GI-DEC-DS-37/04
2007-05-15
Warszawa, dnia 13 lutego 2004 r.
(dotyczy usunięcia przez Spółkę danych osobowych Skarżącej pozyskanych bez jej zgody, w związku z zawarciem umowy przelewu wierzytelności, od Operatora)
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 6 w związku art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz z art. 385¹ § 1 w związku z art. 385³ pkt 5 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.),
po przeprowadzeniu postępowania administracyjnego w sprawie udostępnienia przez Regionalną Operatora Spółce Sp. z o.o., danych osobowych Skarżącej
nakazuję
Spółce Sp. z o.o., usunięcie danych osobowych Skarżącej pozyskanych bez jej zgody, w związku z zawarciem umowy przelewu wierzytelności, od Operatora.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga, w której Skarżąca zwróciła się o zbadanie legalności udostępnienia Operatora jej danych osobowych Spółce Sp. z o.o. - podmiotowi zajmującemu się windykacją i obrotem wierzytelnościami.
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie, Generalny Inspektor Ochrony Danych Osobowych ustalił następujące okoliczności faktyczne:
1. W dniu 20 grudnia 2000 r. Skarżąca zawarła z Operatorem „umowę oświadczenie usług telekomunikacyjnych z abonentem indywidualnym” (kserokopia umowy w aktach sprawy), która została następnie przez Operatora rozwiązana, z powodu zalegania przez Skarżącą z płatnościami za świadczone przez ww. Spółkę usługi.
2. W dniu 20 maja 2003 r. Operator zawarł umowę o przelew wierzytelności ze Spółką z o.o., (kopia umowy w aktach sprawy), na mocy której Spółka przejęła wierzytelności Operatora, w tym wierzytelność wobec Skarżącej. Zarówno u podstaw udostępnienia przez Operatora, jak i pozyskania przez Spółkę z o.o. przedmiotowych danych wskazano
art. 509 i nast. ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.), zwanej dalej Kc.
3. Zakres pozyskanych przez Spółkę danych Skarżącej obejmował: nazwisko i imię dłużnika, numer PESEL, numer dowodu osobistego, adres zamieszkania, numer telefonu oraz dane niezbędne do ustalenia wysokości i tytułu wierzytelności.
4. Pismem z dnia 17 czerwca 2003 r. Spółka poinformowała Skarżącą, że na podstawie umowy przelewu-cesji, nabyła od Operatora dług Skarżącej, wynikający
z umowy o świadczenie usług telekomunikacyjnych oraz wskazała na jakie konto jest ona zobowiązana dokonać wpłaty na poczet powyższej wierzytelności.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Rozpatrując okoliczności przetwarzania danych osobowych skarżącej przez Spółkę z o.o. wskazać należy, iż przetwarza ona dane osobowe Skarżącej w sposób nieuprawniony. Jak wynika z art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą, administrator danych powinien legitymować się przynajmniej jedną z przesłanek przetwarzania danych enumeratywnie wymienionych w tym przepisie. Przetwarzanie danych osobowych jest dopuszczalne m.in. wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę (art. 23 ust. 1 pkt 1) lub gdy zezwalają na to przepisy prawa (art. 23 ust. 1 pkt 2). Z zebranego w sprawie materiału dowodowego wynika, iż dane Skarżącej Spółka pozyskała od Operatora (wierzyciela) na podstawie umowy cesji wierzytelności zawartej w dniu 20 maja 2003 r. Jako podstawę pozyskania przedmiotowych danych Spółka wskazała art. 509 Kc, zgodnie z którego treścią, wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania (§1). Wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, w szczególności roszczenie o zaległe odsetki (§2).
W ocenie Generalnego Inspektora Ochrony Danych Osobowych, istnienie przepisu art. 509 Kc, nie stanowi jednak podstawy prawnej dla pozyskania danych osobowych Skarżącej przez Spółkę, w sytuacji, gdy Skarżąca była pozbawiona możliwości wyrażenia na powyższe zgody. Podkreślić bowiem należy, iż z dniem 1 lipca 2000 r., mocą ustawy z dnia
2 marca 2000 r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny (Dz. U. Nr 22, poz. 271 z późn. zm.), zmieniony został przepis art. 3851 § 1 Kc. Obecnie stanowi on, że postanowienia umowy zawieranej z konsumentem nie uzgodnione indywidualnie nie wiążą go, jeżeli kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy (niedozwolone postanowienia umowne). Nie dotyczy to postanowień określających główne świadczenia stron, w tym cenę lub wynagrodzenie, jeżeli zostały sformułowane w sposób jednoznaczny. Natomiast w myśl art. 3853 pkt 5 Kc, w razie wątpliwości uważa się, że niedozwolonymi postanowieniami umownymi są te, które w szczególności zezwalają kontrahentowi konsumenta na przeniesienie praw i przekazanie obowiązków wynikających z umowy bez zgody konsumenta. Wykładnia funkcjonalna powołanych powyżej przepisów wskazuje zatem, że za niedozwolone uznać należy postanowienia umowy zawieranej z konsumentem dopuszczające przeniesienie wierzytelności na osobę trzecią bez zgody konsumenta.
Słuszność przedstawionej powyżej interpretacji przepisów Kodeksu cywilnego potwierdził Prezes Urzędu Ochrony Konkurencji i Konsumentów. W jego opinii cesja długów abonenta pomiędzy przedsiębiorcą, a firmą windykacyjną bez zgody konsumenta spełnia ogólne przesłanki niedozwolonego postanowienia umownego, określonego w art. 3853 pkt 5 Kc, tj. nie jest uzgodnione indywidualnie, kształtuje prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami i naruszający interesy konsumenta. O ile zatem brak jest formalnego zapisu przedmiotowego postanowienia we wzorcu umownym – nie może być uznane za dozwolone postanowienie umowne. Brak formalnego sformułowania postanowienia, przy jednoczesnym stosowaniu analogicznego warunku stanowi w praktyce naruszenie zasad uczciwego obrotu i czyn nieuczciwej konkurencji
w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji
(Dz. U. Nr 47, poz. 211 z późn. zm.).
Zdaniem Generalnego Inspektora Ochrony Danych Osobowych, podstawą uzyskania przez Spółkę z o.o. danych Skarżącej nie może być także, powoływany przez Spółkę art. 23 ust. 1 pkt 5 ustawy. Niewątpliwie za podjęte w prawnie usprawiedliwionym celu, w rozumieniu art. 23 ust. 1 pkt 5 ustawy, uznać należy, wskazywane przez Spółkę, działania przedsiębiorcy, które zmierzają do dochodzenia roszczeń z tytułu prowadzonej działalności. Niemniej jednak, aby działania powyższe można było zakwalifikować do kategorii prawnie usprawiedliwionego celu, powinny być one zgodne z prawem, natomiast zawarta przez Spółkę umowa przelewu wierzytelności, skutkująca pozyskaniem danych osobowych Skarżącej, w opinii Generalnego Inspektora, jest z prawem niezgodna, co zostało wykazane powyżej. Ponadto, należy zauważyć, że w świetle art. 23 ust. 1 pkt 5 ustawy, aby dane działanie administratora danych mogło być uznane za legalne, powinno być one podjęte nie tylko w prawnie usprawiedliwionym celu ale, co istotne, nie może naruszać praw i wolności osoby, której dane dotyczą. Pozyskanie i przetwarzanie przez Spółkę danych osobowych Skarżącej, zdaniem Generalnego Inspektora, narusza jej wolności i umniejsza gwarancje i prawa jakie przysługują Skarżącej, jako konsumentowi.
Zgodnie z art. 18 ust. 1 ustawy o ochronie danych osobowych, w razie naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, a w szczególności zastosowanie dyspozycji określonych w pkt. 1-6 cytowanego przepisu. Warunkiem koniecznym do wydania decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z ustawą o ochronie danych osobowych jest więc ustalenie realnych uchybień w procesie przetwarzania danych przez ich administratora.
W kontekście rozpatrywanego stanu faktycznego i prawnego uznać należy, iż Spółka z o.o., przetwarza dane osobowe Skarżącej nie dysponując żadną z przesłanek legalizujących przedmiotowe działanie, o których mowa w art. 23 ust. 1 ustawy o ochronie danych osobowych. Pozyskanie danych Skarżącej na podstawie art. 509 Kc, tj. nie poprzedzone jej zgodą, przyjmuje bowiem charakter niedozwolonych postanowień umownych, o których mowa w art. 385³ pkt 5 Kc, te zaś zgodnie z art. 385¹ § 1 Kc nie są dla Skarżącej (konsumenta) wiążące. W tej sytuacji, realizując dyspozycję art. 18 ust. 1 pkt 6 ustawy, Generalny Inspektor Ochrony Danych Osobowych uznał za w pełni uzasadnione wydanie decyzji nakazującej usunięcie danych Skarżącej przetwarzanych niezgodnie z przepisami prawa. Należy przy tym podkreślić, iż poprzez określenie „usunięcie danych” należy rozumieć zastosowanie przez Spółkę z o.o. takich procedur, których rezultatem, stosownie do art. 7 pkt 3 ustawy, będzie zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
Mając powyższe na uwadze Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Stronom, na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych przysługuje, w terminie 14 dni od daty doręczenia niniejszej decyzji, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).
