działań windykacyjnych czy zawieraniu ugód z dłużnikami. Na podstawie przedmiotowego kontraktu, w oparciu o treść art. 193 u.f.i. oraz art. 31 ustawy z dnia  29 sierpnia 1997 r. o ochronie danych osobowych, Fundusz powierzył E. S. A., jako podmiotowi przetwarzającemu, przetwarzanie danych osobowych Skarżącej wyłącznie w celu określonym w umowie, tj. w celu dochodzenia roszczeń z tytułu prowadzonej przez Fundusz działalności gospodarczej.
  5. W dniu […] sierpnia 2016 r. Fundusz zawarł z F. S.A.  umowę na korzystanie z […] (publicznej platformy ogłoszeń sprzedaży wierzytelności). Na mocy umowy Fundusz powierzył F. S.A. dane osobowe Skarżącej, w celu zamieszczenia na stronie internetowej  […] propozycji sprzedaży wierzytelności dotyczącej Skarżącej, które to działanie realizowane było w celu wypełnienia prawnie uzasadnionego interesu administratora. W umowie zawarto ponadto zapis, zgodnie z którym „na podstawie umowy z dnia  […] stycznia 2016 r. Fundusz powierzył zarządzanie przysługującymi mu sekurytyzowanymi wierzytelnościami Spółce E. S.A. (dalej: Zarządzający). W oparciu o w/w umowę oraz o udzielone Zarządzającemu pełnomocnictwo z dnia […] lutego 2016 r. Fundusz oświadcza, iż upoważnia Zarządzającego do dokonywania czynności technicznej polegającej na wprowadzeniu danych Dłużników Funduszu do Serwisu”.
  6. Za zgodą Funduszu, E. S.A. przekazał w dniu […] sierpnia 2016 r. na rzecz F. S.A. dane osobowe Skarżącej, celem wystawienia na sprzedaż jej długu. Zakres powierzonych danych obejmował: imię, nazwisko, adres zamieszkania (miejscowość, kod pocztowy, ulicę, numer domu), numer PESEL, numer telefonu, adres e-mail, wysokości długu oraz dane identyfikujące dokument, z którego wynikała wierzytelność. Publikowany w serwisie rekord zawierał jednakże wyłącznie: imię, nazwisko i adres zamieszkania (bez numeru domu czy lokalu) dłużnika.
  7. W dniu […] grudnia 2017 r., wobec przejęcia majątku E. S. A. przez G. S.A., stosownie do regulacji zawartej w art. 492-494 ustawy z dnia 15 września 2000 r. Prawo spółek handlowych (Dz. U. z 2019 r., poz. 505), ww. Spółka weszła w całość praw  i obowiązków przejmowanego podmiotu, w tym praw i obowiązków z zakresu zarządzania sekurytyzowanym portfelem wierzytelności na rzecz Funduszu. Tym sposobem Spółka pozyskała dane osobowe dłużników Funduszu, w tym także informacje o zobowiązaniu Skarżącej.
  8. W dniu 25 maja 2018 r., w związku z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanego dalej także: „Rozporządzeniem 2016/679”, Fundusz zawarł ze Spółką umowę powierzenia przetwarzania danych osobowych dłużników Funduszu. Przetwarzanie to mogło odbywać się wyłącznie w celu wykonania umowy głównej, tj. umowy z dnia […] stycznia 2016 r. o zarządzanie sekurytyzowanymi wierzytelnościami Funduszu. Tym samym podstawę prawną przetwarzania danych osobowych Skarżącej przez Spółkę stanowił  art. 28 Rozporządzenia 2016/679.
  9. Obecnie, z uwagi na rozwiązanie w dniu […] stycznia 2019 r. umowy o zarządzanie wierzytelnościami Funduszu, Spółka przetwarza dane osobowe Skarżącej na podstawie  art. 6 ust. 1 lit. c) Rozporządzenia 2016/679, w celu wypełnienia ciążącego na niej obowiązku prawnego, o którym mowa w art. 74 ust. 2 pkt. 4 Ustawy z dnia 29 września 1994 r. o rachunkowości (Dz.U. 1994 nr 121 poz. 591 ze zm.), a nadto na podstawie  art. 6 ust. 1 lit. f) Rozporządzenia 2016/679 w związku z art. 751 oraz 118 i 125 Kodeksu cywilnego, w celach wynikających z prawnie uzasadnionych interesów Spółki, tj. w celu ochrony przed ewentualnymi roszczeniami Skarżącej, w tym roszczeniami zgłoszonymi  w postępowaniu prowadzonym przez Prezesa Urzędu Ochrony Danych Osobowych.

W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także: „Prezesem UODO”) zważył, co następuje.

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.”.

W myśl art. 160 ust. 1-3 u.o.d.o., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej także „ustawą 1997”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.

Od dnia 25 maja 2018 r. zastosowanie ma również Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1  ze zm. oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”.

Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na jego mocy, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).

Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający z przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i niezakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego  (Dz. U. 00.98.1071), M. Jaśkowska, A. Wróbel, Lex., el/2012).

W świetle aktualnie obowiązujących przepisów Rozporządzenia 2016/679, przetwarzanie danych osobowych jest zgodne z prawem, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 Rozporządzenia 2016/679 (stanowiącym odpowiednik obowiązującego do dnia 25 maja 2018 r. art. 23 ust. 1 ustawy 1997), tj. gdy:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (analogicznie w art. 23 ust.1 pkt 1 ustawy 1997);
  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (analogicznie w art. 23 ust. 1 pkt 3 ustawy 1997);
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (analogicznie w art. 23 ust. 1 pkt 2 ustawy 1997);
  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,  lub innej osoby fizycznej;
  5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym  lub w ramach sprawowania władzy publicznej powierzonej administratorowi (analogicznie w art. 23 ust. 1 pkt 4 ustawy 1997) bądź wreszcie;

przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (analogicznie w art. 23 ust. 1 pkt 5 ustawy 1997).

Przesłanki te odnoszą się do wszelkich form przetwarzania danych. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednego z nich. Jak wynika zatem z powyższego, zgoda osoby, której dane dotyczą nie stanowi jedynej podstawy zgodności z prawem przetwarzania danych osobowych. W szczególności, na mocy przepisu art. 6 Rozporządzenia 2016/679 przetwarzanie danych jest dopuszczalne wówczas, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Przytaczając motyw 47 Rozporządzenia 2016/679 należy wskazać, że taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem (bądź, jak ma to miejsce w niniejszej sprawie, dłużnikiem) administratora lub działa na jego rzecz. Niewątpliwie dochodzenie przez podmiot roszczeń finansowych stanowi jego prawnie uzasadniony interes i w tym sensie jest nadrzędne nad prawami i wolnościami osoby, której dane dotyczą, albowiem nie ogranicza ich w sposób nieproporcjonalny. Należy uznać, że dochodzenie roszczeń jest zjawiskiem powszechnym w obrocie gospodarczym i jednocześnie naturalnym następstwem zawierania kontraktów przez równoprawne w tym kontekście strony, które w chwili przystąpienia do umowy godzą się  na zaproponowane w niej warunki, w tym dotyczące poddania się egzekucji w przypadku niewywiązania się z zobowiązania przez jedną ze stron.

Odnosząc powyższe do ustalonego w sprawie stanu faktycznego, wskazać należy, że A. nabył zobowiązanie Skarżącej na podstawie umowy cesji z dnia […] grudnia 2014 r. zawartej z A. S.A. Powyższe znajdowało oparcie w krajowym ustawodawstwie, tj. art. 509 § 1 k.c., zgodnie z którym wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią, chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Wyjaśnić przy tym należy, że cesja wierzytelności wiąże się z uprawnieniem do przekazania nabywcy danych osobowych dłużnika (w tym wypadku danych Skarżącej), umożliwiających podjęcie względem niego stosowanych działań zmierzających do odzyskania należności. Z ustalonego stanu faktycznego nie wynika, aby dopuszczalność przelewu wierzytelności podlegała jakimkolwiek ograniczeniom umownym bądź ustawowym. Nadto, dla dokonania cesji nie była wymagana zgoda Skarżącej. W tym miejscu powołania wymaga również stanowisko Naczelnego Sądu Administracyjnego orzekającego w składzie 7 sędziów, który w wyroku z dnia 6 czerwca 2005 r. (sygn. I OPS 2/2005) wskazał, że przekazanie danych osobowych dłużników firmom windykacyjnym może nastąpić bez ich zgody, nie naruszając przy tym przepisów o ochronie danych osobowych, które nie mogą być absolutyzowane, ponieważ muszą być stosowane i interpretowane łącznie z innymi przepisami ustawowymi, służącymi ochronie także innych wartości.

Wobec powyższego uznać należy, że Fundusz na podstawie zawartej umowy cesji wierzytelności stał się administratorem przekazanych mu danych osobowych, przetwarzając je w celu windykacji nabytych należności. Przesłankę legalizującą przetwarzanie danych osobowych Skarżącej przez Fundusz stanowił w dacie złożenia skargi art. 23 ust. 1 pkt. 5 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, obecnie zaś, tj. od dnia  25 maja 2018 r., jest nią art. 6 ust. 1 lit. f) Rozporządzenia 2016/679.

Odnośnie natomiast przedmiotu skargi inicjującej niniejsze postępowanie, jakim jest przetwarzanie danych osobowych Skarżącej przez G. S.A. (następcę prawnego E. S. A.), wskazać trzeba, że w oparciu o zapisy umowy z dnia […] stycznia 2016 r. Spółce powierzone zostało zarządzanie wierzytelnościami sekurytyzowanymi należącymi do Funduszu. Działanie takie znajdowało umocowanie w przepisach prawa, albowiem zgodnie z art. 192 ust. 1 ustawy o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi, zarządzanie sekurytyzowanymi wierzytelnościami funduszu sekurytyzacyjnego sprawować może (na mocy porozumienia stron) podmiot inny niż towarzystwo funduszy inwestycyjnych.  Zarządzanie wierzytelnościami, aby było możliwe, wymaga jednak powierzenia podmiotowi zarządzającemu danych osobowych dłużników funduszu, w przeciwnym bowiem razie podmiot ten nie byłby zdolny do prowadzenia wobec nich skutecznej egzekucji.

Uwzględniając powyższe, a nadto treść wiążących Spółkę umów zawartych z Funduszem stwierdzić należy, że podstawę prawną przetwarzania danych osobowych Skarżącej przez Spółkę stanowił w dacie złożenia skargi art. 31 ustawy 1997, zezwalający administratorowi danych  (którym w przedmiotowej sprawie był Fundusz) na powierzenie innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzania danych zastrzegając jedynie, że podmiot, któremu dane powierzono mógł je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie. W ocenie Prezesa Urzędu Ochrony Danych Osobowych wspomniana już umowa o zarządzanie wierzytelnościami sekurytyzowanymi Funduszu z dnia […] stycznia 2016 r., zarówno z uwagi  na jej formę, jak i treść odpowiadała wymogom określonym w art. 31 ustawy 1997, dlatego też działania Spółki, związane z przetwarzaniem danych osobowych Skarżącej należy uznać za uprawnione. Odnosząc się natomiast do stanu prawnego, zaistniałego w związku z wejściem w życie nowych przepisów o ochronie danych osobowych, Prezes UODO wskazuje, że od dnia  […] maja 2018 r. do dnia […] stycznia 2019 r., tj. momentu zakończyła współpracy z Funduszem, powierzenie przetwarzania danych osobowych Spółce znajdowało umocowanie w art. 28 Rozporządzenia 2016/679, w myśl którego administrator może powierzyć innemu podmiotowi w drodze zawartej umowy, bądź innego instrumentu prawego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Reasumując dotychczasowe rozważania stwierdzić zatem należy, że przetwarzanie danych Skarżącej przez Spółkę znajdowało uzasadnienie zarówno w przepisach ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r., jak i w obecnie obowiązującego Rozporządzenia 2019/679 bowiem działała ona na podstawie umowy w imieniu i na rzecz prawnie uzasadnionego interesu Funduszu, jako administratora danych. Tym samym za bezpodstawny uznać należy zarzut braku legalności tego działania z punktu widzenia zasad ochrony danych osobowych.

Odnosząc się natomiast do zarzutu ujawnienia przez Spółkę danych osobowych Skarżącej  na […], mieszczącej się pod adresem […] wskazać należy, że takie działanie znajdowało prawnie uzasadnienie w przepisach art. 23 ust. 1 pkt 5 w związku z art. 31 ustawy 1997 (a od dnia 25 maja 2018 r. – w art. 28 ust. 3 w związku z art. 6 ust. 1 lit. f) Rozporządzenia 2016/679). Elementem, który determinował dokonanie oceny, co do zasadności zastosowania tych przepisów w konkretnej sytuacji związanej z przetwarzaniem danych osobowych było istnienie prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, a zatem takich interesów, które znajdowały uzasadnienie w konkretnych przepisach prawa.

Przepisem takim, jeśli uwzględnić okoliczności niniejszej sprawy, jest niewątpliwie   art. 66 k.c., stosownie do którego brzmienia oświadczenie drugiej stronie woli zawarcia umowy stanowi ofertę, jeżeli określa istotne postanowienia tej umowy (art. 66 § 1 k.c.). A zatem,  w przypadku oświadczenia woli zawarcia umowy sprzedaży wierzytelności bezsporne jest,  że należy tę wierzytelność (przedmiot umowy) skonkretyzować. W analizowanym przypadku  – jak to już wcześniej opisano – skonkretyzowanie wierzytelności nastąpiło poprzez wskazanie danych osobowych Skarżącej w zakresie jej imienia i nazwiska oraz adresu zamieszkania, jednakże, co istotne z punktu widzenia prawa do prywatności, bez wskazania numeru zajmowanego przez nią budynku bądź lokalu mieszkalnego. Spółka G. S.A., działając w imieniu i na rzecz Funduszu, nie ujawniła na stronie internetowej […] wszystkich danych osobowych, którymi dysponowała w odniesieniu do długu Skarżącej, ale tylko taki ich zakres, który był konieczny do skonkretyzowania wierzytelności. Uzasadnia to zatem konkluzję, iż w analizowanym przypadku udostępnienie danych w Internecie dokonane zostało w zakresie niezbędnym dla wypełnienia prawnie usprawiedliwionego celu administratora danych, w sposób niewykraczający poza ten cel i z zachowaniem zasady minimalizacji danych, stosownie do brzmienia art. 5 ust. 1 lit. c) Rozporządzenia 2016/679.

Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, w ustalonym stanie faktycznym i prawnym sprawy ujawnienie danych osobowych Skarżącej nie może być oceniane jako naruszające jej prawa i wolności. Skarżąca jako dłużnik musi liczyć się bowiem z tym,  że popadając w zwłokę w spełnieniu zobowiązania jej prawo do prywatności może zostać ograniczone ze względu na dochodzenie przez wierzyciela przysługujących mu należności. W przeciwnym wypadku mogłoby dojść do sytuacji, w której dłużnik, powołując się na prawo  do ochrony danych osobowych, skutecznie uchyliłby się od spoczywającego na nim obowiązku spełnienia świadczenia i w konsekwencji ograniczyłby prawo wierzyciela do uzyskania należnej mu zapłaty. Powołanie się na prawo do ochrony danych osobowych musiałoby też ograniczać, wyżej wskazane, przewidziane szczególnymi przepisami prawo do zbycia wierzytelności i podejmowania dalszych działań w sprawie ich odzyskania. Powyższe, znajduje potwierdzenie w orzecznictwie sądów administracyjnych, w tym m.in. w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 30 listopada 2004 r. (sygn. akt: II SA/Wa 1057/04),  w którym ww. stwierdził, że „(...) zasadą powszechnie akceptowaną, wynikającą nie tylko z przepisów prawa cywilnego, lecz także z norm moralnych, zasad współżycia społecznego oraz dobrych obyczajów jest regulowanie zaciągniętych zobowiązań (zapłata długów). Zasada  ta w pełni odnosi się do podmiotów prawa mających status konsumentów. (...) Dłużnik, który nie wywiązuje się ze swoich zobowiązań, musi liczyć się z konsekwencjami, wynikającymi z przepisów regulujących obrót gospodarczy. Postawa dłużnika nie może bowiem prowadzić do uprzywilejowania jego sytuacji prawnej. Gdyby generalnie uznać każdy wypadek przetwarzania danych osobowych dłużnika (będącego konsumentem) za godzący w jego prawa  i wolności, doszłoby z jednej strony do niczym nieuzasadnionej ochrony osób niewywiązujących się ze swoich zobowiązań, z drugiej natomiast do naruszenia zasady swobody działalności gospodarczej, co z pewnością nie było zamiarem ustawodawcy przy uchwalaniu ustawy o ochronie danych osobowych”.

Reasumując, w przedmiotowej sprawie udostępnienie na stronie internetowej danych osobowych Skarżącej w zakresie jej imienia i nazwiska oraz nazwy miejscowości, w której ta zamieszkuje jest uzasadnione prawnie usprawiedliwionym celem administratora. Przez cel ten rozumieć należy podejmowanie działań zmierzających do zawarcia umowy sprzedaży wierzytelności. Zdaniem Prezesa UODO, przedmiotowe udostępnienie dokonane zostało w zakresie niezbędnym do osiągnięcia tego celu, i jako takie nie naruszało praw i wolności Skarżącej. W tej sytuacji nie można przypisać Spółce G. S.A. takiego naruszenia przepisów o ochronie danych osobowych, które mogłoby skutkować wydaniem decyzji administracyjnej nakazującej usunięcie danych osobowych Skarżącej z kwestionowanej strony internetowej.

Jednocześnie wskazać należy, że aktualnie, wobec rozwiązania w dniu […] stycznia 2019 r. umowy o zarządzanie wierzytelnościami Funduszu, Spółka przetwarza dane osobowe Skarżącej wyłącznie na podstawie art. 6 ust. 1 lit. c) Rozporządzenia 2016/679 w celu wypełnienia ciążącego na niej obowiązku prawnego, o którym mowa w art. 74 ust. 2 pkt. 4 ustawy z dnia 29 września 1994 r. o rachunkowości, nakazującego przechowywanie dowodów księgowych dotyczących środków trwałych w budowie, pożyczek, kredytów oraz umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym – przez okres 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione, a nadto na podstawie art. 6 ust. 1 lit. f) Rozporządzenia 2016/679 w związku z art. 751 oraz 118 i 125 k.c. w celach wynikających z prawnie uzasadnionych interesów Spółki, tj. w celu ochrony przed ewentualnymi roszczeniami Skarżącej, w tym roszczeniami zgłoszonymi w postępowaniu prowadzonym przez Prezesa Urzędu Ochrony Danych Osobowych.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.

Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona  nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2020-05-27
Wprowadził informację:
user Anna Pachla
date 2021-04-28 11:14:44
Ostatnio modyfikował:
user Edyta Madziar
date 2021-05-20 10:58:37