Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.) oraz art. 60 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2018 r. poz. 1000 ze zm.) w związku z art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani N.W. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez E. […] Sp. z o. o. z siedzibą w W. […] oraz F. S.A. z siedzibą w P. […], Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku. 

Uzasadnienie

W dniu [...] lipca 2018 roku do Urzędu Ochrony Danych Osobowych wpłynął wniosek Pani N.W. […] (zwanej dalej „Skarżącą”), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez E. […] Sp. z o.o. z siedzibą w W. […] (zwaną dalej: „E. […] Sp. z o. o.”) oraz F. S.A. z siedzibą w P. […] (zwaną dalej: „F. S.A.”).

W treści przedmiotowej skargi Skarżąca zarzuciła, że do naruszenia jej danych osobowych doszło poprzez ujawnienie przez E. […] Sp. z o.o. z siedzibą w W. jej imienia, nazwiska oraz poprzedniego adresu zamieszkania, tj. […] na stronie www.[...], którą zarządza Spółka F. S.A. z siedzibą w P. Skarżąca wskazała, że nie przypomina sobie faktu zawarcia żadnej umowy z E. […] Sp. z o. o. ani F. S.A. Ponadto Skarżąca podniosła, że na powyższej stronie przy jej danych osobowych widnieje informacja, że dług jest przedawniony, a zgodnie z art. 117 Kodeksu cywilnego jeżeli dług jest przedawniony nie można go dochodzić przed Sądem, a tym bardziej handlować nim na stronie www.

W związku z powyższym Skarżąca wniosła o przywrócenie w drodze decyzji administracyjnej stanu zgodnego z prawem poprzez usunięcie jej danych osobowych ze strony oraz wymierzenie kary finansowej za rozpowszechnienie jej danych osobowych zarówno E. […] Sp. z o. o. jak i F. S.A.

W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.

1. Pod adresem: https://www. […] znajduje się oferta sprzedaży wierzytelności, w której zostały podane dane osobowe skarżącej w postaci imienia i nazwiska, dane adresowe w postaci wskazania miasta (...) oraz nazwy ulicy ([…]), bez wskazania numerów budynku i lokalu. Ponadto podana jest wartość wierzytelności brutto ([…]), oferowana kwota sprzedaży ([…]) oraz informacja o przeterminowaniu wietrzności ([…]).
2. Z wyjaśnień E. […] Sp. z o. o. z dnia ([...] września 2018 roku wynika, iż E. […] Sp. z o. o. działa jako pełnomocnik aktualnego wierzyciela – E. […] Sp. z o. o. 1 Fundusz […] z siedzibą w W. […] (dalej jako: „Fundusz”), a dane osobowe Skarżącej pozyskał do przetwarzania na podstawie umowy o zarządzanie wierzytelnościami z dnia […] stycznia 2012 roku zawartej z Funduszem. Celem przetwarzania danych osobowych Skarżącej jest dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
3. Na podstawie umowy z dnia […] października 2013 roku zawartej z Bankiem […] Fundusz nabył zobowiązanie Skarżącej i tym samym wstąpił w prawa wierzyciela w zakresie wierzytelności dotyczącej Skarżącej (cesja wierzytelności na podstawie art. 509 i nast. Kodeksu cywilnego).
4. Zakres pozyskanych przez E. […] Sp. z o. o. danych osobowych Skarżącej obejmował: imię, nazwisko, numer ewidencyjny PESEL, seria i numer dowodu osobistego, adres zameldowania i korespondencyjny, numery telefonów, adres poczty elektronicznej, dane pracodawców, datę zawarcia umowy, datę rozwiązania umowy, informacje dotyczące podstawy roszczenia w rozbiciu na składniki finansowe, tj. należność główną, odsetki oraz numer rachunku bankowego dedykowanego do spłaty zadłużenia.
5. W dniu […] stycznia 2017 roku E. […] Sp. z o. o. zawarł z F. S.A. umowę na korzystanie z Internatowej Giełdy Długów (publiczna platforma ogłoszeń sprzedaży wierzytelności). Na mocy umowy E. […] Sp. z o. o. powierzył F. S.A. w dniu […] marca 2017 roku dane osobowe w celu zamieszczenia na Internetowej Giełdzie Długów propozycji sprzedaży wierzytelności dotyczącej Skarżącej, które to działanie realizowane jest w celu wypełnienia prawnie uzasadnionego interesu administratora. Zakres powierzonych danych obejmował: imię i nazwisko, adres, numer identyfikacyjny PESEL, a także konkretyzował wartość zobowiązania brutto oraz propozycję kwoty sprzedaży wierzytelności.
6. Z wyjaśnień F. S.A. z dnia [...] sierpnia 2018 roku wynika ponadto, że ww. umowa z dnia […] stycznia 2017 roku została zmieniona aneksem nr […] z dnia […] maja 2018 roku dostosowującym postanowienia umowy  do wymogów RODO. W ramach zawartej umowy E. […] Sp. z o. o. w dniu […] marca 2017 roku zamieścił na stronie internetowej F. S.A. propozycję sprzedaży wierzytelności E. […] Sp. z o. o. względem Skarżącej.
7. Spółka F. S.A. aktualnie przetwarza dane osobowe Skarżącej w celu wykonywania powyższej umowy z dnia […] stycznia 2017 roku, a dane te są przetwarzane w zbiorze danych dłużników.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

W obowiązującym od 25 maja 2018 roku Rozporządzeniu Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.U.UE.L.2016.119.1) (dalej jako: „RODO”) ustanowiono przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych (art. 1 ust. 1). W myśl art. 2 ust. 1 RODO, rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Przetwarzanie danych to operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO). Natomiast dane osobowe zgodnie z art. 4 pkt. 1 RODO to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przepisem uprawniającym administratora do przetwarzania danych osób fizycznych jest art. 6 RODO, który legalizuje przetwarzanie danych, gdy spełniona jest co najmniej jedna z enumeratywnie wskazanych w nim przesłanek. W konsekwencji Fundusz może przetwarzać dane osobowe Skarżącej wykazując spełnienie przynajmniej jednej enumeratywnie wskazanej przesłanki. Zgoda osoby, której dane dotyczą nie będzie jedyną podstawą zgodności z prawem przetwarzania danych osobowych. Na mocy przepisu RODO przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c) RODO) ale również wtedy, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).

Przytaczając motyw 47 RODO należy wskazać, że podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Należy uznać, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem i w tym sensie nadrzędnym nad prawami i wolnościami osoby, której dane dotyczą, bowiem dochodzenie roszczeń nie stanowi nieproporcjonalnego ograniczenia tych praw i wolności.

Odnosząc powyższe do ustalonego w sprawie stanu faktycznego, wskazać należy, że E. […] Sp. z o. o. pozyskał dane osobowe Skarżącej w związku z zawarciem przez Fundusz z Bankiem […] umowy sprzedaży wierzytelności z dnia […] października 2013 r. Powyższe znajduje oparcie w substytucji art. 509 § 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2018 r., poz. 1025 ) – dalej jako „Kc”, zgodnie, z którą wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Na mocy powyższej umowy Fundusz nabył od Banku […] wierzytelność wobec Skarżącej. Cesja wierzytelności wiąże się z uprawnieniem do przekazania nabywcy danych osobowych dłużnika umożliwiających podjęcie względem niego stosowanych działań zmierzających do odzyskania należności. Powyższa dopuszczalność przelewu wierzytelności nie podlegała ograniczeniom umownym ani ustawowym. Nie była również wymagana zgoda Skarżącej na przelew wierzytelności. W tym miejscu wymaga powołania stanowisko Naczelnego Sądu Administracyjnego (zwany dalej: NSA) orzekającego w składzie 7 sędziów, który w wyroku z dnia 6 czerwca 2005 r. (OPS 2/2005), wskazał, że przekazanie danych osobowych dłużników firmom windykacyjnym może nastąpić bez ich zgody, nie naruszając przy tym ochrony danych osobowych, które należy uznać za aktualne w odniesieniu do przedmiotowej sprawy.

Wobec powyższego Fundusz, na podstawie powyższej umowy, stał się administratorem przekazanych danych, przetwarzając je w celu windykacji nabytych należności. Zatem przesłanką legalizującą pozyskanie danych osobowych Skarżącej przez Fundusz był art. 23 ust. 1 pkt. 2 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.),  a mianowicie przepis prawa – cesja wierzytelności. W przypadku przetwarzania danych przez Fundusz przed 25 maja 2018 r. podstawą prawną był art. 23 ust.1 pkt. 5 ww. ustawy o ochronie danych osobowych, a obecnie jest to art. 6 ust. 1 lit. f RODO.

Natomiast na podstawie § 2 umowy o zarządzanie Sekurytyzowanymi Wierzytelnościami z dnia […] stycznia 2012 roku powierzone zostało E. […] Sp. z o. o. zarządzanie wierzytelnościami Sekurytyzowanymi należącymi do Funduszu. Tym samym przesłanką legalizującą przetwarzanie danych osobowych Skarżącej przez E. […] Sp. z o. o., a następnie przez F. S.A. jest art. 28 ust. 3 RODO, zgodnie z którym przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, który wiąże podmiot przetwarzający i administratora, określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora.

Reasumując przetwarzanie danych Skarżącej przez E. […] Sp. z o. o. znajdowało uzasadnienie zarówno w przepisach ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2016 r. poz. 922) jak i w obecnie obowiązującym RODO, bowiem działa on na podstawie umowy w imieniu i na rzecz prawnie uzasadnionego interesu Funduszu (administratora danych). Tym samym za bezpodstawny uznać należy zarzut o braku legalności tego działania z punktu widzenia przepisów rozporządzenia ogólnego o ochronie danych osobowych.

Odnosząc się do ujawnienia przez E. […] Sp. z o. o. danych osobowych Skarżącej na Internetowej Giełdzie Długów wskazać należy, że takie działanie znajduje prawne uzasadnienie w przepisach RODO, tj. w art. 28 ust. 3 w związku z art. 6 ust. 1 lit. f. Elementem bowiem, który determinuje dokonanie oceny, co do zastosowania tego przepisu w konkretnej sytuacji związanej z przetwarzaniem danych osobowych jest istnienie prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Mając na uwadze ww. przesłankę dotyczącą interesu prawnego administratora podkreślić należy, że ma to być interes prawnie usprawiedliwiony, a zatem taki, który znajduje uzasadnienie w konkretnych przepisach prawa. Uwzględniając okoliczności niniejszej sprawy wskazać należy na przepis art. 66 Kc oraz art. 4 ustawy z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (Dz. U. z 2018 r. poz. 470 t.j.). Zgodnie z ww. art. 66 § 1 Kc, oświadczenie drugiej stronie woli zawarcia umowy stanowi ofertę, jeżeli określa istotne postanowienia tej umowy. A zatem, w przypadku oświadczenia woli zawarcia umowy sprzedaży wierzytelności bezsporne jest, że należy tę wierzytelność (przedmiot umowy) skonkretyzować. W analizowanym przypadku - jak to już wyżej podniesiono - takie skonkretyzowanie wierzytelności nastąpiło poprzez wskazanie danych osobowych Skarżącej w postaci jej imienia i nazwiska oraz adresu zamieszkania - jednakże, co istotne bez wskazania numeru budynku oraz mieszkania. Podkreślić przy tym należy, że E. […] Sp. z o. o., działając w imieniu i na rzecz Funduszu na podstawie art. 28 ust. 3 RODO nie ujawnił wszystkich danych, którymi dysponował w odniesieniu do Skarżącej, ale tylko taki ich zakres, który był konieczny do skonkretyzowania wierzytelności. Uzasadnia to zatem konkluzję, iż w analizowanym przypadku udostępnienie danych na stronie internetowej dokonane zostało w zakresie niezbędnym dla wypełnienia prawnie usprawiedliwionego celu administratora danych, w sposób niewykraczający poza ten cel, i z zachowaniem zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO).

Uzupełniając niniejszy wywód trzeba stwierdzić również, że zgodnie z art. 4 ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych udostępnianie informacji gospodarczych osobom trzecim nieoznaczonym w chwili przeznaczania tych informacji do udostępniania następuje wyłącznie za pośrednictwem biura informacji gospodarczej, chyba że przepisy prawa przewidują inny tryb udostępniania danych. Wynikający z cytowanego przepisu zakaz udostępniania przez przedsiębiorców nieposiadających statusu biura informacji gospodarczej - w drodze ogłoszenia publicznego - informacji obejmujących dane osobowe dłużnika (konsumenta) nie jest zatem zakazem bezwzględnym i tym samym dopuszcza zastosowanie w niniejszej sprawie wspomnianego art. 6 ust. 1 lit. f RODO.

Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, w ustalonym stanie faktycznym i prawnym sprawy ujawnienie danych osobowych Skarżącej nie może być oceniane jako naruszające jej prawa i wolności. Skarżąca jako dłużnik musi liczyć się bowiem z tym, że popadając w zwłokę w spełnieniu zobowiązania jej prawo do prywatności może zostać ograniczone ze względu na dochodzenie przez wierzyciela należnych mu kwot. W przeciwnym przypadku mogłoby dojść do sytuacji, w której dłużnik, powołując się na prawo do ochrony danych osobowych (prawo do prywatności), skutecznie uchyliłby się od spoczywającego na nim obowiązku spełnienia świadczenia i w konsekwencji ograniczyłby (wyłączył) prawo wierzyciela do uzyskania należnej mu zapłaty. Powołanie się na prawo do ochrony danych osobowych musiałoby też ograniczać - wyżej wskazane - przewidziane szczególnymi przepisami prawo do zbycia wierzytelności i podejmowania dalszych działań w sprawie ich odzyskania.

Reasumując, w przedmiotowej sprawie udostępnienie na stronie internetowej danych osobowych Skarżącej w zakresie jej imienia i nazwiska oraz nazwy ulicy i miejscowości (jako elementy adresu zamieszkania) jest uzasadnione prawnie usprawiedliwionym celem administratora. Przez cel ten rozumieć należy podejmowanie działań zmierzających do zawarcia umowy sprzedaży wierzytelności. A zatem przedmiotowe udostępnienie dokonane zostało w zakresie niezbędnym do osiągnięcia tego celu, i jako takie nie naruszało praw i wolności Skarżącej.

W związku z powyższym nie ma podstaw do wydania decyzji administracyjnej nakazującej usunięcie danych osobowych Skarżącej ze strony internetowej. W tej sytuacji nie można przypisać E. […] Sp. z o. o. oraz F. S.A. naruszenia przepisów rozporządzenia ogólnego o ochronie danych osobowych w tym zakresie i nie jest uzasadnione wydanie przez Prezesa Urzędu Ochrony Danych Osobowych jakiegokolwiek z nakazów, o których mowa w art. 58 RODO.

Odnosząc się do zarzutu Skarżącej przedawnienia roszczenia, Prezes Urzędu Ochrony Danych Osobowych pragnie wyjaśnić, iż kwestia ta pozostaje poza zakresem kognicji Prezesa Urzędu Ochrony Danych Osobowych, gdyż jest sprawą cywilną w rozumieniu art. 1 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2018 r. poz. 1360 t.j.), i może być rozpatrywana wyłącznie w postępowaniu prowadzonym przez sąd powszechny. Prezes Urzędu Ochrony Danych Osobowych nie jest natomiast właściwym organem do badania istnienia podstawy prawnej wierzytelności. Nie jest on bowiem organem kontrolującym ani nadzorującym prawidłowość stosowania prawa materialnego i procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji, czy w inny sposób określony odpowiednimi procedurami (por. wyrok Naczelnego Sądu Administracyjnego z dnia 2 marca 2001 r. sygn. akt II SA 401/00).

Dlatego też w niniejszym postępowaniu ocenie podlegała wyłącznie legalność przetwarzania danych osobowych Skarżącej przez kwestionowane w skardze podmioty.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz.U. z  2018 r. poz. 1000) w związku z art. 13 § 2, art. 53 § 1 i art. 54 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2018 r. poz. 1302) od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 zł. Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek ten wolny jest od opłat sądowych.