Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Małgorzata Borowiec (spr.) Sędziowie NSA Maciej Dybowski del. NSA Jacek Hyla Protokolant starszy asystent sędziego Łukasz Mazur po rozpoznaniu w dniu 9 grudnia 2015 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej T.Z. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 10 kwietnia 2014 r. sygn. akt II SA/Wa 1401/13 w sprawie ze skargi T.Z. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] czerwca 2013 r. nr [...] w przedmiocie przetwarzania danych osobowych 1) oddala skargę kasacyjną 2) zasądza od T.Z. na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 180 (słownie: sto osiemdziesiąt) złotych, tytułem zwrotu kosztów postępowania kasacyjnego.
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 10 kwietnia 2014 r. sygn. akt II SA/WA 1401/13 oddalił skargę T.Z. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] czerwca 2013 r. nr [...] w przedmiocie przetwarzania danych osobowych (pkt 1) oraz przyznał ze środków budżetowych Wojewódzkiego Sądu Administracyjnego w Warszawie na rzecz adwokata [...] kwotę 240 zł oraz kwotę 55,20 zł stanowiącą 23% podatku VAT, tytułem nieopłaconej pomocy prawnej udzielonej z urzędu (pkt 2).
Wyrok został wydany w następującym stanie faktycznym i prawnym sprawy.
T.Z. w skardze skierowanej do Generalnego Inspektora Ochrony Danych Osobowych, dotyczącej przetwarzania jego danych osobowych przez E. S.A. z siedzibą w B., wniósł o wydanie zakazu przetwarzania w całości jego danych osobowych przez Spółkę, o usunięcie uchybień w zakresie posiadania jego nieaktualnego, nieważnego adresu, o usunięcie jego danych osobowych przez Spółkę, gdyż nie łączą go z tym podmiotem żadne stosunki prawne.
W toku postępowania wyjaśniającego organ ustalił, że wierzytelność wynikająca z umowy kredytu nr [...], zawartej pomiędzy skarżącym a G. S.A., została wykupiona przez S. Sp. z o.o., następnie na podstawie umowy cesji scedowana na rzecz E. Ostatecznie E. S.A. nabyła tę wierzytelność od Funduszu w oparciu o umowę cesji z [...] marca 2011 r. Oznacza to, że Spółka, jako właściciel zobowiązania wynikającego z powyższej umowy kredytowej, jest administratorem danych osobowych skarżącego, o czym został on poinformowany pismem z dnia 23 maja 2011 r.
Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] lutego 2013 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j.: Dz. U. z 2000r. Nr 98, poz. 1071 ze zm., dalej w skrócie K.p.a.), art. 12 pkt 2, art. 22 w zw. z art. 23 ust. 1 pkt 5 i art. 35 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm., dalej w skrócie u.o.d.o.), odmówił uwzględnienia wniosku. W uzasadnieniu decyzji podał, że nie stwierdził podstaw do zakwestionowania legalności przetwarzania danych osobowych skarżącego przez Spółkę. Nie podzielił również zarzutu skarżącego dotyczącego naruszenia przez Spółkę przepisów ustawy o ochronie danych osobowych, poprzez nieuaktualnienie jego danych osobowych, albowiem skarżący, nie podając swojego nowego adresu, uniemożliwił Spółce dokonanie tej czynności.
Skarżący, nie zgadzając się z powyższym rozstrzygnięciem, złożył wniosek o ponowne rozpatrzenie sprawy, po którego rozpoznaniu Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] czerwca 2013 r. nr [...] utrzymał w mocy zaskarżoną decyzję.
Organ uzasadniając wydane rozstrzygnięcie w pierwszej kolejności wskazał, że dokonywał oceny legalności przetwarzania danych osobowych skarżącego, natomiast nie badał kwestii istnienia lub nieistnienia wobec skarżącego wierzytelności, ani słuszności i zakresu dochodzonych wobec niego roszczeń cywilnoprawnych. Są to sprawy cywilne, które powinny być rozpatrywane w postępowaniach prowadzonych przez sądy powszechne. Oceniając istnienie przesłanek legalizujących przetwarzanie przez Spółkę danych osobowych skarżącego stwierdził, że stanowi ją art. 23 ust. 1 pkt 5 u.o.d.o. Zgodnie z tym przepisem przetwarzanie danych osobowych jest dopuszczalne, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Powołany przepis jest ściśle skorelowany z art. 23 ust. 4 u.o.d.o., który w pkt 2 określa, że za prawnie usprawiedliwiony cel uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Następnie, powołując również treść art. 509 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm., dalej w skrócie K.c.) wskazał, że na podstawie umowy cesji, o której mowa w tym przepisie, Spółka prowadząc działalność gospodarczą w zakresie wykupu wierzytelności, nabyła wierzytelność wobec skarżącego. W ocenie organu zbycie wierzytelności firmie windykacyjnej (a w konsekwencji udostępnienie także danych osobowych dłużnika), mające na celu uzyskanie niezapłaconej kwoty wynikającej z tytułu świadczonych na rzecz klienta usług, stanowi realizację przez administratora prawnie usprawiedliwionego celu, o którym mowa w art. 23 ust. 1 pkt 5 u.o.d.o. Taki wniosek znajduje analogiczne zastosowanie również w odniesieniu do podstaw pozyskania danych przez ich odbiorcę, którym jest Spółka.