Decyzja
ZKE.440.61.2019
Na podstawie art. 104 § 1 oraz art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. 2020 poz. 256), art. 60, art. 160 ust. 1, 2 i 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781), art. 12 pkt 2, art. 18 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) oraz art. 6 ust. 1, art. 17 ust. 3. lit. e) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, po przeprowadzeniu postępowania administracyjnego w sprawie skargi P. O., zastępowanego przez radcę prawnego M. G. - na nieprawidłowości w przetwarzaniu danych osobowych Skarżącego przez:
I. S.A.
oraz
Fundusz T. (nazwa Funduszu w chwili wniesienia skargi), aktualnie działający pod nazwą L., reprezentowany przez Ip. S.A.,
Prezes Urzędu Ochrony Danych Osobowych:
- 1. Umarza postępowanie w zakresie przetwarzania, przez I. S.A. danych osobowych Pana P. O. w […] Rejestrze;
- 2. W pozostałym zakresie odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Urzędu Ochrony Danych Osobowych) wpłynęła skarga P. O., dalej zwanego także „Skarżącym”, zastępowanego przez radcę prawnego M. G., na przetwarzanie jego danych osobowych przez I. S.A. oraz Fundusz T. (dalej zwany także T.). W treści skargi zostały podniesione wątpliwości dotyczące prawidłowości przetwarzania przez w/w podmioty danych osobowych Skarżącego w zakresie:
- podstawy wpisu danych osobowych do […] Rejestru w kontekście wykonania obowiązku informacyjnego, wynikającego z art. 105a ust. 3 Prawa bankowego
- zasadności odmowy wykreślenia danych z […] Rejestru
- podstawy przetwarzania przez I. S.A. danych osobowych skarżącego
- dopuszczalności i zgodności z prawem zbycia należności na rzecz T.
- podstawy prawnej i dopuszczalności przetwarzania danych Skarżącego przez T.
Skarżący wniósł o wszczęcie postępowania administracyjnego w celu wyjaśnienia w/w kwestii oraz wydanie odpowiedniej decyzji w sprawie.
W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.
Skarżący zawarł ze W. S.A. dwie umowy kredytowe:
- umowa nr […] z dnia […] lipca 1999 r., dalej zwana „wierzytelność nr 1”
- umowa nr […] z dnia […] września 1999 r. , dalej zwana „wierzytelność nr 2”
W dniu […] listopada 2000 r. wierzytelność nr 1 została stwierdzona bankowym tytułem egzekucyjnym nr […], któremu […] lutego 2001 roku postanowieniem Sądu Rejonowego w T., sygn. akt […] została nadana klauzula wykonalności.
W 2006 roku W. S.A. został przejęty przez G. S.A., który wstąpił w prawa wierzyciela przedmiotowych wierzytelności.
G. S.A. dokonał przelewu przedmiotowych wierzytelności na rzecz I. S.A. w następujący sposób:
- wierzytelność nr 1 - na podstawie umowy przelewu wierzytelności z dnia […] grudnia 2010 r.
- wierzytelność nr 2 - na podstawie umowy przelewu wierzytelności z dnia […] kwietnia 2011 r.
W dniu […] marca 2011 roku postanowieniem Sądu Rejonowego w T., sygn. akt. […] została nadana klauzula wykonalności bankowemu tytułowi egzekucyjnemu wierzytelności nr 1, tym razem na rzecz I. S.A.
W dniach […] lipca 2011 r. oraz […] lutego 2012 roku, na podstawie zgłoszeń I. S.A., w systemie [...] Rejestr, prowadzonym przez Związek Banków Polskich, dokonano wpisów zawierających dane osobowe Skarżącego. Powodem zgłoszenia danych do w/w rejestru było nieuregulowanie przez Skarżącego zobowiązań wobec I. S.A., wynikających z przedmiotowych wierzytelności nr 1 i 2.
Pismem z dnia […] marca 2012 r. I. S.A. zawiadomił Skarżącego o przekazaniu jego danych osobowych do […] Rejestru.
W dniu […] czerwca 2015 r. tytuł wykonawczy […] tytułu egzekucyjnego numer […], dotyczący wierzytelności nr 1, został pozbawiony wykonalności, wyrokiem Sądu Rejonowego w Ż., sygn. akt. […].
Na podstawie umowy przelewu wierzytelności z dnia […] maja 2016 roku I. S.A. przelał wierzytelność nr 1 na rzecz Funduszu A.
Na podstawie umowy przelewu wierzytelności z dnia […] maja 2016 r. I. S.A. przelał wierzytelność nr 2 na rzecz Funduszu G.
Przedmiotowe wierzytelności były następnie przelewane na kolejne podmioty.
W dniu […] maja 2016 r. Fundusz T. (dalej zwany także Fundusz T.) nabył wierzytelność nr 1 na podstawie umowy przelewu wierzytelności zawartej z Funduszem E., zarządzany w dniu zawarcia umowy przez O. S.A.
Pismem z dnia […] grudnia 2016 r. Skarżący zwrócił się do I. S.A. z wnioskiem o usunięcie z [...] Rejestru wpisów z dnia […] lipca 2011 r. oraz […] lutego 2012 r. wraz z danymi osobowymi Skarżącego, które to wpisy zostały dokonane na podstawie zgłoszenia I. S.A.. Ponadto Skarżący cofnął wszystkie zgody udzielone I. S.A. na przetwarzanie jego danych osobowych i wniósł o zaprzestanie przetwarzania tych danych przez bank. W treści pisma Skarżący wskazał, że usunięcie jego danych osobowych jest uzasadnione pozbawieniem wykonalności […] tytułu egzekucyjnego numer […].
Pismem z dnia […] grudnia 2016 r. I. S.A. udzielił Skarżącemu odpowiedzi, w której wskazał, że nie znajduje podstaw prawnych do zrealizowania wniosku Skarżącego z dnia […] grudnia 2016 roku. W treści pisma podniesiono, że wierzytelności skarżącego w I. S.A. wygasły w związku ze zmianą wierzyciela oraz że wierzycielem uprawnionym do dochodzenia obu wierzytelności jest Fundusz T. (co było informacją błędną, gdyż z dowodów zgromadzonych w sprawie, jak wcześniej wskazano, Fundusz T. nabył tylko przedmiotową wierzytelność nr 1). W piśmie podniesiono, że wraz z nabyciem wierzytelności wobec Skarżącego, I. S.A. nabył prawo do przetwarzania w systemie […] Rejestr danych osobowych Skarżącego, a granice czasowe tego uprawnienia ustawodawca zakreślił w art. 105a ust. 4 ustawy Prawo bankowe, tj. przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania. Ponadto w piśmie wskazano, że dla zastosowania przywołanych przepisów nie ma znaczenia przedawnienie roszczenia, gdyż nie powoduje ono wygaśnięcia zobowiązania lecz przekształca je w tzw. zobowiązanie naturalne. Nadto podniesiono, że dyspozycja art. 105a ust. 3 nie uzależnia dokonania wpisu danych dłużnika (do […] Rejestru) od tego, czy niewykonane lub niewłaściwie wykonane zobowiązanie jest przedawnione, czy też nie.
W dniu […] stycznia 2017 do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła przedmiotowa skarga.
Pismem z […] stycznia 2017 roku I. S.A. poinformował pełnomocnika Skarżącego o usunięciu danych osobowych Skarżącego z […] Rejestru.
Pismem z […] sierpnia 2017 roku Z., w odpowiedzi na wezwanie Generalnego Inspektora Ochrony Danych Osobowych (dalej GIODO) do złożenia wyjaśnień w niniejszej sprawie poinformował, że nie przetwarza przedmiotowych danych osobowych Skarżącego w systemie […] Rejestr.
Pismem z […] września 2017 roku I. S.A., złożonym w odpowiedzi na wezwanie GIODO do złożenia wyjaśnień w przedmiotowej sprawie, I. S.A. poinformował, że nie przetwarza danych osobowych Skarżącego.
W dniu […] stycznia 2018 r. Fundusz T. dokonał przelewu wierzytelności nr 1 na rzecz Funduszu GP.
W toku sprawy zostały przedstawione wyjaśnienia Funduszu T. wskazujące, że w dniu […] stycznia 2018 r. Fundusz T. dokonał przelewu wierzytelności nr 1 na rzecz Funduszu G. Wskazano, że w okresie od […] maja 2016 r. do […] stycznia 2018 r. Fundusz T. przetwarzał dane osobowe Skarżącego w związku z zarządzaniem sekurytyzowanymi wierzytelnościami. W wyjaśnieniach złożonych w imieniu Funduszu zawarto informacje, według których przetwarzanie danych osobowych Skarżącego odbywało się na podstawie art. 23 ust. 4 pkt 2 w zw. z art. 23 ust. 1 pkt 5 i art. 31 w zw. z art. 3 ust. 2 pkt 2 ustawy o ochronie danych osobowych (Dz. U. 2016.922 t. j.) oraz na podstawie art. 193 ustawy z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz. U. 2016.1896). Nadto wskazano, że dane osobowe Skarżącego przetwarzane były w celu uzyskiwania przez Fundusz T. świadczeń z tytułu sekurytyzowanych wierzytelności oraz dochodzenia roszczeń od Skarżącego, jak również wypełniania obowiązków przewidzianych przepisami, w tym obowiązków sprawozdawczych i archiwizacyjnych.
Dalej w treści wyjaśnień wskazano, że od […] stycznia 2018 r. Fundusz T. przetwarza dane osobowe Skarżącego w celu niezbędnym do wypełniania obowiązków prawnych dotyczących przechowywania i archiwizowania dokumentów oraz innych nośników informacji, o których mowa w art. 69 ustawy z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi, przez okres wskazany w powołanych przepisach. W wyjaśnieniach wskazano, że Fundusz przetwarza dane osobowe Skarżącego przez okres niezbędny do prawidłowego zarządzania sekurytyzowanymi wierzytelnościami, w tym ochrony przed potencjalnymi roszczeniami Skarżącego, tj. przez okres wynikający z biegu ogólnych terminów przedawnienia roszczeń a podstawą prawną przetwarzania danych są:
- art. 6 ust. 1 lit. c) RODO tj. przetwarzanie niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (jakim jest przechowywanie i archiwizacja dokumentów na podstawie art. 69 ustawy z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi), oraz
- art. 6 ust. 1 lit. f) RODO tj. uzasadniony interes realizowany przez Administratora, jakim jest przetwarzanie przez okres niezbędny do prawidłowego zarządzania sekurytyzowanymi wierzytelnościami, w tym ochrony przed potencjalnymi roszczeniami, przez okres wynikający z biegu ogólnych terminów przedawnienia roszczeń
Z dniem […] Fundusz T. zmienił nazwę na L.
Fundusz L. był zarządzany przez […]. W rezultacie zarządzanie Funduszem L. zostało przejęte przez Ip. S.A.
Z dniem […] Fundusz L. zmienił nazwę na Lu.
Po przeanalizowaniu zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych stwierdza, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), dalej także: ustawa o ochronie danych osobowych z 2018. W myśl art. 160 ust. 1-3 ustawy o ochronie danych osobowych z 2018 r., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zwanej dalej również „ustawą o ochronie danych osobowych z 1997”, zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego (dalej Kpa). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów ustawy o ochronie danych osobowych z 2018 r., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej „RODO”.
Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy o ochronie danych osobowych z 1997 (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie RODO (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych).
Prezes UODO jest organem właściwym w sprawie ochrony danych osobowych i organem nadzorczym w rozumieniu RODO (art. 34 ust. 1 i 2 ustawy o ochronie danych osobowych z 2018). Prezes UODO prowadzi postępowania w sprawie naruszenia przepisów o ochronie danych osobowych (art. 60 ustawy o ochronie danych osobowych z 2018 r.), przy czym w sprawach nieuregulowanych w ustawie o ochronie danych osobowych z 2018 r., do postępowań administracyjnych przed Prezesem UODO, w szczególności unormowanych w rozdziale 7 ustawy – postępowań w sprawie naruszenia przepisów o ochronie danych osobowych, stosuje się przepisy Kpa (art. 7 ust. 1 ustawy o ochronie danych osobowych z 2018 r)W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem” – wyrok z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07.
Zgodnie z brzmieniem przepisu art. 23 ust. 1 ustawy o ochronie danych osobowych z 1997, obowiązującej w okresie, którego dotyczyła skarga Skarżącego, przetwarzanie danych osobowych było dopuszczalne, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5).
W myśl przepisów obowiązujących obecnie (od dnia 25 maja 2018 r., tj. od dnia rozpoczęcia stosowania przepisów RODO) przetwarzanie danych osobowych jest zgodne z prawem, gdy administrator danych legitymuje się co najmniej jedną z określonych w art. 6 ust. 1 RODO, materialnych przesłanek przetwarzania danych osobowych. Według wyżej wskazanego przepisu przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy zostanie spełniony jeden z wymienionych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonywania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).
Przytaczając motyw 47 RODO należy wskazać, że podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Należy uznać, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem administratora w rozumieniu RODO. Dochodzenie roszczeń i przetwarzanie w tym celu adekwatnych danych osobowych nie stanowi nieproporcjonalnego ograniczenia praw i wolności osoby, której dane dotyczą.
W odniesieniu do zastrzeżeń Skarżącego, wyrażonych w pkt. 1-3 skargi, w zakresie podstawy wpisu jego danych osobowych do [...] Rejestru i realizacji w związku z tym obowiązku informacyjnego, wskazanego w art. 105a ust. 3 ustawy Prawo bankowe, odmowy przez I. S.A. wykreślenia tych danych z […] Rejestru, oraz podstawy przetwarzania danych przez I. S.A. – niniejsze postępowanie stało się bezprzedmiotowe z uwagi na zaprzestanie przetwarzania danych osobowych Skarżącego, związanych z przedmiotowymi wierzytelnościami, w wyniku ich wykreślenia z […] rejestru oraz zaprzestania ich przetwarzania przez I. S.A. Z powyższych względów postępowanie administracyjne należało umorzyć na podstawie art. 105 § 1 k.p.a.
Zgodnie z wyżej wskazanym przepisem art. 105 § 1 k.p.a., gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości lub w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości lub w części. W doktrynie wskazano, że „Umorzenie postępowania nie jest zależne ani od woli organu administracji, ani tym bardziej pozostawione do uznania organu – organ ten jest zobowiązany do umorzenia postępowania w przypadku stwierdzenia jego bezprzedmiotowości. (…) Bezprzedmiotowość postępowania może być także wynikiem zmiany stanu faktycznego sprawy. Postępowanie musi być uznane za bezprzedmiotowe wskutek ustania stanu faktycznego podlegającego uregulowaniu przez organ administracji w drodze decyzji (por. uzasadnienie wyroku NSA z 29 września 1987 r., IV SA 220/87, ONSA 1987, nr 2, poz. 67)” - Przybysz Piotr Marek. Art. 105. W: Kodeks postępowania administracyjnego. Komentarz aktualizowany. System Informacji Prawnej LEX, 2019.
Odnosząc się do wątpliwości Skarżącego, podniesionych w punktach 4 – 5 skargi, należy wskazać, że Fundusz T., pozyskał dane osobowe Skarżącego w wyniku przelewu wierzytelności wynikających z umów zawartych pierwotnie pomiędzy Skarżącym a W. S.A. Przelew wierzytelności znajduje oparcie w art. 509 § 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2018 r., poz. 1025 ) – dalej jako „Kc”, zgodnie z którym wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. W przedmiotowej sprawie dopuszczalność przelewu wierzytelności nie podlegała ograniczeniom umownym ani ustawowym. Nie była również wymagana zgoda Skarżącego na przelew wierzytelności.
Skuteczne podniesienie zarzutu przedawnienia wierzytelności nie powoduje wygaśnięcia zobowiązania wobec wierzyciela i nie stanowi przeszkody do dokonywania przelewu wierzytelności. Przedawnienie zobowiązania i wygaśnięcie zobowiązania nie są pojęciami tożsamymi. Do wygaśnięcia zobowiązania może dojść w wyniku określonych zdarzeń, takich jak: wykonanie zobowiązania (art. 450 i n. Kodeksu cywilnego), świadczenie w miejsce wykonania (datio in solutum – art. 453 KC), trwałą niemożliwość spełniania świadczenia, za którą dłużnik odpowiedzialności nie ponosi (art. 475 KC), potrącenie (498 i n. KC), odnowienie (art. 506 KC), zwolnienie dłużnika z długu przez wierzyciela (art. 508 KC), zmianę wierzyciela (art. 509 i n. KC), przejęcie długu (art. 519 i n. KC), wydanie wyroku na korzyść jednego z dłużników solidarnych (art. 375 § 2 KC). Jak wskazano w doktrynie: „Zatem skutek, na który wskazywał sąd w postaci niemożliwości dochodzenia roszczenia, pojawi się dopiero, gdy dłużnik skorzysta z przysługującego mu zarzut przedawnienia, ale nawet wtedy nie będzie to oznaczało wygaśnięcia roszczenia wierzyciela, a jedynie pozbawi roszczenia przymiotu zaskarżalności i możności jego przymusowego dochodzenia. Oznacza to, że jeżeli dłużnik podniósł zarzut przedawnienia (tym bardziej gdy tego nie uczynił), a następnie spełnił świadczenie na rzecz wierzyciela, to nie może domagać się od niego jego zwrotu, ponieważ roszczenie mimo przedawnienia istniało i wygasło dopiero w wyniku spełniania świadczenia (art. 411 pkt 3 k.c.).” Fras Mariusz, Habdas Magdalena i Zakrzewski Piotr. Art. 117. W: Kodeks cywilny. Komentarz do art. 117-125. System Informacji Prawnej LEX, 2019. Należy podnieść także następujące stanowisko doktryny: „Okoliczność, że roszczenie przedawniło się, ma jedynie ten skutek, że podniesienie przez kredytobiorcę zarzutu przedawnienia będzie mieć wpływ na skuteczność dochodzenia zapłaty zobowiązania strony. Skuteczność dochodzenia roszczeń nie wpływa na możliwość przetwarzania danych osobowych skarżącego przez kredytodawcę. Zobowiązanie kredytobiorcy wciąż bowiem istnieje.” Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 maja 2013 r. II SA/Wa 2063/12.
Każdy wierzyciel wtórny, wraz z nabyciem wierzytelności wchodzi w prawa wierzyciela pierwotnego, w tym prawo do przetwarzania danych osobowych dłużnika. Przelew wierzytelności wiąże się z uprawnieniem do przekazania nabywcy wierzytelności danych osobowych dłużnika, co umożliwia podjęcie stosownych działań zmierzających do odzyskania należności. Dane osobowe dłużnika są integralnym elementem wierzytelności.
Fundusz T., na podstawie umowy cesji wierzytelności, stał się administratorem danych osobowych Skarżącego i przetwarzał je w celu windykacji nabytych należności. Przesłanką legalizującą pozyskanie danych osobowych Skarżącego przez Administratora był art. 23 ust. 1 pkt. 2 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), a mianowicie przepis prawa, w tym przypadku art. 509 § 1 stanowiący o cesji wierzytelności. Przesłanką legalizującą przetwarzanie danych osobowych, także przetwarzanie ich w celu windykacji należności przed 25 maja 2018 r. był art. 23 ust.1 pkt. 5 ww. ustawy o ochronie danych osobowych z 1997 roku, a obecnie jest to art. 6 ust. 1 lit. f RODO.
Odnosząc się jeszcze do wątpliwości Skarżącego w zakresie dopuszczalności i zgodności z prawem zbycia należności na rzecz Funduszu T., należy zauważyć, że ani ówczesny Generalny Inspektor Ochrony Danych Osobowych ani wstępujący w jego miejsce w obecnym stanie prawnym Prezes Urzędu Ochrony Danych Osobowych, nie jest organem właściwym do weryfikacji prawidłowości umów cywilnoprawnych. Sąd Najwyższy orzekł w tym przedmiocie w następujący sposób: „W zakresie natomiast oceny zawartych umów istotną jest okoliczność, że Generalny Inspektor Ochrony Danych Osobowych nie jest władny do dokonywania oceny prawidłowości umów cywilnoprawnych i powstałych na tym gruncie sporów, gdyż właściwość rzeczową w tym zakresie posiadają jedynie sądy powszechne. Organ nie może badać, czy umowa jest ważna i prawnie skuteczna, albowiem w tym przypadku organ administracji publicznej, jakim niewątpliwie jest GIODO, wykraczałby poza swoje ustawowo określone kompetencje. Dla Generalnego Inspektora Ochrony Danych Osobowych zawarta umowa jest czynnością prawną niepodlegającą jego ocenie, wywołującą skutki prawne do czasu, dopóki nie zostanie zakwestionowana w formie i trybie przewidzianym przez prawo (por. np. wyrok NSA z dnia 26 maja 2009 r., I OSK 808/08, Lex nr 513109, wyrok WSA w Warszawie z dnia 19 lipca 2007 r., II SA/Wa 678/07, Lex nr 368229). Ustawa o ochronie danych osobowych nie ogranicza swobody prowadzenia działalności gospodarczej przez przedsiębiorców. Zawarcie umowy przelewu wierzytelności wywołuje skutki prawne regulowane zarówno przepisami Kodeksu cywilnego, jak i przepisami ustawy o ochronie danych osobowych. Rozważenie dopuszczalności, skuteczności, czy też ważności umowy przelewu należy do sądów powszechnych, ewentualnie w niektórych jej aspektach, może być również przedmiotem zainteresowania Prezesa Urzędu Ochrony Konkurencji i Konsumentów. Jest to aspekt cywilnoprawny tej sprawy, który nie może być przedmiotem zainteresowania organu administracji publicznej.” wyrok NSA I OSK 1850/14.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, w ustalonym stanie faktycznym i prawnym sprawy, przetwarzanie przez Fundusz T. danych osobowych Skarżącego nie może być oceniane jako naruszające jego prawa i wolności. Skarżący jako dłużnik musiał liczyć się bowiem z tym, że popadając w zwłokę w spełnieniu zobowiązania jej prawo do prywatności może zostać ograniczone ze względu na dochodzenie przez wierzycieli należnych mu kwot. W przeciwnym przypadku mogłoby dojść do sytuacji, w której dłużnik, powołując się na prawo do ochrony danych osobowych (prawo do prywatności), skutecznie uchyliłby się od spoczywającego na nim obowiązku spełnienia świadczenia i w konsekwencji ograniczyłby (wyłączył) prawo wierzyciela do uzyskania należnej mu zapłaty. Powołanie się na prawo do ochrony danych osobowych musiałoby też ograniczać - wyżej wskazane - przewidziane szczególnymi przepisami prawo do zbycia wierzytelności i podejmowania dalszych działań w sprawie ich odzyskania.
Przetwarzanie danych Skarżącego przez Fundusz T. znajdowało uzasadnienie zarówno w przepisach ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2016 r. poz. 922) jak i w obecnie obowiązującym RODO. Wydanie przez Prezesa UODO jakiegokolwiek upomnienia czy nakazu wobec Funduszu T. w niniejszej sprawie jest nieuzasadnione.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kodeksu postępowania administracyjnego od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00- 93 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.