ZKE.440.42.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. 2020 poz. 256), art. 60, art. 160 ust. 1, 2 i 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781), art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) oraz art. 6 ust. 1, art. 17 ust. 3. lit. e), art. 57 ust. 1 lit. a), lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, po przeprowadzeniu postępowania administracyjnego w sprawie skargi M. S. zwanej dalej także „Skarżącą”, na przetwarzanie jej danych osobowych przez Fundusz U. zwany dalej także „U.”, reprezentowany przez F. S.A., Prezes Urzędu Ochrony Danych Osobowych,
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Urzędu Ochrony Danych Osobowych) wpłynęła skarga M. S., na przetwarzanie jej danych osobowych przez U. Skarżąca wskazała, że nie wyrażała zgody na przetwarzanie danych osobowych przez U.
Skarżąca wniosła o wydanie decyzji nakazującej zaprzestanie przetwarzania i usunięcie jej danych osobowych z bazy danych U.
W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.
Skarżąca w dniu […].01.2011 r. zawarła z P. S.A. umowę pożyczki nr […].
- P. S.A. zbył wierzytelność wynikającą z w/w umowy pożyczki na rzecz I., wpisaną do rejestru przedsiębiorców Anglii i Walii pod numerem […], zwana dalej także „I.”, na podstawie umowy ramowej zawartej w dniu […].07.2013 r., wraz z późniejszymi zmianami.
- I. zbył w/w wierzytelność na rzecz U. na mocy umowy cesji wierzytelności zawartej w dniu […].08.2014 r.
- Z dniem […].10.2016 r. U. podjął decyzję o zakończeniu prowadzenia wobec Skarżącej działań w kierunku efektywnego odzyskania wierzytelności i aktualnie jako podstawę prawną dalszego przetwarzania danych osobowych Skarżącej wskazuje art. 17 ust. 3 lit. e) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.
- U. prowadzi działalność na podstawie zezwolenia Komisji Nadzoru Finansowego z dnia […].03.2006 r. W dniu […].09.2006 r. został wpisany do rejestru funduszy inwestycyjnych, prowadzonego przez Sąd Okręgowy w Warszawie, pod numerem RFI […].
- Sposób reprezentacji funduszy inwestycyjnych określa art. 4 ust. 1 ustawy o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (t.j. Dz. U. z 2020 r. poz. 95 z późn. zm.) który wskazuje, że Towarzystwo tworzy fundusz inwestycyjny, zarządza nim i reprezentuje fundusz w stosunkach z osobami trzecimi.
Do dnia […].06.2019 r. U. był reprezentowany przez A. S.A., zwane dalej także A. S.A.
Od dnia […].06.2019 r. U. jest reprezentowany przez F. S.A., zwane dalej także F. S.A.
Po przeanalizowaniu zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych stwierdza, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), dalej także: ustawa o ochronie danych osobowych z 2018. W myśl art. 160 ust. 1-3 ustawy o ochronie danych osobowych z 2018 r., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zwanej dalej również „ustawą o ochronie danych osobowych z 1997”, zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego (dalej Kpa). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów ustawy o ochronie danych osobowych z 2018 r., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej „RODO”.
Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy o ochronie danych osobowych z 1997 r. (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie RODO (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych).
Prezes UODO jest organem właściwym w sprawie ochrony danych osobowych i organem nadzorczym w rozumieniu RODO (art. 34 ust. 1 i 2 ustawy o ochronie danych osobowych z 2018 r.). Prezes UODO prowadzi postępowania w sprawie naruszenia przepisów o ochronie danych osobowych (art. 60 ustawy o ochronie danych osobowych z 2018 r.), przy czym w sprawach nieuregulowanych w ustawie o ochronie danych osobowych z 2018 r., do postępowań administracyjnych przed Prezesem UODO, w szczególności unormowanych w rozdziale 7 ustawy – postępowań w sprawie naruszenia przepisów o ochronie danych osobowych, stosuje się przepisy Kpa (art. 7 ust. 1 ustawy o ochronie danych osobowych z 2018 r.). Stosownie do art. 57 ust. 1 RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a) oraz prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (lit. h). Instrumentami realizacji zadań przewidzianych w art. 57 ust. 1 RODO są w szczególności określone w art. 58 ust. 2 RODO, uprawnienia naprawcze, w tym możliwość: wydawania ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania (lit. a), udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania (lit. b), nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu (lit. d).
Stosownie do art. 57 ust. 1 RODO, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 RODO – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).
W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Zgodnie z brzmieniem przepisu art. 23 ust. 1 ustawy o ochronie danych osobowych z 1997 r., obowiązującej w okresie, którego dotyczyła skarga Skarżącej, przetwarzanie danych osobowych było dopuszczalne, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5).
W myśl przepisów obowiązujących obecnie (od dnia 25 maja 2018 r., tj. od dnia rozpoczęcia stosowania przepisów RODO) przetwarzanie danych osobowych jest zgodne z prawem, gdy administrator danych legitymuje się, co najmniej jedną z określonych w art. 6 ust. 1 RODO, materialnych przesłanek przetwarzania danych osobowych. Według wyżej wskazanego przepisu przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy zostanie spełniony jeden z wymienionych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonywania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).
Przytaczając motyw 47 RODO należy wskazać, że podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Należy uznać, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem administratora w rozumieniu RODO. Dochodzenie roszczeń i przetwarzanie w tym celu adekwatnych danych osobowych nie stanowi nieproporcjonalnego ograniczenia praw i wolności osoby, której dane dotyczą.
Odnosząc powyższe nomy prawne do ustalonego w sprawie stanu faktycznego, wskazać należy, że U. pozyskał dane osobowe Skarżącej w związku z zawarciem umowy sprzedaży wierzytelności z dnia […].08.2014 roku r. Ta czynność prawna znajduje oparcie w art. 509 § 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2018 r., poz. 1025 ) – dalej jako „Kc”, zgodnie, z którą wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Wierzytelność wobec Skarżącej, która to wierzytelność pierwotnie przysługiwała P. S.A., została nabyta przez I. a następnie przez U.. Cesja wierzytelności wiąże się z uprawnieniem do przekazania nabywcy danych osobowych dłużnika umożliwiających podjęcie względem niego stosowanych działań zmierzających do odzyskania należności. Powyższa dopuszczalność przelewu wierzytelności nie podlegała ograniczeniom umownym ani ustawowym. Nie była również wymagana zgoda Skarżącej na przelew wierzytelności. W tym miejscu wymaga powołania stanowisko Naczelnego Sądu Administracyjnego (zwany dalej: NSA) orzekającego w składzie 7 sędziów, który w wyroku z dnia 6 czerwca 2005 r. (OPS 2/2005), wskazał, że przekazanie danych osobowych dłużników firmom windykacyjnym może nastąpić bez ich zgody, nie naruszając przy tym ochrony danych osobowych.
Wobec powyższego U., na podstawie powyższej umowy, stał się administratorem przekazanych danych, przetwarzając je w celu windykacji nabytych należności. Zatem przesłanką legalizującą pozyskanie danych osobowych Skarżącej przez Fundusz był art. 23 ust. 1 pkt. 2 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), a mianowicie przepis prawa – cesja wierzytelności. W przypadku przetwarzania danych przez U. przed 25 maja 2018 r. podstawą prawną był art. 23 ust.1 pkt. 5 ww. ustawy o ochronie danych osobowych, a obecnie jest to art. 6 ust. 1 lit. f RODO.
Przetwarzanie danych Skarżącej przez U. ma uzasadnienie zarówno w oparciu o przepisu ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2016 r. poz. 922) jak i w obecnie obowiązującym RODO, bowiem U. jako Administrator danych działa na podstawie umowy i przetwarza te dane na rzecz swojego prawnie uzasadnionego interesu. W ocenie Prezesa Urzędu Ochrony Danych Osobowych, w ustalonym stanie faktycznym i prawnym sprawy, przetwarzanie przez U. danych osobowych Skarżącej nie może być oceniane jako naruszające jej prawa i wolności. Skarżąca jako dłużnik musi liczyć się bowiem z tym, że popadając w zwłokę w spełnieniu zobowiązania jej prawo do prywatności może zostać ograniczone ze względu na dochodzenie przez wierzyciela należnych mu kwot. W przeciwnym przypadku mogłoby dojść do sytuacji, w której dłużnik, powołując się na prawo do ochrony danych osobowych (prawo do prywatności), skutecznie uchyliłby się od spoczywającego na nim obowiązku spełnienia świadczenia i w konsekwencji ograniczyłby (wyłączył) prawo wierzyciela do uzyskania należnej mu zapłaty. Powołanie się na prawo do ochrony danych osobowych musiałoby też ograniczać - wyżej wskazane - przewidziane szczególnymi przepisami prawo do zbycia wierzytelności i podejmowania dalszych działań w sprawie ich odzyskania.
U. zakończył prowadzenie wobec Skarżącej działań w kierunku efektywnego odzyskania wierzytelności z dniem […] października 2016 r. i aktualnie jako podstawę prawną dalszego przetwarzania danych osobowych Skarżącej wskazał art. 17 ust. 3 lit. e) RODO. Treść tego przepisu wskazuje, że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, lecz reguła ta nie ma zastosowania w zakresie, w jakim przetwarzanie tych danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń. W doktrynie wskazuje się, że „(…) wyłączenie uprawnienia do żądania usunięcia danych, określone w ust. 3 lit. e komentowanego artykułu, dotyczy przypadków, gdy przetwarzanie danych jest niezbędne „do ustalenia, dochodzenia lub obrony roszczeń”. Prawodawca unijny uznał, iż w tym przypadku możliwość korzystania z uprawnienia do żądania usunięcia danych mogłaby uniemożliwić realizację uprawnień innych podmiotów (np. wierzycieli) i mogłaby stanowić przejaw nadużycia prawa do ochrony danych, dlatego wyłączył możliwość skorzystania z omawianego uprawnienia.” Fajgielski Paweł. Art. 17. W: Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.
W niniejszej sprawie należy uznać, że U. ma podstawę prawną do przetwarzania danych osobowych Skarżącej. W związku z tym nie ma podstaw do wydania decyzji administracyjnej, nakazującej zaniechanie przetwarzania i usunięcie danych osobowych Skarżącej z bazy danych U. Nie można przypisać U. naruszenia przepisów o ochronie danych osobowych w tym zakresie i nie jest uzasadnione wydanie przez Prezesa Urzędu Ochrony Danych Osobowych jakiegokolwiek z nakazów, o których mowa w art. 58 RODO.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kodeksu postępowania administracyjnego od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00- 93 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.