PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 18 stycznia 2023 r.

Decyzja

DKE.523.13.2021

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r., poz. 2000 ze zm.) oraz art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r., poz. 1781) w związku z art. 12 pkt 2, art. 23 ust. 1 pkt 5, art. 32 ust. 1 pkt 5 i art. 33 ust. 1 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), a także art. 6 ust. 1 lit. f), art. 15 ust. 1 lit. b) i c), art. 17 ust. 1 i 3 lit. e) i art. 57 ust. 1  lit. a) i f) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana W. Ł., zamieszkałego w M. przy ul. (…), na przetwarzanie jego danych osobowych przez S. z siedzibą w G. przy ul. (…) oraz przez A. sp. z o.o. z siedzibą w S. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

Uzasadnienie

  1. Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pana W. Ł., zamieszkałego w M. przy ul. (…), zwanego dalej „Skarżącym”, na przetwarzanie jego danych osobowych przez S. z siedzibą w G. przy ul. (…), zwaną dalej „S.” oraz przez spółkę A. sp. z o.o. z siedzibą w S. przy ul. (…), zwaną dalej „Spółką A.”. Skarżący podniósł, że S., z którą łączyła go umowa kredytowa, przekazał (w jego ocenie bezprawnie) jego dane osobowe – w związku z umową przelewu wierzytelności – spółce A. S.a.r.l. z siedzibą w L., (…) (zwaną dalej „Spółką AS.”), a następnie Spółce A. w związku z umową powierniczego przelewu wierzytelności. Skarżący wniósł o „stwierdzenie bezprawnego przekazania” przez S. jego danych osobowych Spółce AS. oraz Spółce A., o usunięcie jego danych osobowych przez Spółkę A., o „wstrzymanie […] przekazywania” jego danych osobowych Spółce AS. oraz o „podanie jakie dane osobowe przekazane zostały” przez S. Spółce AS., a następnie Spółce A. Uzasadniając swój zarzut „bezprawnego przekazania” danych osobowych Skarżący podniósł w szczególności, że warunkiem zgodnego z prawem przekazania danych osobowych innemu podmiotowi jest istniejąca umowa z tym podmiotem lub pisemna zgoda osoby, której dane dotyczą, na przekazanie danych osobowych temu podmiotowi. Skarżący zaś ani nie zawarł żadnej umowy ze Spółką AS, ani nie wyraził zgody na przekazanie przez S. swoich danych osobowych temu podmiotowi.

W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych, zwany dalej „Prezesem UODO”, ustalił, co następuje.

Stan faktyczny

  1. W dniu 10 maja 2001 r. Skarżący przystąpił do S. Składając pisemną „Deklarację członkowską” Skarżący przekazał S. wymagane tym dokumentem swoje dane osobowe.
  2. W dniu 11 maja 2001 r. Skarżący złożył w S. „Wniosek o przyznanie pożyczki” wraz z „Kwestionariuszem wywiadu kredytowego”, w których to dokumentach przekazał S. kolejne dane osobowe.
  3. W dniu 23 maja 2001 r. Skarżący zawarł ze S. „Umowę pożyczki dyskontowej nr (…)”.
  4. Pozyskane od Skarżącego dane osobowe S. zaczął przetwarzać:

a)    w rejestrze członków S. – na podstawie art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.), zwanej dalej „u.o.d.o. 1997”,

b)    w celu wykonania umowy pożyczki dyskontowej nr (…) – na podstawie art. 23 ust. 1 pkt 3 u.o.d.o. 1997.

  1. W związku z niewywiązaniem się przez Skarżącego z warunków „Umowy pożyczki dyskontowej nr (…)” S. skierowała sprawę do Sądu Rejonowego w B., który nakazem zapłaty z dnia 11 kwietnia 2002 r., sygn. akt  (…), zasądził na jej rzecz kwotę wynikającą z umowy pożyczki wraz z należnościami ubocznymi. Nakaz zapłaty uprawomocnił się, a 18 grudnia 2002 r. nadana mu została klauzula wykonalności na rzecz S.
  2. W oparciu o uzyskany przez S. tytuł wykonawczy Komornik Sądowy przy Sądzie Rejonowym w M. M. D. wszczął wobec Skarżącego postępowanie egzekucyjne o sygn. (…).
  3. 29 stycznia 2015 r. S. zawarła ze Spółką AS. „Umowę przelewu wierzytelności”, mocą której przeniosła na Spółkę AS. wierzytelność wynikającą z niespłaconej przez Skarżącego pożyczki dyskontowej nr (…).
  4. W związku ze zmianą wierzyciela i w odpowiedzi na wniosek S., postanowieniem z dnia 1 czerwca 2016 r., Komornik Sądowy przy Sądzie Rejonowym w M. M. D. umorzył postępowanie egzekucyjne o sygn. (…).

10. Po dokonaniu na rzecz  Spółki AS. przelewu wierzytelności wobec Skarżącego S. – zgodnie z jej deklaracjami – przetwarza jego dane osobowe w następujących celach i w oparciu o następujące podstawy prawne:

a)    w celu wykonania umowy o członkostwo w S. – na podstawie art. 6 ust. 1 lit. b) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zmianami ogłoszonymi w Dz. Urz. UE L 127 z 23.05.2018, str.2, oraz w Dz. Urz. UE L 74 z 04.03.2021, str. 35), zwanego dalej „Rozporządzeniem 2016/679”,

b)    w celach związanych z wypełnieniem obowiązków prawnych ciążących na S. m.in. na mocy przepisów ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2021 r., poz. 217 ze zm.), ustawy z dnia 16 września 1982 r. Prawo spółdzielcze (Dz. U. z 2021 r., poz. 648 ze zm.), ustawy z 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych (Dz. U. z 2022 r., poz. 924 ze zm.) oraz ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2022 r., poz. 593 ze zm.) – na podstawie art. 6 ust. 1 lit. c) Rozporządzenia 2016/679,

c)    na potrzeby niniejszego postępowania administracyjnego  – na podstawie art. 6 ust. 1 lit. c) Rozporządzenia 2016/679,

d)    w celach wynikających z prawnie uzasadnionych interesów realizowanych przez S., to jest w celu ochrony przed roszczeniami Skarżącego – na podstawie art. 6 ust. 1 lit. f) Rozporządzenia 2016/679.

11. 29 stycznia 2015 r. Spółka AS. zawarła ze Spółką A. „Umowę dotyczącą obsługi wierzytelności (…) w odniesieniu do Funduszu (…)”. Mocą tej umowy Spółka AS. dokonała na rzecz Spółki A. powierniczego przelewu pakietu wierzytelności, w którym to pakiecie znajdowała się również wierzytelność wobec Skarżącego nabyta przez Spółkę AS. od S. (vide pkt 8 uzasadnienia niniejszej decyzji). Zgodnie z umową Spółka A. (jako wierzyciel powierniczy) zobowiązała się świadczyć w odniesieniu do wierzytelności stanowiących przedmiot przelewu powierniczego usługi zarządzania nimi, a w szczególności podjąć czynności windykacyjne na rzecz Spółki AS. „jako wyłącznego i ostatecznego beneficjenta” wierzytelności.

12. Postanowieniem z dnia 16 marca 2017 r., sygn. akt (…), Sąd Rejonowy w B., I Wydział Cywilny, nadał nakazowi zapłaty z dnia 11 kwietnia 2002 r., sygn. akt  (…), klauzulę wykonalności na rzecz Spółki A.

13. W odniesieniu do danych osobowych Skarżącego Spółka AS. oraz Spółka A. występują w charakterze współadministratorów, o których mowa w art. 26 ust. 1 Rozporządzenia 2016/679.

14. Dane osobowe Skarżącego przetwarzane są przez współadministratorów – Spółkę AS. oraz Spółkę A. (zwanych dalej łącznie „Współadministratorami”) – w następujących celach i w oparciu o następujące podstawy prawne:

a)    w celu dochodzenia roszczeń cywilnoprawnych, a więc w celu wynikającym z prawnie uzasadnionego interesu realizowanego przez Współadministratorów (na podstawie art. 6 ust. 1 lit. f) Rozporządzenia 2016/679),

b)    w celu obrony przed ewentualnymi roszczeniami wobec Współadministratorów (na podstawie art. 6 ust. 1 lit. f) Rozporządzenia 2016/679),

c)    w celach analitycznych i statystycznych związanych z zarządzaniem ryzykiem, organizacją i optymalizacją procesów obsługi wierzytelności oraz kontrolą nad przebiegiem tych procesów (na podstawie art. 6 ust. 1 lit. f) Rozporządzenia 2016/679),

d)    w celu wypełnienia obowiązków prawnych ciążących na Współadministratorach (na podstawie art. 6 ust. 1 lit. c) Rozporządzenia 2016/679), w tym wynikających z:

- art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2021 r., poz. 217 ze zm.),

- art. 86 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (Dz. U. z 2022 r., poz. 2651 ze zm.).

15. Skarżący nie zwracał się ani do S., ani do Spółki AS., ani również do Spółki A. z wnioskiem o udzielenie mu wskazanych w art. 32 ust. 1 pkt 1-5a u.o.d.o 1997 informacji dotyczących przetwarzania jego danych osobowych.

Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Przepisy prawne

16. Zgodnie z art. 34 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o. 2018”, Prezes UODO jest organem właściwym w sprawie ochrony danych osobowych. Jak stanowi natomiast art. 34 ust. 2 u.o.d.o. 2018 Prezes UODO jest organem nadzorczym w rozumieniu Rozporządzenia 2016/679.

17. Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium (Prezes UODO na terytorium Rzeczypospolitej Polskiej) monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzenia 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).

18. Zgodnie z art. 104 § 1 i 2 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r., poz. 2000 ze zm.), zwanej dalej „k.p.a.”, który to akt prawny – stosownie do art. 160 ust. 2 u.o.d.o. 2018 – ma zastosowanie w niniejszym postępowaniu, Prezes UODO jako organ administracji publicznej załatwia sprawę (w tym rozpatruje skargi wniesione przez osoby, których dane dotyczą) przez wydanie decyzji, które rozstrzygają sprawę co do jej istoty w całości lub w części albo w inny sposób kończą sprawę.

19. Rozporządzenie 2016/679 ma zastosowanie od dnia 25 maja 2018 r. (art. 99 ust. 2 Rozporządzenia 2016/679); tego też dnia weszła w życie u.o.d.o. 2018 (art. 176 u.o.d.o.).

20. Przed dniem 25 maja 2018 r. zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób, których dane osobowe były lub mogły być przetwarzane w zbiorach danych, regulowała u.o.d.o. 1997.

21. Z dniem 25 maja 2018 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych (zwanego dalej „GIODO”), wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa UODO, na podstawie u.o.d.o. 1997, zgodnie z zasadami określonymi w k.p.a. Wszelkie czynności podjęte przez GIODO przed dniem 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1–3 u.o.d.o. 2018).

22. Przepis art. 12 pkt 2 u.o.d.o. 1997, stosowany w związku z art. 160 ust. 2 u.o.d.o. 2018 r., stanowi, że do zadań GIODO (aktualnie Prezesa UODO) należy wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych. Zgodnie natomiast z art. 18 ust. 1 u.o.d.o. 1997, stosowanym w związku z art. 160 ust. 2 u.o.d.o. 2018 r., Prezes UODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie uchybień (pkt 1), wstrzymanie przekazywania danych osobowych do państwa trzeciego (pkt. 4) oraz usunięcie danych osobowych (pkt. 6).

23. Zgodnie z brzmieniem przepisu art. 23 ust. 1 u.o.d.o. 1997 (obowiązującym do dnia 25 maja 2018 r.), przetwarzanie danych osobowych było dopuszczalne, gdy: osoba, której dane dotyczyły, wyraziła na to zgodę, chyba że chodziło o usunięcie dotyczących jej danych (pkt 1), było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), było to konieczne do realizacji umowy, gdy osoba, której dane dotyczyły, była jej stroną lub gdy było to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczyły (pkt 3), było to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczyły (pkt 5). Zgodnie z art. 23 ust. 4 pkt 2 u.o.d.o. 1997 r. za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważane było w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

24. Zgodnie z art. 33 ust. 1 w związku z art. 32 ust. 1 pkt 5 u.o.d.o. 1997, na wniosek osoby, której dane dotyczyły, administrator danych obowiązany był udzielić tej osobie informacji m.in. o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te były udostępniane.

25. Aktualnie przetwarzanie danych osobowych jest zgodne z prawem, gdy administrator legitymuje się co najmniej jedną z określonych w art. 6 ust. 1 Rozporządzenia 2016/679 (stanowiącym odpowiednik obowiązującego do 25 maja 2018 r. przepisu art. 23 ust. 1 u.o.d.o. 1997) materialnych przesłanek przetwarzania danych osobowych. Według tego przepisu przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy zostanie spełniony co najmniej jeden z następujących warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonywania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

26. Aktualnie odpowiednikiem przepisu art. 33 u.o.d.o. 1997 (obowiązującego do 25 maja 2018 r.) jest art. 15 Rozporządzenia 2016/679 stanowiący, że osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz do informacji m.in. o kategoriach przetwarzanych danych osobowych oraz o odbiorcach, którym dane te zostały ujawnione (art. 15 ust.1 lit. b) i c) Rozporządzenia 2016/679).

27. Zgodnie z art. 17 ust. 1 Rozporządzenia 2016/679 osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek usunąć te dane w okolicznościach wskazanych w art. 17 ust. 1 i 2, lecz zgodnie z wyjątkiem przewidzianym w art. 17 ust. 3 lit. e), uprawnienie to nie ma zastosowania w zakresie w jakim przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

Ocena prawna

28. Jak wynika z brzmienia przepisów art. 160 ust. 1-3 u.o.d.o. 2018 (vide pkt 21 uzasadnienia niniejszej decyzji) niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie u.o.d.o. 1997 (w zakresie dotyczącym przepisów regulujących procedurę postępowania) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności i zgodności z prawem procesu przetwarzania danych osobowych). Ten sposób prowadzenia postępowań w sprawach rozpoczętych i niezakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koresponduje z orzecznictwem i ugruntowanym stanowiskiem doktryny, zgodnie z którym „[…] organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (A. Wróbel [w:] M. Jaśkowska, M. Wilbrandt-Gotowicz, A. Wróbel, Komentarz aktualizowany do Kodeksu postępowania administracyjnego, LEX/el. 2022, art. 104). Naczelny Sąd Administracyjny potwierdził to stanowisko w wyroku z 4 października 2000 r., w sprawie o sygn. V SA 283/00 (Lex nr 50110): „Przepisy kodeksu postępowania administracyjnego nie wiążą z datą wszczęcia postępowania podstawy faktycznej i prawnej rozpoznania sprawy. Miarodajny w tym zakresie jest stan obowiązujący w dacie wydania decyzji.”

29. W wyroku z dnia 7 maja 2008 r. wydanym w sprawie o sygn. akt I OSK 761/07 (Legalis nr 138727), Naczelny Sądu Administracyjny stwierdził natomiast, iż „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

30. W niniejszej sprawie Skarżący wniósł do GIODO (aktualnie: Prezesa UODO) o:

a)    „stwierdzenie bezprawnego przekazania” przez S. jego danych osobowych Spółce AS. (w związku z umową przelewu wierzytelności z 29 stycznia 2015 r. – vide pkt 8 uzasadnienia niniejszej decyzji) a następnie ich przekazania przez Spółkę AS. Spółce A. (w związku z umową powierniczego przelewu wierzytelności z 29 stycznia 2015 r. – vide pkt 11 uzasadnienia niniejszej decyzji),

b)    nakazanie usunięcia jego danych osobowych przez Spółkę A.,

c)    nakazanie S. – na podstawie art. 18 ust. 1 pkt 4 u.o.d.o. 1997 – wstrzymania przekazywania jego danych osobowych Spółce AS. mającej siedzibę w L,

d)    nakazanie S. – na podstawie art. 32 i 33 u.o.d.o. 1997 – wskazania jakie jego dane osobowe zostały przekazane Spółce AS., a następnie Spółce A.

Ad żądania Skarżącego pkt 30 a)

31. Odnosząc się do żądania Skarżącego „stwierdzenia bezprawnego przekazania” jego danych osobowych przez S. Spółce AS., a następnie ich przekazania przez Spółkę AS. Spółce A., stwierdzić należy, że to przekazanie danych osobowych nastąpiło w wykonaniu umów przelewu wierzytelności wobec Skarżącego zawartych pomiędzy S. a Spółką AS., a następnie pomiędzy Spółką AS. a Spółką A. Cesje te miały zaś miejsce w związku z niewywiązaniem się przez Skarżącego z zobowiązań wynikających z „Umowy pożyczki dyskontowej nr (…)” z 23 maja 2001 r.

32. Istnienie wierzytelności S. wobec Skarżącego wynikających z „Umowy pożyczki dyskontowej nr (…)” z 23 maja 2001 r. jest bezsporne. Potwierdza ten fakt prawomocny nakaz zapłaty z dnia 11 kwietnia 2002 r., sygn. akt  (…) (vide pkt 6 uzasadnienia niniejszej decyzji). Sam Skarżący zresztą nie zaprzeczył tej okoliczności; wręcz w sposób dorozumiany potwierdził ją nie żądając usunięcia swoich danych osobowych – analogicznie do żądania skierowanego do Spółki A. – również przez S.

33. Dokonanie skutecznych z punktu widzenia przepisów prawa cywilnego przelewów wierzytelności, w wyniku których nastąpiła zmiana wierzyciela w stosunku umownym wynikającym z „Umowy pożyczki dyskontowej nr (…)”, wykazane zostały zarówno przez S. – pierwotnego wierzyciela, jak i przez Spółkę A. – wierzyciela ostatecznego, stosownymi pisemnymi umowami. Skuteczność i zgodność z przepisami prawa cywilnego obu umów przelewu wierzytelności potwierdził Sąd Rejonowy w B., który 16 marca 2017 r. nadał nakazowi zapłaty z dnia 11 kwietnia 2002 r., sygn. akt  (…), klauzulę wykonalności na rzecz Spółki A.

34. Umowy przelewu wierzytelności zawarte (bez uzyskania zgody Skarżącego) pomiędzy S. a Spółką AS., a następnie pomiędzy Spółką AS. a Spółką A. znajdują swoją podstawę prawną w art. 509 § 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2022 r., poz. 1360 ze zm.) stanowiącym, że wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Możliwość dokonania przelewu wierzytelności wobec konsumenta (którym w zobowiązaniu umownym wynikającym z „Umowy pożyczki dyskontowej nr (…)” był Skarżący) dopuszcza natomiast orzecznictwo sądów cywilnych i administracyjnych. Sąd Najwyższy w wyroku z 26 września 2008 r., sygn. akt V CSK 105/08, stwierdził: „[Ustawodawca] nie ustanowił natomiast zakazu zbywania wierzytelności bez zgody konsumenta. Sama zmiana osoby wierzyciela w odniesieniu do ściśle określonej wierzytelności nie prowadzi zresztą ani do zmiany tożsamości stosunku zobowiązaniowego, ani do tak poważnych trudności dla dłużnika, że dla ochrony jego interesów należałoby jej zakazać.” (Legalis nr 340508). Naczelny Sąd Administracyjny z kolei w wyroku z 6 czerwca 2005 r., sygn. akt I OPS 2/05, wydanym w składzie siedmiu sędziów, orzekł: „Nie można więc przyjąć z góry założenia, że nie można przenieść wierzytelności na osobę trzecią, gdy dłużnikiem jest konsument, bez zgody dłużnika (art. 509 § 1 KC), ponieważ sprzeciwiałoby się to ustawie (art. 3853 pkt 5 KC)” (Legalis nr 71134).

35. Przelew wierzytelności wiąże się w sposób oczywisty z przekazaniem nabywcy wierzytelności danych osobowych dłużnika niezbędnych do podjęcia względem niego stosownych działań zmierzających do odzyskania należności. Takie przekazanie danych osobowych należy uznać za przetwarzanie niezbędne dla wypełnienia prawnie usprawiedliwionych celów administratora, o czym wprost stanowił art. 23 ust. 4 pkt 2 u.o.d.o. 1997 obowiązujący w dniu 29 stycznia 2015 r., to jest w dacie zawarcia obu istotnych w niniejszej sprawie umów przelewu wierzytelności. Prawnie usprawiedliwionym celem w niniejszej sprawie jest dla S. (zbywcy wierzytelności) zaspokojenie swojego roszczenia wobec Skarżącego z ceny uzyskanej ze sprzedaży wierzytelności, natomiast dla Spółki AS. (nabywcy wierzytelności) – możliwość dochodzenia roszczenia nabytego zgodnie z obowiązującymi przepisami prawa. Wskazać w tym miejscu należy również, że zakres danych osobowych przekazanych przez S. Spółce AS. jest niezbędny w celu dochodzenia roszczenia; zakres ten wyznaczony jest zawartością przekazanych przez S. Spółce A. dokumentów wskazujących na źródło tego zobowiązania (kopia „Umowy pożyczki dyskontowej nr (…)” z 23 maja 2001 r.) oraz potwierdzających jego istnienie i możliwość jego dochodzenia przez nabywcę wierzytelności (kopia nakazu zapłaty z 11 kwietnia 2002 r., sygn. akt (…), kopia postanowienia Komornika Sądowego z 1 czerwca 2016 r. o umorzeniu postępowania egzekucyjnego, sygn. akt (…)).

36. Dochodzenie roszczeń jest zjawiskiem powszechnym w obrocie gospodarczym i jednocześnie naturalnym następstwem zawierania kontraktów przez równoprawne i działające co do zasady w sposób świadomy i swobodny strony, które w chwili zawarcia umowy akceptują i potwierdzają ustalone warunki, w tym dotyczące wykonania wzajemnych zobowiązań i uznania – w przypadku niewywiązania się z zobowiązania przez jedną ze stron – prawa drugiej strony do dochodzenia ich wykonania – dobrowolnego lub za pośrednictwem innych dozwolonych przepisami prawa środków i instrumentów. Skarżący w chwili zawarcia umowy pożyczki takie uprawnienia S. uznał i zaakceptował świadomie i dobrowolnie. Świadczy o tym chociażby podpisanie przez Skarżącego i wręczenie S. weksla in blanco jako zabezpieczenia wykonania umowy pożyczki. Nie można więc uznać, że przetwarzanie danych osobowych Skarżącego w celu dochodzenia roszczeń wynikających z umowy (nawet w przypadku zmiany wierzyciela) narusza jego prawa i wolności. Na takim stanowisku stanął Sąd Najwyższy w przywołanym w pkt 34 uzasadnienia niniejszej decyzji wyroku, sygn. akt V CSK 105/08, stwierdzając że „zmiana osoby wierzyciela w odniesieniu do ściśle określonej wierzytelności nie prowadzi zresztą ani do zmiany tożsamości stosunku zobowiązaniowego, ani do tak poważnych trudności dla dłużnika, że dla ochrony jego interesów należałoby jej zakazać.”

37. Podsumowując powyższe stwierdzić należy, że przekazanie danych osobowych Skarżącego mające miejsce w związku wykonaniem umów przelewu wierzytelności zawartych pomiędzy S. a Spółką AS., a następnie pomiędzy Spółką AS. a Spółką A., miało oparcie w przepisie art. 23 ust. 1 pkt 5 u.o.d.o. 1997. Realizowało ono bowiem po pierwsze prawnie usprawiedliwiony cel S. (dochodzenie roszczeń z zawartej ze Skarżącym umowy pożyczki); po drugie było do realizacji tego celu niezbędne (wobec niewywiązywania się przez Skarżącego z zobowiązań umownych); po trzecie zaś nie naruszało praw i wolności Skarżącego (skoro zawarł on ze S. umowę dobrowolnie, będąc świadomym przysługujących jej uprawnień związanych z dochodzeniem wynikających z umowy roszczeń).

Ad żądania Skarżącego pkt 30 b)

38. Konsekwencją stwierdzenia, że przekazanie danych osobowych Skarżącego, mające miejsce w związku wykonaniem umów przelewu wierzytelności zawartych pomiędzy S. a Spółką AS., a następnie pomiędzy Spółką AS. a Spółką A., miało oparcie w obowiązującym w tej dacie przepisie art. 23 ust. 1 pkt 5 u.o.d.o. 1997, jest uznanie, że Spółka A. na dzień wydania niniejszej decyzji przetwarza dane osobowe Skarżącego legalnie, a żądanie Skarżącego nakazania usunięcia jego danych osobowych przez tę spółkę jest bezpodstawne.

39. Aktualnie (na dzień wydania niniejszej decyzji) Spółka A. przetwarza dane osobowe Skarżącego w oparciu o przepis art. 6 ust. 1 lit. f) Rozporządzenia 2016/679, stanowiący odpowiednik art. 23 ust. 1 pkt 5 u.o.d.o. 1997. Jak wykazano bowiem w pkt 35-37 uzasadnienia niniejszej decyzji realizuje ona bowiem swój prawnie uzasadniony interes (dochodzi legalnie i skutecznie nabytej wierzytelności wobec Skarżącego); dokonywanie przez nią przetwarzania danych osobowych Skarżącego jest w tym celu niezbędne, a prawa i wolności Skarżącego nie są nadrzędne wobec interesu administratora.

40. Dodatkowo Spółka A. przetwarza również dane osobowe Skarżącego również w innych celach wynikających z faktu stania się wierzycielem Skarżącego:

a)    w celu obrony przed ewentualnymi roszczeniami Skarżącego (na podstawie art. 6 ust. 1 lit. f) Rozporządzenia 2016/679),

b)    w celach analitycznych i statystycznych związanych z zarządzaniem ryzykiem, organizacją i optymalizacją procesów obsługi wierzytelności oraz kontrolą nad przebiegiem tych procesów (na podstawie art. 6 ust. 1 lit. f) Rozporządzenia 2016/679),

c)    w celu wypełnienia ciążących na niej obowiązków prawnych (na podstawie art. 6 ust. 1 lit. c) Rozporządzenia 2016/679), w tym wynikających z art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości i z art. 86 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa.

Ad żądania Skarżącego pkt 30 c)

41. Przepis art. 18 ust. 1 pkt 4 u.o.d.o. 1997, na który powoływał się Skarżący żądając wstrzymania przekazywania jego danych osobowych Spółce A., dawał GIODO uprawnienie do nakazania – w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych – wstrzymania przekazywania danych osobowych do państwa trzeciego. Zgodnie natomiast z art. 7 pkt 7 u.o.d.o. 1997 „państwem trzecim” w rozumieniu tej ustawy było państwo nienależące do Europejskiego Obszaru Gospodarczego (dalej „EOG”).

42. Państwo Luksemburg, na terenie którego siedzibę ma Spółka AS., jest członkiem EOG od daty wejścia w życie „Porozumienia o Europejskim Obszarze Gospodarczym” z 2 maja 1992 r., to jest od 1 stycznia 1994 r. W niniejszej sprawie nie miało więc miejsca przekazywania danych osobowych do państwa trzeciego (nienależącego do EOG). Z tego też względu żądanie Skarżącego należy uznać za bezzasadne.

43. Niezależnie od powyższego stwierdzić należy, że przekazanie przez S. danych osobowych Skarżącego Spółce AS. było zdarzeniem jednorazowym. Po przekazaniu danych osobowych Skarżącego w wykonaniu „Umowy przelewu wierzytelności” z 29 stycznia 2015 r. dalsze przekazywanie tych danych nie miało miejsca. Również więc z tego powodu żądanie nakazania „wstrzymania przekazywania” danych osobowych Skarżącego do państwa trzeciego jest bezpodstawne.

Ad żądania Skarżącego pkt 30 d)

44. Odnosząc się do żądania Skarżącego nakazania S. wskazania Skarżącemu jakie jego dane osobowe zostały przekazane Spółce AS., a następnie Spółce A., stwierdzić należy, że jest ono nieuzasadnione i wynika z niezrozumienia roli organu nadzorczego jakim jest Prezes UODO w obszarze ochrony danych osobowych. Stosownie do art. 57 ust. 1 lit. a) Rozporządzenia 2016/679 do zadań Prezesa UODO należy monitorowanie i egzekwowanie stosowania tego aktu prawnego. W szczególności Prezes UODO rozpatruje skargi wniesione przez osoby, których dane dotyczą (art. 57 ust. 1 lit. f) Rozporządzenia 2016/679). W przypadku stwierdzenia naruszenia przez administratora lub podmiot przetwarzający praw takiej osoby – nakazuje spełnienie żądania takiej osoby (art. 57 ust. 2 lit. c) Rozporządzenia 2016/679), a w przypadku spraw wszczętych i niezakończonych przed dniem 25 maja 2018 r. – nakazuje przywrócenie stanu zgodnego z prawem w oparciu o art. 18 ust. 1 u.o.d.o. 1997 (vide pkt 28 uzasadnienia niniejszej decyzji). Z powyższych przepisów nie wynika kompetencja Prezesa UODO do zastępowania osoby, której dane dotyczą w wykonywaniu przysługujących jej uprawnień wynikających z przepisów o ochronie danych osobowych lub też do występowania w roli swego rodzaju pełnomocnika strony wobec administratora w realizacji tych uprawnień.

45. Skarżący w swojej skardze do GIODO, powołując się na art. 32 i 33 u.o.d.o. 1997, zażądał „podania jakie dane osobowe zostały przekazane” przez  S. Spółce AS., a następnie Spółce A. Przepis art. 32 u.o.d.o. 1997, obowiązujący w chwili złożenia skargi, ustanawiał na rzecz osób, których dane są przetwarzane przez administratora, prawo do kontroli tego przetwarzania, a w szczególności prawo do uzyskania informacji o sposobie i zakresie tego przetwarzania. Jednakże art. 33 u.o.d.o. 1997 wyraźnie wskazywał, że prawo to realizowane jest na wniosek osoby, której dane dotyczą.

46. Podobnie prawo dostępu do danych osobowych przetwarzanych przez administratora oraz do informacji o tym przetwarzaniu skonstruowane zostało w art. 15 Rozporządzenia 2016/679 obowiązującym w chwili wydania niniejszej decyzji. Użyte w tym przepisie sformułowanie „osoba, której dane dotyczą […] jest uprawniona do uzyskania dostępu” wskazuje na uprawnienie osoby, której dane są przetwarzane, a nie bezwzględny obowiązek administratora realizowany niezależnie od woli i inicjatywy tej osoby (taka odmienna konstrukcja sformułowana została w art. 13 i 14 Rozporządzenia 2016/679, które to przepisy mówią o obowiązkach informacyjnych administratora względem osoby, której dane pozyskał). Również więc w aktualnym stanie prawnym prawo dostępu do informacji o przetwarzaniu danych osobowych realizowane jest na wniosek osoby, której dane dotyczą. Dopiero odmowa lub brak reakcji administratora na taki wniosek stwarza stan naruszenia przez niego przepisów o ochronie danych osobowych, a konkretnie stan naruszenia prawa dostępu osoby, której dane dotyczą, do jej danych osobowych oraz do informacji związanych z ich przetwarzaniem. Osobie dotkniętej takim naruszeniem przysługuje skarga do Prezesa UODO; Prezes UODO ma natomiast (i to tylko w przypadku stwierdzenia takiego naruszenia) prawo i obowiązek zastosowania znajdujących się w jego kompetencji środków. Jak stanowił bowiem art. 18 ust. 1 u.o.d.o. 1997 (mający zastosowanie w niniejszej sprawie w związku z art. 160 ust. 2 u.o.d.o. 2018) GIODO (aktualnie Prezes UODO) nakazuje przywrócenie stanu zgodnego z prawem w przypadku naruszenia przepisów o ochronie danych osobowych.

47. W niniejszej sprawie Skarżący nie zwracał się ani do S., ani do Spółki AS., ani również do Spółki A. z wnioskiem o udzielenie mu wskazanych w art. 32 ust. 1 pkt 1-5a u.o.d.o 1997 informacji dotyczących przetwarzania jego danych osobowych. Wniosek ten sformułowany został przez Skarżącego dopiero w skardze do GIODO. W związku z tym, i mając na uwadze powyższe rozważania, stwierdzić należy, że również odnośnie tego żądania brak jest podstaw do orzeczenia przez Prezesa UODO wobec S. nakazu przywrócenie stanu zgodności z prawem.

Podsumowując stwierdzić należy, że żadne z żądań sformułowanych przez Skarżącego w skardze nie zasługuje na uwzględnienie. W przedstawionym stanie faktycznym i prawnym Prezes UODO zobowiązany jest rozstrzygnąć jak w sentencji.

Pouczenie

Na podstawie art. 127 § 3 Kodeksu postępowania administracyjnego od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00- 93 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2023-01-18
Wprowadził informację:
user Mathias Proch
date 2023-10-23 13:00:26
Ostatnio modyfikował:
user Edyta Madziar
date 2023-10-26 11:20:27