Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w zw. z art. 12 pkt 2, art. 18 ust. 1 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz art. 57 ust. 1 lit. a) i lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016 r. str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 r. str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani A. K., na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Pana Ł. W., prowadzącego działalność gospodarczą pod firmą Ł. W. […], Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

UZASADNIENIE

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pani A. K. (zwanej dalej „Skarżącą”), na bezprawne upublicznienie przez Pana Ł. W., prowadzącego działalność gospodarczą pod firmą Ł. W. […] (zwanego dalej „Przedsiębiorcą”), jej danych osobowych w zakresie imienia i nazwiska oraz informacji o posiadaniu przez nią zadłużenia, ewentualnie na przekazanie jej danych osobowych podmiotowi trzeciemu, który takiego upublicznienia jej danych dokonał. Skarżąca podniosła, że w dniu […] września 2014 r. na drzwiach i na skrzynkach pocztowych należących do lokali mieszkalnych przy […] (w którym mieszka) i przy […] (w którym była zameldowana) umieszczone zostały pisma z napisem „windykacja” oraz jej imieniem i nazwiskiem, wskutek czego upublicznione zostały bezprawnie jej dane osobowe. Skarżąca ustaliła, że sprawcą tego zdarzenia był Przedsiębiorca lub jego pracownik, ewentualnie firma trzecia działająca na zlecenie Przedsiębiorcy. W związku z powyższym zdarzeniem Skarżąca wniosła do Generalnego Inspektora Ochrony Danych Osobowych o nakazanie zaprzestania bezprawnego upubliczniania jej danych osobowych przez Przedsiębiorcę oraz o zaprzestanie przekazywania jej danych osobowych podmiotom trzecim, które takiego upubliczniania dokonują.

W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również „Prezesem UODO”, ustalił następujący stan faktyczny:

1. Przedsiębiorca prowadził od dnia […] listopada 2007 r. działalność gospodarczą pod firmą Ł. W. […]. W ramach prowadzonej działalności Przedsiębiorca świadczył usługi finansowe w zakresie udzielania pożyczek i kredytów pozabankowych. Korzystał w tej działalności z marki i logo „[…]”. Działalność Przedsiębiorcy wykreślona została z Centralnej Ewidencji i Informacji o Działalności Gospodarczej w dniu […] czerwca 2018 r.
2. Przedsiębiorca pozyskał dane osobowe Skarżącej w dniu […] grudnia 2013 r. w związku z zawarciem z nią umowy pożyczki o numerze […]. Skarżąca czterokrotnie zawierała z Przedsiębiorcą umowy pożyczki – tzw. „chwilówki” (z 30-dniowym terminem zapłaty). Skarżąca zawarła z Przedsiębiorcą również umowę kredytu, który odnowiony został w dniu […] czerwca 2014 r.
3. W związku z zawartymi z Przedsiębiorcą umowami pożyczki i kredytu powstało po stronie Skarżącej zadłużenie wynoszące […] zł według stanu na dni […] i […] listopada 2014 r., w których to dniach Przedsiębiorca skierował przeciwko Skarżącej do Sądu Rejonowego […] dwa pozwy o zapłatę.
4. W ramach czynności windykacyjnych pracownik Przedsiębiorcy udał się w dniu […] września 2014 r. do miejsca zamieszkania Skarżącej ([…]) i do miejsca jej zameldowania ([…]), gdzie – wobec nieobecności Skarżącej – pozostawił w drzwiach mieszkań wizytówkę z logo „[…]” i danymi kontaktowymi Przedsiębiorcy, napisem „WINDYKACJA” oraz notatką „Pani A. K. proszę o pilną spłatę pożyczki [dalej nieczytelne]”. Powyższe ustalenia potwierdził Przedsiębiorca w wyjaśnieniach złożonych w niniejszej sprawie pismem z […] lutego 2015 r. Przedsiębiorca zaprzeczył jedynie, że jego pracownik okleił drzwi wejściowe do mieszkań oraz skrzynki pocztowe przynależące do nich jakimikolwiek naklejkami.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Z dniem 25 maja 2018 r. w krajach członkowskich Unii Europejskiej zaczęły być stosowane w przedmiocie ochrony danych osobowych przepisy Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z dnia 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”. Również z dniem 25 maja 2018 r. weszła w życie na terytorium Rzeczpospolitej Polskiej ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwana dalej „u.o.d.o. 2018”, wdrażająca na terytorium Rzeczpospolitej Polskiej Rozporządzenie 2016/679 i uzupełniająca regulacje w tym akcie prawnym przewidziane.

W myśl art. 160 ust. 1 i 2 u.o.d.o. 2018, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie tej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.), zwanej dalej „u.o.d.o. 1997”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.), zwanej dalej „k.p.a.”. Jednocześnie, zgodnie z art. 160 ust. 3 u.o.d.o. 2018, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie jej przepisów, pozostają skuteczne.

Uwzględniając powyższe regulacje prawne stwierdzić zatem należy na wstępie, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest – w zakresie obejmującym przepisy regulujące procedurę postępowania – w oparciu o przepisy u.o.d.o. 1997 oraz k.p.a. Natomiast materialnoprawna ocena legalności i zgodności z prawem procesu przetwarzania danych osobowych (o ile przetwarzanie i ewentualne naruszenie przepisów regulujących to przetwarzanie kontynuowane jest w dacie wydania decyzji) powinna nastąpić w oparciu o przepisy Rozporządzenia 2016/679. Powyższe stwierdzenie zgodne jest z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania […]. W razie zmiany przepisów prawa w toku postępowania administracyjnego należy rozważyć, czy zmienione przepisy materialnoprawne działają wstecz, tylko wówczas bowiem zmiana ta może mieć wpływ na treść decyzji […]. Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjnoprawnych, gdy stosunki te tego wymagają” (Wróbel Andrzej. Art. 104. w: Kodeks postępowania administracyjnego. Komentarz, wyd. VIII, Wolters Kluwer Polska, 2020). W wyroku Naczelnego Sądu Administracyjnego w Warszawie z 4 października 2000 r., sygn. akt V SA 283/00, LEX nr 50110, wskazano, że: „Przepisy kodeksu postępowania administracyjnego nie wiążą z datą wszczęcia postępowania podstawy faktycznej i prawnej rozpoznania sprawy. Miarodajny w tym zakresie jest stan obowiązujący w dacie wydania decyzji”. Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 – stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

Zgodnie z brzmieniem przepisu art. 23 ust. 1 u.o.d.o. 1997, obowiązującej w okresie, którego dotyczyła skarga Skarżącej, przetwarzanie danych osobowych było dopuszczalne, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). Przetwarzanie danych zaś – zgodnie z definicją zawartą w art. 7 pkt 2 u.o.d.o. 1997 – to „jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie”.

W obowiązującym aktualnie (w dacie wydania niniejszej decyzji) stanie prawnym przepisem wskazującym przesłanki legalności przetwarzania danych osobowych, odpowiadającym art. 23 ust. 1 u.o.d.o. 1997, jest art. 6 ust. 1 Rozporządzenia 2016/679. Stanowi on, że przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy zostanie spełniony jeden z wymienionych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonywania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W niniejszej sprawie bezspornym jest, że Przedsiębiorca pozyskał i przetwarzał dane osobowe Skarżącej legitymując się przesłanką niezbędności w celu wykonania umów pożyczki i kredytu, łączących go ze Skarżącą (przesłanka określona w art. 23 ust. 1 pkt 3 u.o.d.o. 1997, której w aktualnym stanie prawnym odpowiada przesłanka wskazana w art. 6 ust. 1 lit. b) Rozporządzenia 2016/679). Z chwilą niewywiązania się przez Skarżącą z zobowiązań wobec Przedsiębiorcy wynikających z przedmiotowym umów i podjęciem przez Przedsiębiorcę czynności mających na celu realizację roszczeń wobec Skarżącej, przetwarzanie przez niego danych osobowych Skarżącej znalazło uzasadnienie w prawnie uzasadnionym celu (interesie), o którym mowa w art. 23 ust. 1 pkt 5 u.o.d.o. 1997 (w poprzednim stanie prawnym) oraz w odpowiadającym mu w aktualnym stanie prawnym art. 6 ust. 1 lit. f) Rozporządzenia 2016/679. Wierzyciel może bowiem dochodzić realizacji swojego roszczenia (spłaty zadłużenia), a jego oczywisty interes faktyczny o charakterze majątkowym ma uzasadnienie prawne w przepisach ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2019 r. poz. 1145 ze zm.), zwanej dalej „k.c.”, w szczególności w jej art. 353 § 1 stanowiącym, że „wierzyciel może żądać od dłużnika świadczenia, a dłużnik powinien świadczenie spełnić”. Z tego powodu też ustawodawca wprost – w art. 23 ust. 4 pkt 2 u.o.d.o. 1997 – wskazał, że za prawnie usprawiedliwiony cel uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Stwierdzając co do zasady dopuszczalność przetwarzania danych osobowych dłużnika w oparciu o przesłankę realizacji prawnie uzasadnionego celu administratora (wierzyciela), stwierdzić należy, że uprawnienie to (w tym sposób jego realizacji) nie było w stanie prawnym obowiązującym w dacie zdarzenia, i nie jest aktualnie, bezwzględne – niczym nie ograniczone. Jak stanowił bowiem art. 23 ust. 1 pkt 5 u.o.d.o. 1997 (analogiczna regulacja przewidziana jest w aktualnie obowiązującym przepisie art. art. 6 ust. 1 lit. f) Rozporządzenia 2016/679) przetwarzanie takie musiało być po pierwsze „niezbędne” do realizacji interesu administratora (wierzyciela), a po drugie nie mogło naruszać praw i wolności osoby, której dane dotyczą. Zastrzeżenie „nienaruszania praw i wolności osoby, której dane dotyczą’ należy przy tym rozumieć jako brak „przewagi” praw i wolności podmiotu danych osobowych nad interesem administratora. W doktrynie przyjmuje się, że „[…] powołanie się na przesłankę określoną w art. 23 ust. 1 pkt 5 jest możliwe, jeżeli […] nie ma żadnych podstaw do przyjęcia, że przeważają kolidujące, chronione interesy osoby, której dane dotyczą, w wyniku czego można mówić o naruszeniu jej praw i wolności” (A. Drozd [w:] Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, wyd. IV, Warszawa 2008, art. 23.). W niniejszej sprawie w sposób oczywisty nie można uznać praw i wolności Skarżącej (w szczególności prawa do prywatności, prawa do ochrony dobrego imienia, itp.) za nadrzędne czy też przeważające nad interesem Przedsiębiorcy, w szczególności wobec faktu, że zawierając umowy pożyczki i kredytu Skarżąca miała świadomość uprawnień wierzyciela na wypadek niewywiązania się przez nią z umowy i musiała się godzić na poddanie się działaniom mającym na celu realizację tych uprawnień. W tym kontekście za uzasadnione i za dopuszczalne należy uznać działania Przedsiębiorcy polegające na próbach nawiązania kontaktu ze Skarżącą, w tym – wobec braku innych możliwościach kontaktu – na wizytach bezpośrednich w znanych Przedsiębiorcy miejscach zamieszkania Skarżącej. Takie działania same w sobie nie naruszają w sposób istotny praw i wolności Skarżącej, mieszczą się również w przesłance „niezbędności” do realizacji interesu Przedsiębiorcy. „Żądanie od dłużnika świadczenia”, o którym mowa bowiem w art. 353 § 1 k.c., zakłada bowiem konieczność nawiązania z dłużnikiem kontaktu celem przekazania żądania zapłaty należności.

Za „niezbędne” w powyższym kontekście Prezes UODO nie może uznać natomiast działania pracownika Przedsiębiorcy polegającego na pozostawieniu w miejscu zamieszkania Skarżącej, w sposób niezabezpieczony przed dostępem osób trzecich, danych osobowych Skarżącej wraz z informacją wskazującą na istnienie po jej stronie zobowiązania pieniężnego oraz żądaniem spełnienia świadczenia (w tym przypadku notatką o treści „proszę o pilną spłatę pożyczki”). Takie działanie w sposób nieadekwatny do zamierzonego celu narusza interesy i prawa Skarżącej (prawo do ochrony życia prywatnego i prawo do ochrony dobrego imienia); nie jest również niezbędne, ponieważ ten sam cel Przedsiębiorca mógłby osiągnąć innymi środkami (np. przez pozostawienie informacji w niezabezpieczonej formie wewnątrz skrzynki pocztowej czy też pozostawienie informacji w zamkniętej kopercie u sąsiadów).

Z wyżej przedstawionych powodów stwierdzić należy, że działanie Przedsiębiorcy stanowiące przedmiot skargi stanowiło naruszenie przepisów o ochronie danych osobowych – polegającym na ich udostępnieniu osobom nieuprawnionym – bez podstawy prawnej (żadnej z enumeratywnie wyliczonych w ówcześnie obowiązującym art. 23 ust. 1 pkt 3 u.o.d.o. 1997).

Dodatkowo stwierdzić należy, że w niniejszej sprawie nie ustalono faktu zlecenia przez Przedsiębiorcę dochodzenie swoich roszczeń wobec Skarżącej podmiotowi trzeciemu, i przekazania w tym celu temu podmiotowi trzeciemu danych osobowych Skarżącej. Należy jednak wyraźnie podkreślić, że co do zasady udostępnienie danych osobowych dłużnika podmiotowi realizującemu w imieniu administratora danych (wierzyciela) czynności windykacyjne wobec tego dłużnika, jest dopuszczalne. Jednakże działania podmiotu występującego w imieniu wierzyciela oceniane są również w świetle wyżej przedstawionych kryteriów niezbędności dla wypełnienia prawnie usprawiedliwionych celów administratora oraz nienaruszalności praw i wolności osoby, której dane dotyczą.

Stwierdzając w niniejszej sprawie naruszenie przez Przedsiębiorcę przepisów o ochronie danych osobowych, Prezes UODO zobligowany jest jednak, zważywszy na jej okoliczności, odmówić uwzględnienia wniosku Skarżącej. Zdarzenie stanowiące podstawę skargi uznać należy bowiem za jednorazowe i incydentalne. Miało miejsce w dniu […] września 2014 r., nie było powtarzane w późniejszym okresie, i – co najistotniejsze - nie jest kontynuowane w dacie wydania niniejszej decyzji. Wobec tego, że – jak zostało to wskazane na wstępie uzasadnienia niniejszej decyzji – Prezes UODO orzeka w niniejszej sprawie na podstawie u.o.d.o. 1997 (mając do dyspozycji jedynie środki wskazane w art. 18 ust 1 tej ustawy), organ ochrony danych osobowych nie ma podstaw do rozstrzygnięcia zgodnego z żądaniami Skarżącej. Jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 17 lipca 2015 r., I OSK 2464/13 (LEX nr 2091094): „Zgodnie z tym przepisem [art. 18 ust. 1 u.o.d.o. 1997], w sytuacji, gdy dochodzi do naruszenia przepisów ustawy o ochronie danych osobowych Generalny Inspektor, w razie stwierdzenia tego naruszenia, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, poprzez wydanie określonych nakazów wymienionych w tym przepisie. W literaturze przedmiotu podkreśla się, że decyzja Generalnego Inspektora wydawana na podstawie powyższego przepisu ma służyć przywróceniu stanu zgodnego z prawem. […] Przesłanką wydania nakazu jest stwierdzenie naruszenia przepisów o ochronie danych osobowych, tj. z zebranego w postępowaniu materiału dowodowego musi wynikać, że swoim działaniem lub zaniechaniem administrator naruszył przepisy prawa. Co ważne, stwierdzony przez organ stan naruszenia przepisów o ochronie danych osobowych powinien istnieć w dacie wydania decyzji”.

Jak z powyższego wynika, Prezes UODO w sprawach wszczętych przed 25 maja 2018 r., to jest przed datą rozpoczęcia stosowania przepisów Rozporządzenia 2016/679, nie ma możliwości dokonania oceny naruszeń przeszłych, nie kontynuowanych w chwili orzekania, np. w celach represyjnych – mających na celu wyciągnięcie konsekwencji w związku z takimi naruszeniami. Taką możliwość (kompetencję do nałożenia administracyjnej kary pieniężnej) Prezes UODO otrzymał dopiero na podstawie przepisów Rozporządzenia 2016/679 – w sprawach wszczętych po dacie rozpoczęcia jego stosowania.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.