Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 60, art. 160 ust. 1 i 2, art. 28 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w zw. z art. 12 pkt 2, art. 22, art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz art. 6 ust. 1, art. 57 ust. 1 lit. a) i lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016 r. str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 r. str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana J. K., na przetwarzanie jego danych osobowych przez G. S.A. , Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku

UZASADNIENIE

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pana J. K. (dalej także: „Skarżący”) na przetwarzanie jego danych osobowych przez G. S.A. (dalej także: „Spółka”). Skarżący wskazał, że Spółka przetwarza jego dane osobowe bez podstawy prawnej. W treści swojej skargi Skarżący podniósł, że Spółka weszła niegodnie z prawem w posiadanie jego danych osobowych kupując je od firmy P. Sp. z o. o. ponieważ podmiot ten wycofał pozew ze zrzeczeniem się roszczenia i zgodnie z wyrokiem Sądu Rejonowego w B. z […] listopada 2012 r. o sygn. akt […] danych tych udostępnić nie mógł, a ich sprzedaż przez Spółkę była niezgodna z art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), dalej także: „ustawa o ochronie danych osobowych z 2019 r.”.

Wobec powyższego Skarżący wniósł o przywrócenie w drodze decyzji administracyjnej stanu zgodnego z prawem poprzez usunięcie jego danych przez G. S.A.

W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:

1.Spółka przetwarza dane osobowe Skarżącego realizując czynności związane z zarządzaniem sekurytyzowanym portfelem wierzytelności na rzecz E. (dalej zwany także: „Fundusz” lub „Administrator”), zarządzanego przez N. S.A. (dalej zwane także: „Towarzystwo”).

2. Na podstawie porozumienia nr […] z dnia […] czerwca 2013 r. do umowy ramowej przelewu wierzytelności z dnia […] maja 2013 r. zawartej z P. Sp. z o.o., Fundusz nabył zobowiązania Skarżącego i tym samym wstąpił w prawa wierzyciela w zakresie wierzytelności dotyczącej Skarżącego (cesja wierzytelności na podstawie art. 509 i nast. ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2019 r. poz. 1145 ze zm.).

3.Pomiędzy Funduszem zarządzanym przez Towarzystwo a Spółką zawarta została umowa z […] czerwca 2015 r. zlecenia zarządzania całością portfela inwestycyjnego E. obejmującego sekurytyzowane wierzytelności oraz na podstawie art. 31 ustawy o ochronie danych osobowych z 1997 r. zawarta została umowa powierzenia przetwarzania danych osobowych z dnia […] maja 2018 r.

4. Spółka przetwarza dane osobowe Skarżącego w zakresie obejmującym: imię i nazwisko, adres zamieszkania, adres korespondencyjny, PESEL, numer telefonu, datę urodzenia, wysokość zadłużenia, numer rachunku bankowego do spłat zadłużenia.

5. Zgodnie z twierdzeniem Spółki, w dniu […] lipca 2013 r. zostało wystosowane pismo do Skarżącego „zawiadomienie o przelewie wierzytelności”. Było to pierwsze pismo a zatem pierwszy kontakt ze Skarżącym, W treści tego pisma wskazano kto jest administratorem danych Skarżącego, celu przetwarzania danych osobowych, uprawnień wynikających z art. 32-35 i innych danych jakie wynikają z art. 25 ust. 1 ustawy o ochronie danych osobowych.

6. Pismo zawierające informacje wskazane w pkt 5 zostało wysłane listem zwykłym.

7. Zgodnie ze oświadczeniem Skarżącego, nie otrzymał on przedmiotowej przesyłki listowej.

8. Spółka posiada informacje o postanowieniu Sądu Rejonowego B. z dnia […] listopada 2014 r. o umorzeniu powództwa w związku z cofnięciem pozwu o zapłatę w sprawie pomiędzy Funduszem a Skarżącym (sygn. akt […]). Postępowanie zostało umorzone z uwagi na fakt, że Fundusz cofnął pozew wszczynający niniejszą sprawę, bez zrzeczenia się roszczenia. Spółka wskazała ponadto, że umorzenie postępowania sądowego, z uwagi na cofnięcie pozwu bez zrzeczenia się roszczenia przez powoda nie oznacza uznania przez wierzyciela długu, że zobowiązanie jest nienależne.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje.

Stosownie do art. 57 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. U. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), zwanego dalej „Rozporządzeniem 2016/679”, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).

W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

Zgodnie z brzmieniem przepisu art. 23 ust. 1 ustawy o ochronie danych osobowych z 1997 r., obowiązującej w okresie, którego dotyczyła skarga Skarżącego, przetwarzanie danych osobowych było dopuszczalne, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5).

W obowiązującym od 25 maja 2018 r. Rozporządzeniu 2016/679 ustanowiono przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych (art. 1 ust. 1). W myśl art. 2 ust. 1 Rozporządzenia 2016/679, rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Przetwarzanie danych to operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2). Natomiast dane osobowe zgodnie z art. 4 pkt. 1 Rozporządzenia 2016/679 to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przepisem uprawniającym administratora do przetwarzania danych osób fizycznych jest art. 6 Rozporządzenia 2016/679, który legalizuje przetwarzanie danych, gdy spełniona jest co najmniej jedna z enumeratywnie wskazanych w nim przesłanek. W konsekwencji Fundusz może przetwarzać dane osobowe Skarżącej wykazując spełnienie przynajmniej jednej enumeratywnie wskazanej przesłanki. Zgoda osoby, której dane dotyczą nie będzie jedyną podstawą zgodności z prawem przetwarzania danych osobowych. Na mocy przepisu Rozporządzenia 2016/679 przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c) Rozporządzenia 2016/679 ale również wtedy, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f) Rozporządzenia 2016/679).

Przytaczając motyw 47 Rozporządzenia 2016/679  należy wskazać, że podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Należy uznać, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem i w tym sensie nadrzędnym nad prawami i wolnościami osoby, której dane dotyczą, bowiem dochodzenie roszczeń nie stanowi nieproporcjonalnego ograniczenia tych praw i wolności.

Odnosząc powyższe do ustalonego w sprawie stanu faktycznego, wskazać należy, że Spółka pozyskała dane osobowe Skarżącego w związku z zawarciem przez Fundusz z P. Sp. z o.o. porozumienia nr […] z dnia […] czerwca 2013 r. do umowy ramowej przelewu wierzytelności z dnia […] maja 2013 r. Powyższe znajduje oparcie w substytucji art. 509 § 1 Kodeksu cywilnego, zgodnie, z którą wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Na mocy powyższej umowy Fundusz nabył od P. Sp. z o.o. wierzytelność wobec Skarżącego. Cesja wierzytelności wiąże się z uprawnieniem do przekazania nabywcy danych osobowych dłużnika umożliwiających podjęcie względem niego stosownych działań zmierzających do odzyskania należności. Powyższa dopuszczalność przelewu wierzytelności nie podlegała ograniczeniom umownym ani ustawowym. Nie była również wymagana zgoda Skarżącego na przelew wierzytelności. W tym miejscu wymaga powołania stanowisko Naczelnego Sądu Administracyjnego (zwany dalej: NSA) orzekającego w składzie 7 sędziów, który w wyroku z dnia 6 czerwca 2005 r. (OPS 2/2005), wskazał, że przekazanie danych osobowych dłużników firmom windykacyjnym może nastąpić bez ich zgody, nie naruszając przy tym ochrony danych osobowych, które należy uznać za aktualne w odniesieniu do przedmiotowej sprawy.

Wobec powyższego Fundusz, na podstawie powyższej umowy, stał się administratorem przekazanych danych, przetwarzając je w celu windykacji nabytych należności. Zatem przesłanką legalizującą pozyskanie danych osobowych Skarżącej przez Fundusz był art. 23 ust. 1 pkt. 2 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.),  a mianowicie przepis prawa – cesja wierzytelności. W przypadku przetwarzania danych przez Fundusz przed 25 maja 2018 r. podstawą prawną był art. 23 ust.1 pkt. 5 ww. ustawy o ochronie danych osobowych z 1997 r., a obecnie jest to art. 6 ust. 1 lit. f Rozporządzenia 2016/679.

Natomiast na podstawie umowy z […] czerwca 2015 r. zlecenia zarządzania całością portfela inwestycyjnego E. obejmującego sekurytyzowane wierzytelności oraz umowa powierzenia przetwarzania danych osobowych z dnia […] maja 2018 r. powierzone zostało Spółce zarządzanie wierzytelnościami Sekurytyzowanymi należącymi do Funduszu. Tym samym przesłanką legalizującą przetwarzanie danych osobowych Skarżącego przez Fundusz, a następnie przez Spółkę jest art. 28 ust. 3 RODO, zgodnie z którym przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, który wiąże podmiot przetwarzający i administratora, określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora.

Reasumując przetwarzanie danych Skarżącego przez Spółkę znajdowało uzasadnienie zarówno w przepisach ustawy o ochronie danych osobowych z 1997 r., jak i w obecnie obowiązującym Rozporządzeniu 2016/679, bowiem działa on na podstawie umowy w imieniu i na rzecz prawnie uzasadnionego interesu Funduszu (Administratora danych). Tym samym za bezpodstawny uznać należy zarzut o braku legalności tego działania z punktu widzenia przepisów rozporządzenia 2016/679.

Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, w ustalonym stanie faktycznym i prawnym sprawy udostępnienie (ujawnienie) danych osobowych Skarżącego nie może być oceniane jako naruszające jej prawa i wolności. Skarżący jako dłużnik musi liczyć się bowiem z tym, że popadając w zwłokę w spełnieniu zobowiązania jego prawo do prywatności może zostać ograniczone ze względu na dochodzenie przez wierzyciela należnych mu kwot. W przeciwnym przypadku mogłoby dojść do sytuacji, w której dłużnik, powołując się na prawo do ochrony danych osobowych (prawo do prywatności), skutecznie uchyliłby się od spoczywającego na nim obowiązku spełnienia świadczenia i w konsekwencji ograniczyłby (wyłączył) prawo wierzyciela do uzyskania należnej mu zapłaty. Powołanie się na prawo do ochrony danych osobowych musiałoby też ograniczać - wyżej wskazane - przewidziane szczególnymi przepisami prawo do zbycia wierzytelności i podejmowania dalszych działań w sprawie ich odzyskania.

W związku z powyższym nie ma podstaw do wydania decyzji administracyjnej nakazującej usunięcie danych osobowych Skarżącego przez Spółkę. W tej sytuacji nie można przypisać Spółce oraz Funduszowi naruszenia przepisów rozporządzenia 2016/679 w tym zakresie i nie jest uzasadnione wydanie przez Prezesa Urzędu Ochrony Danych Osobowych jakiegokolwiek z nakazów, o których mowa w art. 58 RODO.

Odnosząc się do natomiast do zarzutu Skarżącego dotyczącego wycofania przez Fundusz pozwu o zapłatę w sprawie pomiędzy Funduszem a Skarżącym, Spółka wyjaśniła, że postanowieniem Sądu Rejonowego w B. z dnia […] listopada 2014 r. umorzone zostało powództwo w związku z cofnięciem pozwu o zapłatę w sprawie pomiędzy Funduszem a Skarżącym (sygn. akt […]). Postępowanie to zostało umorzone z uwagi na fakt, że Fundusz cofnął pozew wszczynający niniejszą sprawę, bez zrzeczenia się roszczenia. Umorzenie postępowania sądowego, z uwagi na cofnięcie pozwu bez zrzeczenia się roszczenia przez powoda nie oznacza uznania przez wierzyciela długu, że zobowiązanie jest nienależne. Samo cofnięcie pozwu wywiera tylko skutek procesowy i oznacza tylko tyle, że strona rezygnuje z dochodzenia roszczenia w danym postępowaniu. Natomiast jeżeli cofnięcie pozwu jest połączone ze zrzeczeniem się roszczenia, to wywiera również skutek na przyszłość – zrzekając się roszczenia powód pozbawia się możliwości jego skutecznego dochodzenia w ogóle.

Jednakże, Prezes Urzędu Ochrony Danych Osobowych pragnie wyjaśnić, iż kwestia umorzenia powództwa w związku z cofnięciem pozwu pozostaje poza zakresem kognicji Prezesa Urzędu Ochrony Danych Osobowych, gdyż jest sprawą cywilną w rozumieniu art. 1 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2019 r. poz. 1460 ze zm.), i może być rozpatrywana wyłącznie w postępowaniu prowadzonym przez sąd powszechny. Prezes Urzędu Ochrony Danych Osobowych nie jest natomiast właściwym organem do badania istnienia podstawy prawnej wierzytelności. Nie jest on bowiem organem kontrolującym ani nadzorującym prawidłowość stosowania prawa materialnego i procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji, czy w inny sposób określony odpowiednimi procedurami (por. wyrok Naczelnego Sądu Administracyjnego z dnia 2 marca 2001 r. sygn. akt II SA 401/00).

Dlatego też w niniejszym postępowaniu ocenie podlegała wyłącznie legalność przetwarzania danych osobowych Skarżącej przez kwestionowane w skardze podmioty.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.