Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Jolanta Rajewska Sędzia NSA Irena Kamińska (spr.) Sędzia WSA del. Ewa Kwiecińska Protokolant Barbara Dąbrowska po rozpoznaniu w dniu 26 maja 2009 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej L. B. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 7 lutego 2008 r. sygn. akt II SA/Wa 645/07 w sprawie ze skargi L. B. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2007 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę kasacyjną.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 7 lutego 2008 r., sygn. akt II SA/Wa 645/07 oddalił skargę L. B. na decyzję Generalnego Inspektora Ochrony danych Osobowych z dnia [...] stycznia 2007 r., nr [...] w przedmiocie ochrony danych osobowych oraz przyznał pełnomocnikowi skarżącego wynagrodzenie za pomoc prawną udzieloną z urzędu.

W uzasadnieniu orzeczenia Sąd pierwszej instancji wskazał, że dnia [...] października 2005 r. L. B. złożył do Generalnego Inspektora Ochrony Danych Osobowych (zwanego dalej także GIODO) wniosek z o wszczęcie postępowania administracyjnego w przedmiocie ochrony jego danych osobowych. Zakres tego postępowania skarżący określił w późniejszych swoich pismach, formułując następujące zarzuty:

1. [...] S.A. Oddział w Polsce z siedzibą w W. (zwany dalej [...]), Sąd Rejonowy w Katowicach (obecnie Sąd Rejonowy Katowice-[...]) i Komornik Sądowy Rewiru [...] przy Sądzie Rejonowym w Katowicach z siedzibą w Katowicach (zwany dalej Komornikiem) odmówili wydania kopii tytułu egzekucyjnego nr [...] z dnia [...] kwietnia 2005 r. skierowanego przeciwko skarżącemu, czym zdaniem skarżącego naruszyli art. 33 ust. 1 i ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). W związku z powyższym skarżący wystąpił do GIODO o wydanie decyzji administracyjnej w przedmiocie stwierdzenia naruszenia przez dyrektora [...], Sąd Rejonowy w Katowicach i Komornika art. 33 ust. 1 i ust. 2 ustawy oraz wnosił o doręczenie mu tytułu egzekucyjnego pocztą.

2. G. C. - zastępca prezesa rady nadzorczej [...] S.A. i prokurent tego banku – E. S. bezpodstawnie przekazali dane osobowe skarżącego do [...], chociaż umowę kredytową z [...] S. A. skarżący rozwiązał już w 2002 r.

3. Sędziowie IV Wydziału Sądu Okręgowego w Katowicach: M. S.-G., M. P., M. S.-K. w sprawie o sygn. akt: [...] oddalili zażalenie skarżącego w przedmiocie uchylenia klauzuli wykonalności bankowego tytułu egzekucyjnego wystawionego przez [...], czym uchybili art. 23 ust. 1 pkt 2 ustawy, ponieważ w opinii skarżącego tytuł ten mógł wystawić jedynie [...] S.A., który tego nie uczynił.

4. Biuro Informacji Kredytowej S.A. z siedzibą w Warszawie (zwane dalej BIK S.A.) w 2005 r. umieściło dane osobowe skarżącego w "rejestrze dłużników BIK" bez powiadomienia go o tym fakcie, pomimo, iż skarżący nie jest dłużnikiem [...]. Odmówiono mu ujawnienia nazwiska "administratora bazy danych BIK S.A." oraz dyrektora lub prezesa BIK S.A.

Generalny Inspektor przeprowadził odrębne postępowanie administracyjne w sprawie ze skargi L. B. dotyczącej przetwarzania jego danych osobowych przez BIK S.A., zawierającej wniosek o uznanie za nielegalne pozyskania jego danych osobowych przez BIK S.A. od [...] oraz o nakazanie BIK S.A. ujawnienia skarżącemu danych osobowych prezesa zarządu BIK S.A. lub dyrektora tej spółki (sygnatura sprawy: [...]). Postępowanie to zakończone zostało wydaniem przez GIODO decyzji administracyjnej z dnia [...] września 2006 r. (znak: [...]). Decyzja ta odnosiła się również do zarzutu skarżącego, dotyczącego niepoinformowania go przez osoby reprezentujące BIK S.A. o umieszczeniu jego danych w zbiorze prowadzonym przez BIK S.A. - tj. do zarzutu niewypełnienia obowiązku wynikającego z art. 25 ust. 1 ustawy.

W dniu [...] października 2006 r. Generalny Inspektor Ochrony Danych Osobowych wydał decyzję administracyjną (znak: [...]), mocą której odmówił uwzględnienia wniosku L. B. w zakresie dotyczącym przetwarzania jego danych osobowych przez [...],[...] S.A., Prezesa Sądu Rejonowego w Katowicach, Komornika oraz przez Prezesa Sądu Okręgowego w Katowicach, zaś w pozostałym zakresie postępowanie umorzył. Podstawę wydania decyzji stanowił art. 104 § 1, art. 105 § 1 Kpa oraz art. 12 pkt 2, art. 18 ust. 1 w zw. z art. 23 ust. 1 pkt 2 i art. 33 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz art. 105 ust. 1 pkt 1 i ust. 4 oraz art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r., Nr 72, poz. 665 ze zm.).

Wydając decyzję organ ustalił, że [...] S.A. - będący następcą prawnym [...] S.A. pozyskał dane osobowe skarżącego w związku z zawartą między tymi bankami umową o korzystanie z karty kredytowej (umowa o nr [...]). Następnie, na podstawie umowy z dnia [...] lutego 2005 r. dotyczącej nabycia od [...] S.A. portfela wierzytelności (obejmującego również wierzytelności ww. banku wobec skarżącego) [...] przejął prawa i obowiązki [...] S.A. wobec skarżącego (prawa i obowiązki wynikające z zawartej z nim umowy o korzystanie z karty kredytowej). Na skutek powyższego [...] przetwarza dane osobowe skarżącego, opierając swe działania na przesłance z art. 23 ust. 1 pkt 2 (następstwo prawne [...] po [...] S.A.), w związku z art. 509 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 z poźn. zm.) - który to przepis zezwala na przeniesienie wierzytelności na osobę trzecią - oraz w związku z art. 5 ust. 2 pkt 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z poźn. zm.) - który przewiduje, że nabywanie i zbywanie wierzytelności pieniężnych mieści się w pojęciu czynności bankowych.

W toku sądowego postępowania egzekucyjnego skarżący złożył do Sądu Rejonowego w Katowicach wniosek o doręczenie mu tytułu egzekucyjnego. Sąd zdecydował, iż żądanie to pozbawione jest podstaw prawnych, bowiem Sąd nie ma prawa wydać dłużnikowi tytułu egzekucyjnego wystawionego przez bank. Jednocześnie, w dniu [...] listopada 2005 r. Sąd Rejonowy w Katowicach Wydział [...] Cywilny wydał postanowienie (sygn. akt: [...]) o oddaleniu skargi L. B. na czynności Komornika, stwierdzając w nim m. in., że bankowy tytuł egzekucyjny zaopatrzony w klauzulę wykonalności postanowieniem Sądu Rejonowego w Katowicach (wskazany Sąd uwzględnił wniosek wierzyciela - [...] - o nadanie klauzuli wykonalności bankowemu tytułowi egzekucyjnemu w ramach postępowania o sygn. akt: [...]), stanowiący podstawę przedmiotowej egzekucji, spełnia wymogi przewidziane przepisami Kodeksu postępowania cywilnego, natomiast Komornik, prowadząc w oparciu o ww. tytuł wykonawczy postępowanie egzekucyjne wobec skarżącego, nie uchybił przepisom regulującym to postępowanie. Nadto postanowieniem z dnia [...] grudnia 2005 r. Sąd Okręgowy w Katowicach dokonał kontroli postanowienia Sądu Rejonowego w Katowicach z dnia [...] czerwca 2005 r. (sygn. akt [...]), dotyczącego nadania klauzuli wykonalności bankowemu tytułowi egzekucyjnemu nr [...] oddalając zażalenie skarżącego.

W aktach sprawy prowadzonej przez Komornika nie odnotowano wniosku skarżącego, o udzielenie mu informacji w zakresie i trybie określonym w art. 33 ustawy o ochronie danych osobowych. Z takim wnioskiem skarżący nie zwracał się także ani do Sądu Rejonowego w Katowicach ani do Sądu Okręgowego w Katowicach, ani też do wierzyciela [...].

Wskazując na powyższy stan faktyczny, organ uznał za bezzasadny zarzut skarżącego, iż [...], Prezes Sądu Rejonowego w Katowicach i Komornik odmówili wydania kopii tytułu egzekucyjnego. Wskazał, iż okazanie tytułu egzekucyjnego dłużnikowi, w tym wskazanie, na którym z organów egzekucyjnych ten obowiązek ciąży, regulują odrębne przepisy prawa, natomiast art. 33 ustawy określa sposób realizacji przez podmiot danych uprawnień informacyjnych wskazanych przepisami art. 32 ustawy. Uznał, że w kwestie te pozostają bez związku z przepisami określającymi zasady ochrony danych osobowych. Jak organ ustalił w toku postępowania, skarżący nie wystosował do [...], Prezesa Sądu Rejonowego w Katowicach, ani Komornika działającego przy tym Sądzie wniosku, o którym mowa w art. 33 ust. 1 ustawy. Skoro zaś obowiązek udostępnienia informacji w trybie art. 33 ustawy spoczywa na administratorze dopiero w sytuacji złożenia stosownego wniosku przez osobę, której dane dotyczą, Generalny Inspektor uznał zarzut skarżącego dotyczący naruszenia przez ww. podmioty art. 33 ustawy jako bezzasadny. Podkreślił, iż organ do spraw ochrony danych osobowych może nakazać uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie, usunięcie tylko i wyłącznie danych osobowych, natomiast jego uprawnienia nie odnoszą się do dokumentów, w których zawarte są dane osobowe. Organ uznał, że omawiany zarzut skarżącego nie może być zatem rozstrzygany w kontekście naruszenia art. 33 ustawy. Kwestie dostępu dłużnika do tytułu egzekucyjnego, nie pozostające w związku z prawami określonymi w art. 33 ustawy, regulują przepisy, których nie może - ze względu na zakres swoich kompetencji - stosować Generalny Inspektor. Ingerencja organu do spraw ochrony danych osobowych w te kwestie stanowiłaby naruszenie prawa.

Co do faktu przekazania danych osobowych skarżącego przez [...] S.A. do [...], organ wskazał, że na podstawie umowy z dnia [...] lutego 2005 r. [...] przejął prawa i obowiązki [...] S.A. (następcy prawnego [...] S.A.) wobec skarżącego, jakie wynikają z zawartej z nim umowy nr [...] o korzystanie z karty kredytowej. Na skutek powyższego [...] przetwarza dane osobowe skarżącego, opierając swe działania na przesłance z art. 23 ust. 1 pkt 2 ustawy (następstwo prawne [...] po [...]S.A.) w związku z art. 509 Kodeksu cywilnego, który zezwala na przeniesienie wierzytelności na osobę trzecią oraz w związku z art. 5 ust. 2 pkt 5 Prawa bankowego. Ostatni z wymienionych przepisów przewiduje, że do kategorii czynności bankowych zalicza się m. in. nabywanie i zbywanie wierzytelności pieniężnych. Organ uznał zatem, iż brak jest podstaw do uznania za niezgodne z przepisami o ochronie danych osobowych działania, polegającego na przekazaniu danych osobowych skarżącego przez [...] S.A. do [...], a w szczególności czynienie zarzutu z tego tytułu panu G. C., zastępcy prezesa rady nadzorczej [...] S.A., czy prokurentowi tego banku E. S. - tym bardziej, że z punktu widzenia przepisów ustawy o ochronie danych osobowych osoby te nie mają statusu administratora danych.

Rozstrzygnięcie w zakresie dotyczącym umorzenia postępowania w przedmiocie wniosku L. B. o ujawnienie nazwiska administratora bazy danych BIK S.A. oraz dyrektora lub prezesa BIK S.A., Generalny Inspektor uzasadniał tym, że przeprowadził odrębne postępowanie administracyjne w sprawie ze skargi L. B. dotyczącej przetwarzania jego danych osobowych przez BIK S.A., zawierającej wiosek o uznanie za nielegalne pozyskania jego danych osobowych przez BIK S.A. od [...] oraz o nakazanie BIK S.A. ujawnienia skarżącemu danych osobowych prezesa zarządu BIK S.A. lub dyrektora tej spółki (sygnatura sprawy: [...]). Postępowanie to zakończone zostało wydaniem przez Generalnego Inspektora Ochrony Danych Osobowych decyzji administracyjnej z dnia [...] września 2006 r. (znak: [...]), która obejmowała swoim zakresem także odniesienie do zarzutu skarżącego, iż osoby reprezentujące BIK S.A. nie poinformowały go o umieszczeniu jego danych w zbiorze prowadzonym przez BIK S.A., tj. do zarzutu niewypełnienia obowiązku wynikającego z art. 25 ust. 1 ustawy. Z uwagi na wydanie ww. decyzji z dnia [...] września 2006 r. postępowanie w niniejszej sprawie, w zakresie dotyczącym BIK S.A., należało umorzyć, jako bezprzedmiotowe - na podstawie art. 105 § 1 Kpa.

W dniu [...] listopada 2006 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło pismo pana L. B. z dnia [...] listopada 2006 r. stanowiące wniosek o ponowne rozpatrzenie przedmiotowej sprawy. Treść tego żądania została następnie sprecyzowana przez skarżącego pismem z dnia [...] listopada 2006 r., które wpłynęło do organu w dniu [...] grudnia. L. B. wskazał w szczególności, iż: "(...) sprawa dotyczy sfałszowania mojej dokumentacji bankowej przez [...],[...] i Biuro Informacji Kredytowej w Warszawie. Moja rzekoma wierzytelność ma na celu ukrycie niemieckiej egzekucji administracyjnej wystawionej przez [...]. Egzekucja dotyczy kosztów mojego pobytu w ośrodku dla cudzoziemców w [...] w roku 2005. Niemiecki tytuł egzekucyjny konwalidował Sąd Okręgowy w Katowicach. Wierzytelność przejął [...] (...)". Ponadto, zdaniem skarżącego, [...],[...] i BIK S.A. naruszyli art. 25 ust. 1 pkt 1, 2, 3, 4, 5 ustawy o ochronie danych osobowych.

Na skutek ponownego rozpatrzenia sprawy Generalny Inspektor wydał w dniu [...] stycznia 2007 r. decyzję (znak: [...]), którą utrzymał w mocy swoją poprzedzającą decyzję z dnia [...] października 2006 r.

W uzasadnieniu decyzji z dnia [...] stycznia 2007 r. organ podtrzymał w całości argumentację zawartą w uzasadnieniu decyzji z dnia [...] października 2006 r. Nadto, odnosząc się do zarzutów środka odwoławczego, wskazał, iż ocena działań sędziów IV Wydziału Sądu Okręgowego w Katowicach, rozpoznających sprawę skarżącego jak i Komornika nie należy do kompetencji GIODO, zaś weryfikacja jakiej żąda skarżący może odbywać się wyłącznie w trybie i na zasadach określonych w odrębnych przepisach, np. Kodeksu postępowania cywilnego, przez inne powołane do tego organy. Organ przytoczył tu orzeczenie Naczelnego Sądu Administracyjnego - wyrok z dnia 2 marca 2001 r. (sygn. akt II SA 401/00). Nadto organ wskazał, że w przedmiotowej sprawie oceny postępowania Komornika dokonał już Sąd Rejonowy w Katowicach, wydając postanowienie o oddaleniu skargi skarżącego na czynności Komornika.

L. B. złożył skargę na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której wnosił o uchylenie zaskarżonej decyzji. W skardze zarzucił naruszenie przez GIODO art. 156 par. 1 pkt 2 i 7 Kpc w rozumieniu art. 58 par. 1 i 2 Kc na podstawie art. 731 Kc. Wskazał na naruszenie przepisów art. 23 ust. 1 pkt 2 i art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych przez imiennie wskazane osoby z [...] w Katowicach, [...] w Warszawie, Sądu Rejonowego w Katowicach, Sądu Okręgowego w Katowicach oraz BIK S.A. w Warszawie. W uzasadnieniu skargi L. B. zakwestionował: legalność udostępnienia jego danych osobowych przez [...]S.A. na rzecz [...], dopuszczalność prowadzenia przez Komornika czynności egzekucyjnych na podstawie wystawionego przez bank tytułu egzekucyjnego zaopatrzonego przez Sąd Rejonowy w Katowicach w klauzulę wykonalności, a także prawidłowość wszelkich wydanych na skutek jego kolejnych wniosków rozstrzygnięć sądowych (opisanych wcześniej). L. B. ponowił także swoje zarzuty pod adresem BIK S.A. - wskazując po raz kolejny, iż w zbiorze prowadzonym przez ten organ figurują dane osobowe, jako dłużnika, pomimo spłaty zadłużenia.

Na rozprawie pełnomocnik skarżącego sprecyzował skargę w ten sposób, iż zarzucił organowi naruszenie art. 23 ust. 1 pkt 3 oraz art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych w ocenie działań podmiotów ujętych w pkt. 1 decyzji z dnia [...] października 2006 r.

Wojewódzki Sąd Administracyjny w Warszawie wydając zaskarżone orzeczenie uznał, że brak jest podstaw do przyjęcia, iż decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2007 r., dotknięta jest wadą powodującą jej uchylenie bądź stanowiącą o jej nieważności.

Sąd nie podzielił zarzutu skarżącego dotyczącego zarzutu naruszenia przez GIODO art. 156 par. 1 pkt 2 i 7 kpc w rozumieniu art. 58 par. 1 i 2 kc na podstawie art. 731 kc. Pełnomocnik skarżącego nie popierał tego zarzutu na rozprawie. W ocenie Wojewódzkiego Sądu Administracyjnego kwestionowane rozstrzygnięcie organu w pełni odpowiada przepisom obowiązującego prawa i nie jest dotknięte żadną z wad wymienionych w art. 156 Kpa.

Sąd wskazał, iż przedmiotem rozpoznania sprawy przez Wojewódzki Sąd Administracyjny może być jedynie ten zakres przedmiotowy pierwotnego wniosku skarżącego, inicjującego postępowanie administracyjne i następnie przez niego w trakcie tego postępowania zmodyfikowanego, który stał się przedmiotem rozstrzygnięcia GIODO decyzją z dnia [...] października 2006 r., utrzymaną następnie w mocy decyzją z dnia [...] stycznia 2007 r. Pozostały zakres żądania L. B. został rozstrzygnięty przez Generalnego Inspektora Ochrony Danych Osobowych decyzją z dnia [...] września 2006 r. (znak: [...]). Decyzja ta dotyczyła przetwarzania danych osobowych L. B. przez BIK S.A. i odnosiła się ona do zarzutu skarżącego - niepoinformowania go przez osoby reprezentujące BIK S.A. o umieszczeniu jego danych w zbiorze prowadzonym przez BIK S.A. - tj. do zarzutu niewypełnienia obowiązku wynikającego z art. 25 ust. 1 ustawy oraz o nakazanie BIK S.A. ujawnienia skarżącemu danych osobowych prezesa zarządu BIK S.A. lub dyrektora tej spółki.

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, Generalny Inspektor Ochrony Danych Osobowych w sposób niebudzący wątpliwości ustalił, iż skarżący był dłużnikiem [...] S.A., a po przekształceniach tego banku - dłużnikiem [...] S.A., natomiast na mocy umów dotyczących przejęcia wierzytelności - dłużnikiem [...] S.A.

Sąd pierwszej instancji uznał, że Generalny Inspektor Ochrony Danych Osobowych wskazując w zaskarżonych decyzjach na treść przepisu art. 23 Ustawy o ochronie danych osobowych ust. 1 pkt. 1-5 i ust. 4 pkt 2 trafnie twierdził o prawidłowości przetwarzania danych osobowych skarżącego przez wskazane wyżej oba banki. Według tego Sądu trafnie też organ wskazał na treści przepisów innych ustaw to jest art. 509 i nast. Kodeksu cywilnego, art. 96 ust. 1 i 2 oraz art. 97 ust. 1 prawa bankowego, art. 758 i nast. oraz art. 801 § 1 i 2 Kodeksu postępowania cywilnego, które umożliwiają obracanie wierzytelnościami oraz umożliwiają dochodzenie wierzytelności. W celu wykonywania powyższych czynności prawnych bowiem konieczne jest przetwarzanie danych osobowych dłużnika zarówno przez wierzyciela jak i organ egzekucyjny. Organy powołane do prowadzenia egzekucji - tu Komornik Sądowy przy Sądzie Rejonowym w Katowicach z racji wykonywanych czynności i zadań muszą przetwarzać dane osobowe dłużnika. Dotyczy to także wszelkich postępowań sądowych dotyczących postępowania egzekucyjnego, tu postępowań toczących się w niniejszej sprawie przed Sądem Rejonowym w Katowicach i Sądem Okręgowym w Katowicach.

Sąd pierwszej instancji podniósł, że mając na uwadze treść wskazanych przepisów oraz stan faktyczny niniejszej sprawy, zawarty w skardze zarzut naruszenia przez organ art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych jest całkowicie chybiony.

Organ także prawidłowo rozstrzygnął sprawę w aspekcie uprawnień informacyjnych, określonych w art. 33 ustawy o ochronie danych osobowych, przysługujących osobie, której dane są przetwarzane, wobec operatora tych danych. Wobec Komornika oraz obu wyżej wskazanych sądów powszechnych sprawy dostępu dłużnika do treści tytułu egzekucyjnego regulują przepisy Kodeksu postępowania cywilnego (tu dotyczące postępowania egzekucyjnego wskazane wyżej). Tym samym kwestie te pozostają bez związku z przepisami określającymi zasady ochrony danych osobowych.

Sąd pierwszej instancji wskazał, że skarżący nie wystosował do [...], Prezesa Sądu Okręgowego w Katowicach czy Prezesa Sądu Rejonowego w Katowicach, ani Komornika działającego przy tym Sądzie wniosku, o którym mowa w art. 33 ust. 1 ustawy. Skoro zaś obowiązek udostępnienia informacji w trybie art. 33 ustawy spoczywa na administratorze dopiero w sytuacji złożenia stosownego wniosku przez osobę, której dane dotyczą, Sąd ten uznał zarzut skarżącego za całkowicie chybiony i bezzasadny.

Z tych samych względów Sąd uznał za niezasadny zarzut skargi dotyczący naruszenia przez organ art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych, skoro brak jest stosownego wniosku ze strony skarżącego, skierowanego wobec wyżej wskazanych podmiotów z żądaniem uaktualnienia, sprostowania, bądź uzupełnienia jego danych osobowych.

Skargę kasacyjną od powyższego wyroku złożył L. B. zaskarżając go w całości.

Zaskarżonemu orzeczeniu zarzucił naruszenie:

1. prawa materialnego, tj. art. 23 § 1 pkt 2 i 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 nr 101 poz. 926 z późniejszymi zmianami, zwanej dalej "Ustawą") w związku z art. 509 § 1 Kodeksu cywilnego oraz art. 5 ust. 2 pkt 5 ustawy Prawo bankowe, poprzez jego niewłaściwe zastosowanie, tj. uznanie, iż art. 509 § 1 Kodeksu cywilnego oraz art. 5 ust. 2 pkt 5 Prawa bankowego stanowi podstawę prawną dla udostępnienia przez "[...]" S.A oraz pozyskania i przetwarzania przez spółkę pod firmą [...] Spółka Akcyjna Oddział w Polsce danych osobowych Skarżącego, podczas gdy przelew wierzytelności przysługującej wobec Skarżącego - konsumenta w rozumieniu art. 221 Kodeksu cywilnego, podlega szczególnym zasadom określonym w art. 3851 § 1 i następne Kodeksu cywilnego i stanowi wyjątek od treści art. 509 § 1 Kodeksu cywilnego oraz art. 5 ust. 2 pkt 5 Prawa bankowego.

2. oraz przepisów postępowania, które miało istotny wpływ na wynik sprawy:

a) art. 135 P.p.s.a. na skutek niezastosowania przez Wojewódzki Sąd Administracyjny w Warszawie przewidzianych ustawą środków w celu usunięcia naruszenia prawa w stosunku do aktów wydanych lub podjętych we wszystkich postępowaniach prowadzonych w granicach sprawy, której dotyczy skarga, co było niezbędne dla końcowego jej załatwienia;

b) art. 145 § 1 pkt 1 lit. a P.p.s.a. poprzez brak uchylenia przez Wojewódzki Sąd Administracyjny w Warszawie decyzji wydanej z naruszeniem prawa materialnego mającego wpływ na wynik sprawy, a mianowicie art. 23 § 1 pkt 2 Ustawy w związku z art. 221, 3851, 509 § 1 Kodeksu cywilnego oraz art. 5 ust. 2 pkt 5 Prawa bankowego;

Wskazując na wyżej wymienione podstawy skargi kasacyjnej, strona skarżąca wniosła o uchylenie zaskarżonego wyroku i o przekazanie sprawy do ponownego rozpoznania przez Wojewódzki Sąd Administracyjny, ewentualnie o uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi przez Naczelny Sąd j Administracyjny. Ponadto pełnomocnik skarżącego wniósł o przyznanie kosztów nieopłaconej pomocy prawnej udzielonej Skarżącemu z urzędu, które to koszty nie zostały opłacone w całości.

W motywach skargi kasacyjnej skarżący podniósł, iż nie wyraził zgody na przekazanie przez "[...]" S.A. osobom trzecim praw i obowiązków wynikających z zawartej z nim umowy o korzystanie z karty kredytowej. Wojewódzki Sąd Administracyjny dokonał w związku z tym naruszenia wymienionych przepisów prawa materialnego poprzez przyjęcie, iż [...] Spółka Akcyjna Oddział w Polsce nabył wierzytelność, o której mowa powyżej pomimo braku zgody Skarżącego na przejście praw i obowiązków z tej umowy na osobę trzecią, a tym samym uznanie, że "[...]" S.A uprawniony był do udostępnienia, a [...] Spółka Akcyjna Oddziała w Polsce do pozyskania i przetwarzania danych osobowych Skarżącego.

Skarżący zaznaczył, że z przepisów art. 509 § 1, 3851 § 1 oraz 3853 pkt 5 Kodeksu cywilnego wynika wprost, iż przelew wierzytelności przysługującej wobec konsumenta podlega szczególnym zasadom określonym w art. 3851 § 1 i następnym Kodeksu cywilnego i stanowi wyjątek od treści art. 509 § 1 Kodeksu cywilnego. Nie ulega bowiem wątpliwości, iż skarżący zawierając umowę ze spółką "[...]" S.A. działał jako konsument w rozumieniu przepisu art. 221 Kodeksu cywilnego oraz nie wyraził zgody na zmianę wierzyciela.

Ponadto umowa przelewu wierzytelności zawarta pomiędzy "[...]" S.A oraz [...] Spółka Akcyjna Oddziała w Polsce ukształtowała prawa i obowiązki Skarżącego w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy. W świetle powyższego Skarżący uważał, iż udostępnienie danych osobowych Skarżącego oraz ich pozyskanie i przetwarzanie przez [...] Spółka Akcyjna Oddział w Polsce nie znajdowało podstaw w świetle art. 23 ust. 1 pkt 2 Ustawy.

Udostępnienie danych osobowych Skarżącego bez uzyskania jego wcześniejszej zgody nie było również działaniem koniecznym dla realizacji zawartej z nim umowy, a tym samym przetwarzanie danych osobowych Skarżącego nie było dopuszczalne na podstawie art. 23 ust. 1 pkt 3 Ustawy, bowiem "[...]" S.A. mogła powierzyć [...] Spółka Akcyjna Oddziała w Polsce prowadzenie bazy danych na podstawie art. 31 Ustawy.

Skarżący nie znalazł podstawy prawnej dla udostępnienia przez "[...]" S.A. jego danych osobowych oraz ich pozyskania i przetwarzania przez [...] Spółka Akcyjna Oddziała w Polsce w art. 23 ust. 1 pkt 1 Ustawy. Z zebranego w sprawie materiału dowodowego wynika bowiem bezspornie, iż Skarżący nie wyraził zgody na przeniesienie przez "[...]" S.A. przysługujących wobec niego praw i obowiązków w drodze przelewu na inne podmioty.

Przechodząc do zarzutów naruszenia przez Sąd pierwszej instancji przepisów postępowania, Skarżący zarzucił naruszenie art. 135 P.p.s.a, poprzez niezastosowanie przewidzianych ustawą środków w celu usunięcia naruszenia prawa w stosunku do aktów wydanych lub podjętych we wszystkich postępowaniach prowadzonych w granicach sprawy, której dotyczy skarga, co było niezbędne dla końcowego jej załatwienia (tj. w szczególności dla uchylenia zaskarżonej decyzji Generalnego Inspektora).

Skarżący podniósł, iż Wojewódzki Sąd Administracyjny był zobowiązany dokonać prawnej oceny wszystkich działań podejmowanych przez organy obu instancji zgodnie z art. 134 § 1 P.p.s.a., a pominięcie tego obowiązku, wywołało skutek w postaci wydania orzeczenia z naruszeniem szeregu przepisów prawa materialnego.

W odpowiedzi na skargę kasacyjną z dnia 2 czerwca 2008 r. Generalny Inspektor Ochrony Danych Osobowych poparł swoją dotychczasową argumentację w sprawie i wniósł o oddalenie skargi kasacyjnej L. B.

Naczelny Sąd Administracyjny zważył, co następuje:

Skarga kasacyjna nie zasługuje na uwzględnienie.

Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują przesłanki nieważności określone w art. 183 § 2 powołanej ustawy Prawo o postępowaniu przed sądami administracyjnymi, zatem Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.

W okolicznościach przedmiotowej sprawy istota sporu prawnego dotyczy tego, czy wskazane przepisy art. 23 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 nr 101 poz. 926 z późn. zm., dalej zwana "Ustawą"), pozwalały [...] na przetwarzanie danych osobowych L. B. poprzez ich udostępnienie innemu podmiotowi - [...] bez jego zgody.

Kwestia dopuszczalności przetwarzania danych osobowych dłużnika w związku z umową przelewu wierzytelności była przedmiotem wyroku składu siedmiu sędziów Naczelnego Sądu Administracyjnego z dnia 6 czerwca 2005 r., I OPS 2/05. Sąd w powiększonym składzie uznał w nim, że prawnie usprawiedliwiony cel o którym stanowi art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych może być oparty także na przepisach prawa cywilnego oraz, że samo ustalenie, iż administrator danych osobowych realizuje prawnie dopuszczalny cel nie przesądza o dopuszczalności przetwarzania danych. Niezbędne jest bowiem wyważenie interesów administratora danych osobowych oraz osoby, której dane dotyczą przy uwzględnieniu celu ustawy, którym jest ochrona prywatności w rozumieniu art. 47 Konstytucji.

Pogląd prawny wyrażony w tym wyroku skład orzekający w niniejszej sprawie w pełni podziela.

W związku z powyższym zarzut skargi kasacyjnej, odnoszący się do naruszenia art. 23 § 1 pkt 2 i 3 w związku z art. 509 § 1 Kodeksu cywilnego oraz art. 5 ust. 2 pkt 5 ustawy Prawo bankowe należy uznać za nietrafny. Przepis art. 23 ust 1 – 5 Ustawy zawiera bowiem enumeratywne wyliczenie przesłanek dopuszczających przetwarzanie danych osobowych, z tym, że spełnienie którejkolwiek z nich przesądza o legalności procesu ich przetwarzania (w kontekście omawianego przepisu).

Mając więc na uwadze przytoczony wyrok Naczelnego Sądu Administracyjnego z dnia 6 czerwca 2005 r. należało dojść do wniosku, że przetwarzanie danych osobowych L. B. było dopuszczalne w oparciu o art. 23 ust. 1 pkt 5 Ustawy. Powyższy przepis stanowi, iż uznać należy za dopuszczalne przetwarzanie danych, gdy jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów administratora danych lub odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Dokonując wykładni tego przepisu należy zwrócić uwagę na użycie przez ustawodawcę określenia "jeżeli jest to niezbędne". Wskazuje to, że stosowanie tego przepisu wymaga nie tylko wykazania że chodzi o realizowanie uprawnienia lub obowiązku wynikającego z przepisów prawa lub prawnie usprawiedliwionego celu, ale także dokonanie oceny czy dla realizacji tego niezbędne jest przekazanie danych, pomimo braku zgody osoby której dane te dotyczą. Za taki prawnie usprawiedliwiony cel już sama Ustawa w art. 23 ust. 4 pkt 2 uznaje dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej (por. wyrok NSA z 6 czerwca 2005 r., sygn. akt I OPS 2/05).

W sytuacji, gdy [...] zbył wierzytelność przysługującą temu podmiotowi wobec Skarżącego na rzecz [...], należy uznać, że stanowiło to działanie mieszczące się w pojęciu dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej. Spółka [...] przejęła bowiem prawa i obowiązki [...] S.A. wobec skarżącego (prawa i obowiązki wynikające z zawartej z nim umowy o korzystanie z karty kredytowej) i miała prawo przetwarzać jego dane osobowe, w oparciu o przesłankę wynikającą z art. 23 ust. 1 pkt. 5 Ustawy, czyli prawnie usprawiedliwiony cel.

Należy również zauważyć, że organ administracji publicznej jakim jest Generalny Inspektor Ochrony Danych Osobowych nie był uprawniony do badania zgodności z prawem poszczególnych postanowień umowy konsumenckiej zawartej przez Skarżącego ze spółką [...] S.A., ani do wypowiadania się w kwestii dopuszczalności i ważności przelewu wierzytelności, wynikającego z art. 509 §1 Kodeksu cywilnego. Zakres przedmiotowych czynności kontrolnych należy bowiem do kompetencji sądu powszechnego. Nie oznacza to jednak, że w sprawie administracyjnej nie jest możliwe ocenianie znaczenia i skutków umowy dla potrzeb rozstrzygnięcia administracyjnego, jeżeli prawo administracyjne odsyła do prawa cywilnego. W przypadku art. 23 ust. 1 pkt 5 ustawy takie odesłanie ma miejsce. Prawnie usprawiedliwiony cel, o którym mowa w tym przepisie może być oparty także na przepisach prawa cywilnego. Jak już zostało podniesione wyżej, za taki prawnie usprawiedliwiony cel już sama ustawa uznaje dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej (art. 23 ust. 4 pkt 2 Ustawy).

Ponadto Skarżący w żaden sposób nie wykazał, że przetwarzanie jego danych osobowych przez [...] stanowiło naruszenie jego praw i wolności. Za słuszne należy uznać wywody organu, że gdyby uznać każdy wypadek przetwarzania danych osobowych dłużnika (będącego konsumentem) za godzący w jego prawa i wolności, to doszłoby z jednej strony do niczym nieuzasadnionej ochrony osób nie wywiązujących się ze swoich zobowiązań, z drugiej natomiast do naruszenia zasady swobody działalności gospodarczej (por. wyrok WSA w Warszawie z dnia 30 listopada 2004 r., sygn. akt II SA/Wa 1057/04).

Za nieuzasadnione należy uznać powoływanie się skarżącego na treść art. 3851 § 1 oraz 3853 pkt 5 Kodeksu cywilnego z których wynika, iż przelew wierzytelności przysługującej wobec konsumenta podlega szczególnym zasadom określonym w art. 3851 § 1 i następnym Kodeksu cywilnego i stanowi wyjątek od treści art. 509 § 1 Kodeksu cywilnego. Przyjęcie stanowiska, iż nawet we wzorcu umownym nie można wyłączyć zgody konsumenta na przeniesienie praw i obowiązków wynikających z umowy, prowadziłoby do wniosku, że przetwarzanie danych bez zgody osoby, której dane dotyczą, na podstawie art. 23 ust. 1 pkt 5 ustawy jest w ogóle niedopuszczalne, ponieważ administrator danych nie realizuje prawnie usprawiedliwionego celu w rozumieniu tego przepisu, gdyż zakazane jest dokonywanie przelewu wierzytelności konsumenta bez jego zgody. Stanowisko takie nie wynika z przepisów art. 385 (3) Kodeksu cywilnego. Jeżeli uwzględni się także przepis art. 385 (1) § 1 Kodeksu cywilnego, można jedynie przyjąć, że postanowienie umowne zawarte we wzorcu umownym zezwalające kontrahentowi konsumenta na przelew wierzytelności, może być uznane za niedozwolone, jeżeli kształtuje prawa i obowiązki konsumenta w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy. Oznacza to, że również przelew wierzytelności, w przypadku gdy umowa zawarta z konsumentem na podstawie wzorca umownego, nie zawiera takiej klauzuli, mógł być jedynie oceniany na podstawie przesłanek określonych w art. 385(1) Kodeksu cywilnego. Nie można więc przyjąć z góry założenia, że nie można przenieść wierzytelności na osobę trzecią, gdy dłużnikiem jest konsument, bez zgody dłużnika (art. 509 § 1 Kodeksu cywilnego), ponieważ sprzeciwiałoby się to art. 385(3) pkt 5 Kodeksu cywilnego (por. wyrok NSA z 6 czerwca 2005 r., sygn. akt I OPS 2/05). Na takim założeniu zaś została oparta skarga kasacyjna.

Nie bez znaczenia przy ocenie, czy cel jest prawnie usprawiedliwiony są także przepisy prawa cywilnego, które służą ochronie konsumentów. Czym innym jednak jest ocena, czy cel realizowany przez administratora danych osobowych jest prawnie usprawiedliwiony, w rozumieniu art. 23 ust. 1 pkt 5 Ustawy, co należy do kompetencji organu rozpoznającego sprawę administracyjną, a czym innym zanegowanie tego celu na podstawie stwierdzenia, że zawarcie umowy przeniesienia wierzytelności konsumenckiej jest zakazane, co w tym przypadku wykracza poza ramy sprawy administracyjnej. Na marginesie należy zauważyć, że Sąd Najwyższy w wyroku z dnia 26 września 2008 r., sygn. akt V CSK 105/08 przyjął tezę, iż przelew wierzytelności wynikającej z umowy "konsumenckiej" jest dopuszczalny.

Wobec przedstawionego powyżej stanowiska Naczelnego Sądu Administracyjnego w kwestii zasadniczego zarzutu skargi kasacyjnej, dotyczącego dopuszczalności przetwarzania danych osobowych Skarżącego przez spółkę [...], za bezzasadny należało uznać zarzut naruszenia przez Sąd pierwszej instancji przepisów art. 135 P.p.s.a. oraz art. 145 § 1 pkt 1 lit. a P.p.s.a.

Mając na uwadze powyższe Naczelny Sąd Administracyjny orzekł jak w sentencji na podstawie art. 184 P.p.s.a.