Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk, Sędzia WSA Ewa Kwiecińska (spr.), Sędzia WSA Ewa Marcinkowska, , po rozpoznaniu na posiedzeniu niejawnym w dniu 6 listopada 2020 r. sprawy ze skargi T. K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2019 r. nr [...] w przedmiocie odmowy uwzględnienia wniosku oddala skargę

Prezes Urzędu Ochrony Danych Osobowych, zwanej dalej PUODO, działając na podstawie art. 104 § 1 ustawy Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096), art. 18 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138) w zw. z art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.) oraz art. 6 ust. 1 lit. f i art. 28 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. L 127 z 23.05.2018, str. 2), wydał decyzję z dnia [...] czerwca 2019 r. nr [...], mocą której odmówił uwzględnienia wniosku T. K. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez E. Sp. z o.o. z siedzibą w W.

Organ wskazał, iż Biura Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Urząd Ochrony Danych Osobowych) wpłynęła skarga T. K. na przetwarzanie jego danych osobowych przez E. Sp. z o.o. z siedzibą w W.

Skarżący zakwestionował podstawę prawną przetwarzania jego danych osobowych przez Spółkę z uwagi na przedawnienie wierzytelności wynikającej z umowy zawartej [...] stycznia 2012 r. z firmą X. S.A. Wniósł o przywrócenie stanu zgodnego z prawem poprzez usunięcie jego wszystkich danych osobowych przez E.

W uzasadnieniu decyzji z dnia [...] czerwca 2019 r. nr [...]. Prezes Urzędu Ochrony Danych Osobowych stwierdził, że E. wyjaśniła pismem z dnia [...] października 2018 r., iż nabyła dane osobowe strony na podstawie umowy z dnia [...] stycznia 2012 r. o zarządzanie wierzytelnościami. Na podstawie tej umowy E. Fundusz [...] z siedzibą w W. przekazał E. dane osobowe skarżącego celem podejmowania czynności zmierzających do odzyskania wierzytelności.

Wierzytelność, dotycząca zadłużenia skarżącego, została nabyta przez Fundusz na podstawie umowy sprzedaży wierzytelności z dnia [...] maja 2017 r. z firmą X. S.A. z siedzibą w G. Fundusz wstąpił w prawa wierzyciela w zakresie wierzytelności dotyczącej skarżącego, cesja wierzytelności nastąpiła na podstawie na podstawie art. 509 i nast. Kodeksu cywilnego.

Zakres pozyskanych przez Spółkę danych osobowych skarżącego obejmował: imię, nazwisko, datę urodzenia, płeć, numer ewidencyjny PESEL, adresy korespondencyjne, numer telefonu, adres poczty elektronicznej, informacje dotyczące podstawy roszczenia w rozbiciu na składniki finansowe, tj. należność główną, odsetki oraz numer rachunku bankowego dedykowanego do spłaty zadłużenia, datę zawarcia umowy i datę rozwiązania umowy.

Prezes Urzędu Ochrony Danych Osobowych nadmienił, że w momencie wejścia w życie przepisów ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r. poz. 1000 ze zm.), tj. 25 maja 2018 r., Biuro Generalnego Inspektora stało się Urzędem Ochrony Danych Osobowych.

Z dniem 25 maja 2018 r., w stosunku do procesów przetwarzania danych osobowych, zaczęło być w krajach członkowskich Unii Europejskiej stosowane rozporządzenie 2016/679.

W czasie kiedy wpłynęła do Generalnego Inspektora Ochrony Danych Osobowych skarga, obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.). W związku z powyższym ocenę pozyskania danych osobowych skarżącego przez Spółkę należy rozpatrywać na podstawie powyższej ustawy.

W myśl ustawy o ochronie danych osobowych z 1997 r., aby przetwarzanie danych osobowych było zgodne z prawem, administrator był obowiązany przetwarzać dane osobowe na podstawie przesłanek określonych w art. 23 ust. 1 pkt 1-5 (w przypadku tzw. danych zwykłych, jak np. imię, nazwisko czy adres) w związku z art. 23 ust. 4 pkt. 2. Dodatkowo zgodnie z art. 31 ww. ustawy, administrator danych mógł powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (ust. 1). Podmiot, o którym mowa w ust. 1, mógł przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2).

W obowiązującym od 25 maja 2018 r. rozporządzeniu Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4 maja 2016 r., str. 1 oraz Dz. Urz. L 127 z 23 maja 2018 r., str. 2) ustanowiono przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych (art. 1 ust. 1).

PUODO wskazał, że Fundusz pozyskał dane osobowe skarżącego w związku z zawarciem z X. S.A. umowy sprzedaży wierzytelności z dnia [...] maja 2017 r. Powyższe znajduje oparcie w art. 509 § 1 ustawy – Kodeks cywilny (Dz. U. z 2018 r., poz. 1025 ), zgodnie z którym wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Na mocy powyższej umowy Fundusz nabył od X. S.A. wierzytelność wobec skarżącego. Cesja wierzytelności wiąże się z uprawnieniem do przekazania nabywcy danych osobowych dłużnika umożliwiających podjęcie względem niego stosowanych działań zmierzających do odzyskania należności. Powyższa dopuszczalność przelewu wierzytelności nie podlegała ograniczeniom umownym ani ustawowym. Nie była również wymagana zgoda skarżącego na przelew wierzytelności. Przekazanie danych osobowych dłużników firmom windykacyjnym może nastąpić bez ich zgody, nie naruszając przy tym ochrony danych osobowych, które należy uznać za aktualne w odniesieniu do przedmiotowej sprawy.

Fundusz, na podstawie powyższej umowy, stał się administratorem przekazanych danych, przetwarzając je w celu windykacji nabytych należności. Przesłanką legalizującą pozyskanie danych osobowych skarżącego przez Fundusz był art. 23 ust. 1 pkt. 5 ustawy o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), który określa prawnie usprawiedliwiony cel przetwarzania. Zatem w przypadku przetwarzania danych przez Fundusz przed 25 maja 2018 r. podstawą prawną był art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych, a obecnie jest to art. 6 ust. 1 lit. f) rozporządzenia 2016/679.

Na podstawie § 2 umowy o zarządzanie sekurytyzowanymi wierzytelnościami z dnia 10 stycznia 2012 r. Spółka zarządza wierzytelnościami sekurytyzowanymi należącymi do aktualnego wierzyciela, tj. Funduszu. Tym samym przesłanką legalizującą przetwarzanie danych osobowych skarżącego przez Spółkę jest również art. 28 rozporządzenia 2016/679.

Ustawa o ochronie danych osobowych zezwalała administratorowi danych na powierzenie innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzania danych (art. 31 ust. 1), zastrzegając jedynie, że podmiot, któremu dane powierzono może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie (art. 31 ust. 1 i 2 ustawy o ochronie danych osobowych). Obecnie Spółka przetwarza dane osobowe skarżącego na podstawie prawnej wynikającej z art. 28 rozporządzenia 2016/679. Zgodnie z art. 28 ust. 3 przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Skarżący żądał usunięcia jego danych osobowych przetwarzanych przez E., zatem w sprawie zastosowanie znajduje art. 17 ust. 1 lit. a-f rozporządzenia 2016/679. Stanowi on, że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe w sytuacji, gdy zachodzi jedna z okoliczności wskazanych w powyższym artykule. Zgodnie zaś z art. 17 ust. 3 lit. e rozporządzenia 2016/679 powyższy przepis nie ma zastosowania w zakresie, w jakim przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Przeprowadzone postępowanie wykazało, że dane osobowe skarżącego są przetwarzane przez Spółkę w celu dochodzenia roszczeń.

Przetwarzanie danych skarżącego przez Spółkę znajdowało uzasadnienie zarówno w przepisach ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r., jak i w obecnie obowiązującym rozporządzeniu 2016/679, bowiem działa on na podstawie umowy.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, w ustalonym stanie faktycznym i prawnym sprawy, przetwarzanie danych osobowych skarżącego nie może być oceniane jako naruszające jego prawa i wolności. Skarżący jako dłużnik musi liczyć się bowiem z tym, że popadając w zwłokę w spełnieniu zobowiązania, jego prawo do prywatności może zostać ograniczone ze względu na dochodzenie przez wierzyciela należnych mu kwot. W przeciwnym przypadku mogłoby dojść do sytuacji, w której dłużnik, powołując się na prawo do ochrony danych osobowych (prawo do prywatności), skutecznie uchyliłby się od spoczywającego na nim obowiązku spełnienia świadczenia i w konsekwencji ograniczyłby (wyłączył) prawo wierzyciela do uzyskania należnej mu zapłaty. Powołanie się na prawo do ochrony danych osobowych musiałoby też ograniczać przewidziane szczególnymi przepisami prawo do zbycia wierzytelności i podejmowania dalszych działań w sprawie ich odzyskania.

Prezes Urzędu zaznaczył, iż dokonał oceny na podstawie zgromadzonego w niniejszej sprawie materiału dowodowego jedynie w zakresie przetwarzania danych osobowych skarżącego w kontekście ustawy, natomiast nie badał kwestii istnienia lub nieistnienia wierzytelności, ani jej wysokości. Takie sprawy są bowiem sprawami cywilnymi w rozumieniu art. 1 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego i powinny być rozpatrywane w postępowaniach prowadzonych przez sądy powszechne.

Odnosząc się do zarzutu przedawnienia roszczenia, Prezes Urzędu Ochrony Danych Osobowych wyjaśnił, iż kwestia ta pozostaje poza zakresem kognicji organu, gdyż jest sprawą cywilną i może być rozpatrywana wyłącznie w postępowaniu prowadzonym przez sąd powszechny. Prezes Urzędu Ochrony Danych Osobowych nie jest natomiast właściwym organem do badania istnienia podstawy prawnej wierzytelności.

W niniejszym postępowaniu ocenie podlegała wyłącznie legalność przetwarzania danych osobowych skarżącego przez E.

Odnosząc się do zarzutu natarczywego wykonywania telefonów do skarżącego, organ wyjaśnił, iż może być to rozpatrywane w kontekście praktyk stosowanych przez firmy windykacyjne. W myśl ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U z 2019 r. poz. 369), sprawy dotyczące praktyk naruszających zbiorowe interesy konsumentów w tym m.in. stosowaniu wobec konsumentów niedopuszczalnego nacisku celem przymuszenia ich do zapłaty długu poprzez wykorzystywanie w kontaktach z konsumentami w toku czynności windykacyjnych haseł i komunikatów, których treść może wywoływać u konsumentów poczucie zastraszania i lęku oraz służyć wywieraniu presji psychicznej ukierunkowanej na wymuszenie dokonania zapłaty płatności są sprawami, które należą do kompetencji Prezesa Urzędu Ochrony Konkurencji i Konsumentów.

T. K. wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2019 r. nr [...].

Skarżący wniósł o uchylenie zaskarżonej decyzji. Zarzucił organowi błąd w ustaleniach faktycznych polegający na przyjęciu, iż jest dłużnikiem, podczas gdy był jedynie klientem firmy X. Podniósł również naruszenie art. 5 ust. 1 pkt. c RODO poprzez brak nakazu usunięcia numeru telefonu ze zbioru danych Spółki.

T. K. stwierdził, że w niniejszej sprawie celem przetwarzania danych jest dochodzenie roszczeń finansowych w sytuacji, gdy nie jest on dłużnikiem. Podmiot przetwarzający dane powinien udowodnić, że posiada jakiekolwiek roszczenie finansowe. Firma X. naliczyła bezumowną, fikcyjną opłatę, a następnie sprzedała ten dług innej firmie.

Niezależnie od powyższego posiadanie przez firmę windykacyjną numeru telefonu skarżącego służyło tylko jako forma nacisku. Posiadanie numeru telefonu jest sprzeczne z zasadą minimalizmu określoną w RODO. W celu rzeczywistego dochodzenia "roszczeń" niezbędne są tylko dane w postaci: imienia i nazwiska oraz danych adresowych.

W odpowiedzi na skargę organ wniósł o jej oddalenie oraz podtrzymał twierdzenia zawarte w uzasadnieniu decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z art. 1 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2019 r. poz. 2167 ze zm.), sądy administracyjne kontrolują działalność administracji publicznej pod względem zgodności z prawem. Z tego też powodu w postępowaniu sądowym nie mogą być brane pod uwagę argumenty natury słusznościowej czy celowościowej. Badana jest wyłącznie legalność aktu administracyjnego, czyli prawidłowość zastosowania przepisów prawa do zaistniałego stanu faktycznego, trafność wykładni tych przepisów oraz prawidłowość zastosowania przyjętej procedury.

Stosownie do art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 ze zm.), zwanej dalej P.p.s.a., sąd rozstrzyga w granicach danej sprawy, nie będąc związany zarzutami i wnioskami skargi oraz wskazaną podstawą prawną, z zastrzeżeniem art. 57a.

Na zasadzie art. 145 § 1 pkt 1 P.p.s.a., uwzględnienie skargi na decyzję następuje w przypadku naruszenia prawa materialnego, które miało wpływ na wynik sprawy (lit. a), naruszenia prawa dającego podstawę do wznowienia postępowania administracyjnego (lit. b) lub innego naruszenia przepisów postępowania, jeżeli mogło ono mieć istotny wpływ na wynik sprawy (lit. c).

Przeprowadzona przez Sąd, w granicach tak określonej kognicji, kontrola legalności zaskarżonej decyzji, wykazała, że została ona wydana bez naruszeniem przepisów prawa procesowego i materialnego w stopniu uzasadniającym jej uchylenie, o co wnosił skarżący w skardze.

Na wstępie podać należy, że w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych zostały zawarte przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

Celem rozporządzenia jest doprowadzenie do pełnej harmonizacji prawa w ramach UE i swobodnego przepływu danych osobowych. W założeniu ma to pozwolić mieszkańcom Unii Europejskiej na lepszą kontrolę ich danych osobowych.

Rozporządzenie zostało przyjęte 27 kwietnia 2016 r. W momencie wejścia w życie (od dnia 25 maja 2018 r.), po dwuletnim okresie przejściowym, zaczęło obowiązywać w krajach członkowskich Unii Europejskiej bezpośrednio, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego.

Zgodnie z art. 4 Rodo pkt 1), 2), 7) i 8) RODO, "dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

"Przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie

"Administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

"Podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Przepisem legalizującym przetwarzanie danych osób fizycznych przez administratora jest obecnie art. 6 rozporządzenia 2016/679, który wypełnia podstawy prawne przetwarzania danych osobowych. Zgodnie z nim przetwarzanie danych osobowych jest zgodne z prawem, gdy spełniona jest co najmniej jedna z wymienionych przesłanek: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Jak trafnie przyjął organ przepisami uprawniającymi Fundusz i Spółkę do przetwarzania danych osobowych skarżącego aktualnie są art. 6 ust. 1 lit. f) rozporządzenia 2016/679, który wypełnia podstawy prawne przetwarzania danych osobowych, a także art. 28 ust. 3 wspomnianego rozporządzenia, w którym przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Z akt sprawy wynika, iż Fundusz pozyskał dane osobowe skarżącego na podstawie umowy sprzedaży wierzytelności zawartej z firmą X. S.A. dnia [...] maja 2017 r. Powyższe dopuszcza art. 509 § 1 Kodeksu cywilnego, zgodnie z którym wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Na mocy powyższej umowy Fundusz nabył od X. S.A. wierzytelność wobec skarżącego. Trafnie wskazał organ, iż cesja wierzytelności wiąże się z uprawnieniem do przekazania nabywcy danych osobowych dłużnika umożliwiających podjęcie względem niego stosowanych działań zmierzających do odzyskania należności. Powyższa dopuszczalność przelewu wierzytelności nie podlegała ograniczeniom umownym ani ustawowym. Nie była również wymagana zgoda skarżącego na przelew wierzytelności. Rozumowanie to jest zgodne ze stanowiskiem Naczelnego Sądu Administracyjnego orzekającym w składzie 7 sędziów, który w wyroku z dnia 6 czerwca 2005 r. (OPS 2/2005), wskazał, że przekazanie danych osobowych dłużników firmom windykacyjnym może nastąpić bez ich zgody, nie naruszając przy tym ochrony danych osobowych, które należy uznać za aktualne w odniesieniu do przedmiotowej sprawy.

Na podstawie wspomnianej umowy Fundusz stał się administratorem przekazanych danych i przetwarza je w celu windykacji nabytych należności. Przesłanką uprawniającą do przetwarzania danych osobowych skarżącego przez Fundusz do dnia 25 maja 2018 r. był zatem art. 23 ust. 1 pkt. 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), a obecnie jest art. 6 ust. 1 lit. f) rozporządzenia 2016/679.

Organ prawidłowo odniósł się również do kwestii powierzenia danych osobowych skarżącego przez Fundusz na rzecz Spółki. Przekazanie danych osobowych innemu podmiotowi było legalne zarówno na podstawie art. 31 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), jak i obecnie na podstawie art. 28 rozporządzenia 2016/679. Zgodnie z art. 28 ust. 3 przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Przetwarzanie danych skarżącego przez Spółkę miało zatem podstawę prawną zarówno w przepisach ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2016 r. poz. 922), jak w obecnie obowiązującym rozporządzeniu 2016/679. Podstawę do tego przetwarzania stanowiła bowiem umowa z dnia [...] stycznia 2012 r. o zarządzanie wierzytelnościami.

W ocenie Sądu Prezes UODO trafnie natomiast nie badał kwestii istnienia lub nieistnienia wierzytelności, ani jej wysokości. Takie sprawy są bowiem sprawami cywilnymi w rozumieniu art. 1 Kodeksu postępowania cywilnego i powinny być rozpatrywane w postępowaniach prowadzonych przez sądy powszechne. Dlatego też w niniejszym postępowaniu ocenie podlegała wyłącznie legalność przetwarzania danych osobowych skarżącego przez kwestionowany w skardze podmiot.

Odnosząc się z kolei do kwestii uchybienia polegającego na nienakazaniu Spółce zastosowania się do zasady minimalizacji danych (art. 5 ust. 1 lit. c) rozporządzenia 2016/679), zwrócić należy uwagę, iż pierwotnie skarżący żądał usunięcia jego danych osobowych przez Spółkę przetwarzanych bez podstawy prawnej, a nie ich minimalizacji. Żądanie minimalizacji danych poprzez nakazanie firmie windykacyjnej usunięcie numeru telefonu skarżącego zostało sformułowane dopiero na etapie skargi sądowoadministracyjnej. W tym stanie rzeczy organ trafnie odniósł się do żądania zawartego we wniosku skarżącego z dnia 4 stycznia 2018 r., odmawiając uwzględnienia tego wniosku.

Mając na względzie powyższe, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 ustawy – Prawo o postępowaniu przed sądami administracyjnymi skargę oddalił.