Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Wiesław Morys Sędziowie: Sędzia NSA Barbara Adamiak (spr.) Sędzia NSA Aleksandra Łaskarzewska Protokolant st. inspektor sądowy Tomasz Zieliński po rozpoznaniu w dniu 21 lutego 2014 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej T. B. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 31 maja 2012 r. sygn. akt II SA/Wa 2367/11 w sprawie ze skargi T. B. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2011 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę kasacyjną
T. B. wystąpił do Generalnego Inspektora Danych Osobowych ze skargą na przetwarzanie jego danych osobowych przez A. z siedzibą w K. przy ul. [...], obecnie w Z. przy ul. [...].
Decyzją z [...] maja 2011 r. Generalny Inspektor Ochrony Danych Osobowych odmówił uwzględnienia wniosku skarżącego, uznając że nie jest właściwy do zbadania kwestii istnienia lub nieistnienia wierzytelności, w tym do stwierdzenia czy przedawnienie zobowiązania skutkuje jego wygaśnięciem. Podkreślił natomiast, że działając na podstawie i w granicach ustawowych kompetencji przyznanych mu ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych może zbadać, czy u podstaw przetwarzania przez Spółkę danych osobowych skarżącego znajdowała się co najmniej jedna, spośród wymienionych w art. 23 ust. 1 ustawy, przesłanka dopuszczalności przetwarzania danych. Stosownie do 23 ust. 1 ustawy, przetwarzanie danych jest dopuszczalne gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Organ wyjaśnił, że w chwili gdy Spółka zebrała dane osobowe skarżącego, prowadził on działalność wpisaną do ewidencji działalności gospodarczej. Zgodnie natomiast z art. 7a ust. 2 ustawy z 19 listopada 1999 r. Prawo działalności gospodarczej (Dz. U. z 1999 r. Nr 101, poz. 1178 ze zm.), dane osobowe zawarte w ewidencji nie podlegają przepisom ustawy o ochronie danych osobowych. W związku z tym organ stwierdził, że nie może dokonać oceny dopuszczalności ich zebrania przez Spółkę. Jednocześnie organ zwrócił uwagę na wyrok Naczelnego Sądu Administracyjnego z 6 czerwca 2005 r. sygn. akt I OPS 2/05, w którym Sąd ten wyraził pogląd, że można przekazywać firmom windykacyjnym dane dłużników bez ich zgody, jednakże trzeba wyważać między ochroną ich praw i wolności obywatelskich oraz prywatnością, a interesami wierzycieli.
W związku z powyższym, zdaniem organu, zebranie przez Spółkę danych osobowych skarżącego znajdowało prawne uzasadnienie w art. 23 ust. 1 pkt 5 ustawy, który jest ściśle skorelowany z art. 23 ust. 4 pkt 2 ustawy. Zgodnie bowiem z tym przepisem, za prawnie usprawiedliwiony cel uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Odnosząc się do kwestii udostępniania danych osobowych na stronie internetowej [...], organ wskazał, że w jego ocenie udostępnienie to było prawnie uzasadnione, bowiem oświadczenie woli zawarcia umowy sprzedaży stanowi ofertę, jeżeli określa istotne postanowienia tej umowy. W przypadku zatem sprzedaży wierzytelności, wierzytelność ta musi być skonkretyzowana. Spółka oferując do sprzedaży wierzytelności ujawniła informacje o firmie przedsiębiorcy (zawierającej imię i nazwisko skarżącego), numerze identyfikacji podatkowej przedsiębiorcy, wysokości i podstawach zadłużenia oraz mieście, nazwie ulicy i kodzie pocztowym. W ofertach tych Spółka wskazała jednocześnie, że pełne dane adresowe i finansowe dłużnika zostaną udostępnione w momencie zakupu wierzytelności. Zatem Spółka na stronie internetowej ujawniła tylko część danych osobowych skarżącego, niezbędnych do skonkretyzowania wierzytelności w celu jej sprzedaży.