Wyrok z dnia 2006-03-30 sygn. I OSK 628/05

Drukuj dokument lub zaznaczenie Kopiuj zaznaczony tekst bez formatowania

Sentencja

Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Włodzimierz Ryms (spr.), Sędziowie NSA Jerzy Bujko, Alicja Plucińska Filipowicz, Protokolant Anna Sidorowska, po rozpoznaniu w dniu 30 marca 2006 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 30 listopada 2004 r. sygn. akt II SA/Wa 1333/04 w sprawie ze skargi E. Spółka Akcyjna w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...] w przedmiocie ochrony danych osobowych 1) oddala skargę kasacyjną, 2) zasądza na rzecz skarżącej E. Spółka Akcyjna w [...] od Generalnego Inspektora Ochrony Danych Osobowych kwotę 120 (sto dwadzieścia) zł tytułem zwrotu kosztów postępowania kasacyjnego.

Uzasadnienie

Zaskarżonym wyrokiem z dnia 30 listopada 2004 r. Wojewódzki Sąd Administracyjny w Warszawie uwzględnił skargę E. SA w [...] i uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] oraz poprzedzającą ją decyzję tego organu z dnia [...] w przedmiocie nakazania skarżącej nieudostępniania danych osobowych M. S. przetwarzanych w związku z przelewem wierzytelności, bez jej zgody.

W uzasadnieniu wyroku Sąd przytoczył następujące okoliczności faktyczne i prawne sprawy.

W dniu 20 grudnia 2000 r. M. S. zawarła ze Spółką Akcyjną E. w [...] umowę o świadczenie usług telekomunikacyjnych z abonentem indywidualnym, która następnie została przez spółkę rozwiązana, z powodu zalegania przez abonenta z płatnościami za świadczone przez spółkę usługi. Skarżąca spółka zawarła umowę przelewu wierzytelności z I. Sp. z o. o. w [...], na mocy której spółka I. przejęła wierzytelności E. SA, w tym wierzytelność wobec M. S. Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] po rozpoznaniu wniosku o ponowne rozpoznanie sprawy, utrzymał w mocy decyzję z dnia [...], którą nakazał skarżącej spółce nieudostępnianie danych osobowych M. S., przetwarzanych w związku z przelewem wierzytelności, bez jej zgody. W ocenie organu nie wystąpiły przesłanki, o których mowa w art. 23 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 962 ze zm.), w szczególności podstawą udostępnienia danych M. S. nie może być art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, na który powołuje się skarżąca spółka, ponieważ umowa przelewu pozostaje w sprzeczności z przepisami art. 385 1 § 1 i art. 385 3 pkt 5 Kodeksu cywilnego, co powoduje niedopuszczalność cesji i w związku z czym nie może być zakwalifikowana do kategorii prawnie usprawiedliwionego celu.

Wojewódzki Sąd Administracyjny w Warszawie nie podzielił stanowiska organu i wskazał, że organ za podstawę decyzji przyjął przepisy Kodeksu cywilnego, a więc w sprawie administracyjnej dokonał oceny umowy przelewu wierzytelności stwierdzając, że jest ona nieważna, tym samym dokonał oceny stosunku cywilnoprawnego i wykładni przepisów prawa cywilnego dla potrzeb sprawy administracyjnej, do czego nie był uprawniony. Dla oceny legalności przetwarzania danych osobowych w przedmiotowej sprawie podstawą jest wyłącznie przepis art. 23 ust. 1 pkt 1-5 ustawy o ochronie danych osobowych zawierający katalog przesłanek uchylających zakaz przetwarzania danych osobowych, bez zgody osoby, której dane te dotyczą. Sąd uznał, że przepis art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych stanowiący podstawę prawną zaskarżonej decyzji nie mógł stanowić podstawy prawnej przetwarzania danych osobowych w rozpatrywanej sprawie, gdyż dotyczy on wyłącznie przetwarzania danych opartego o przepis prawa. Do tych przepisów nie można zaliczyć przepisów Kodeksu cywilnego, bowiem nie regulują w ogóle problematyki przetwarzania danych osobowych. Sąd stwierdził, że przetwarzanie danych osobowych M. S. byłoby dopuszczalne na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, który stanowi, że przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych osobowych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Wierzytelność została, przez skarżącą spółkę przekazana w celu jej wyegzekwowania od M. S. Tym samym uzyskane przez I. dane osobowe są niezbędne dla dochodzenia roszczenia wynikającego z prowadzonej działalności gospodarczej (prawnie usprawiedliwiony cel – art. 23 ust. 4 pkt 2 ustawy o ochronnie danych osobowych). Organ zaś nie przytoczył konkretnych argumentów świadczących, że prawa i wolności M. S. zostały naruszone.

W skardze kasacyjnej Generalny Inspektor Ochrony Danych Osobowych zarzucił wyrokowi naruszenie art. 23 ust. 1 pkt 2 oraz art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Zdaniem organu, Sąd błędnie przyjął, iż przetwarzanie danych osobowych na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych jest dopuszczalne jedynie wówczas, gdy przepis prawa wyraźnie zezwala na przetwarzanie danych osobowych. Zdaniem organu przepis prawa nie musi wyraźnie upoważniać podmiotu do wykorzystania danych osobowych, wystarczy, że zezwala on na wykonywanie określonej czynności, do której niezbędne jest wykorzystanie danych osobowych. Organ nie zgodził się także ze stanowiskiem Sądu, że podstawą prawną przetwarzania danych osobowych w przedmiotowej sprawie był art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Działania podjęte w prawnie usprawiedliwionym celu, które zmierzają do dochodzenia roszczeń z tytułu prowadzonej działalności mogą stanowić podstawę do przetwarzania danych osobowych tylko wtedy, gdy są zgodne z prawem. Zaś umowa przelewu wierzytelności nie była zgodna z prawem, jako że była sprzeczna z dobrymi obyczajami i w sposób rażący naruszała interesy konsumenta. Przytaczając takie podstawy kasacyjne organ wniósł o uchylenie zaskarżonego wyroku i oddalenie skargi.

W odpowiedzi na skargę kasacyjna Spółka Akcyjna E. w [...] wniosła o oddalenie skargi kasacyjnej i zasądzenie od Generalnego Inspektora Ochrony Danych Osobowych zwrotu kosztów postępowania kasacyjnego według norm przepisanych. W obszernym uzasadnieniu tej odpowiedzi podkreślono, że w przedmiotowej sprawie przelew wierzytelności nie jest sprzeczny z dobrymi obyczajami i nie narusza interesów konsumenta (M. S.), a także nienarusza art. 23 ust. 1 pkt 2 i pkt 5 ustawy o ochronie danych osobowych.

Naczelny Sąd Administracyjny zważył, co następuje:

Skarga kasacyjna nie ma usprawiedliwionych podstaw i podlega oddaleniu.

W okolicznościach tej sprawy istota sporu prawnego dotyczy tego, czy wskazane przepisy art. 23 ust. 1 pkt 2 i 5 ustawy o ochronie danych osobowych, pozwalały skarżącej spółce E. jako administratorowi danych osobowych, na ich przetwarzanie przez udostępnienie innemu podmiotowi bez zgody osoby, której dane te dotyczą. Wojewódzki Sąd Administracyjny w Warszawie w zaskarżonym wyroku nie podzielił stanowiska organu, że przepis art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych nie mógł być podstawą udostępnienia danych bez zgody osoby, której te dane dotyczą. Stanowisko organu było konsekwencją przyjęcia poglądu, że w rozpoznawanej sprawie, z uwagi na przepis art. 385 3 pkt 5 Kodeksu cywilnego, ogólny przepis art. 509 § 1 tego Kodeksu nie uzasadnia dokonania przelewu wierzytelności na rzecz innego podmiotu, jeżeli dłużnikiem jest konsument, który nie wyraził zgody na przelew, to tym samym jest niedopuszczalne udostępnienie danych osobowych konsumenta temu podmiotowi. Inaczej mówiąc, skoro niedozwolony jest przelew takiej wierzytelności na rzecz innego podmiotu to tym samym nie można w ogóle mówić o istnieniu podstawy do przekazania temu podmiotowi danych osobowych konsumenta, z powołaniem się na przepisy ustawy o ochronie danych osobowych.

Rozważając ten problem trzeba odwołać się do uzasadnienia wyroku NSA w składzie siedmiu sędziów z dnia 6 czerwca 2005 r., I OPS 2/05.

Analizując przepis art. 23 ustawy o ochronie danych osobowych trafnie podniesiono, że przepis ten pozwala na przetwarzanie danych osobowych (co obejmuje udostępnianie danych osobowych) w ściśle określonych przypadkach. Przede wszystkim dozwolone jest przetwarzanie danych osobowych za zgodą osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 ustawy o udostępnieniu danych osobowych). Ustawa zezwala na przetwarzanie danych także bez zgody osoby, której dane dotyczą w przypadkach określonych w art. 23 ust. 1 pkt 2-5, co ma służyć zasługującym na ochronę interesom administratora danych osobowych lub osób trzecich, bądź ze względu na ochronę interesu publicznego. W szczególności przekazanie danych osobowych bez zgody osoby, której dane dotyczą jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust 1 pkt 2 ustawy o ochronie danych osobowych) oraz gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów wskazanych przez administratora danych albo odbiorcę danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych). Przesłanka, o której mowa w art. 23 ust. 1 pkt 2 odnosi się niewątpliwie do takich przypadków, gdy przepis prawa powszechnie obowiązującego określa uprawnienie lub obowiązek, których spełnienie nie jest możliwe bez udostępnienia danych osobowych. Natomiast przesłanka, o której mowa w art. 23 ust. 1 pkt 5 odnosi się wprost do administratora danych osobowych lub osoby trzeciej, którzy aby zrealizować prawnie dopuszczalne cele muszą udostępnić dane osobowe, pod warunkiem wszakże, że nie naruszy to praw i wolności osoby, której dane dotyczą. Już samo użycie określenia "jeżeli jest to niezbędne" wskazuje, że stosowanie tych przepisów wymaga nie tylko wykazania, że chodzi o realizowanie uprawnienia lub obowiązku wynikającego z przepisów prawa lub prawnie usprawiedliwionego celu, ale także dokonania oceny, czy dla realizacji tego konieczne jest (jest niezbędne) przekazanie danych, pomimo że brak jest na to zgody osoby, której dane dotyczą. Ocena ta, to wyważenie racji i interesów, z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes, aby jej dane nie były przetwarzane bez jej zgody, a z drugiej strony administratora danych, który ma także objęty ochroną interes polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia, co w przypadku administratora danych, będącego jednocześnie wierzycielem obejmuje także jego prawo do uzyskania należnego świadczenia od dłużnika. Unormowanie to oparte jest więc na złożeniu, że dochodzi do konfliktu interesów między interesem osoby, która ma prawo do ochrony swoich danych osobowych a interesem administratora tych danych, który ma prawo przetwarzać te dane, jeżeli jest to konieczne dla realizacji jego uprawnień wynikających z przepisów prawa lub prawnie usprawiedliwionego celu. Wyważenie tych interesów jest warunkiem koniecznym przy stosowaniu art. 23 ustawy o ochronie danych osobowych, przy uwzględnieniu rangi tych interesów w realiach konkretnej sprawy. Jest to szczególnie ważne, ponieważ konflikt ten dotyczy ochrony prywatności osoby, której dane są przetwarzane, a więc wartości, która ma szczególnie wysoką rangę, także w systemie wartości konstytucyjnych.

Oznacza to, że w przypadku przetwarzania danych osobowych przez administratora danych, bez zgody osoby, której te dane dotyczą, w pierwszej kolejności konieczne jest ustalenie i rozważenie, czy spełniona jest ustawowa przesłanka szczegółowa uzasadniająca przetwarzanie danych bez zgody osoby, której dane dotyczą, a następnie, jeżeli przesłanka ta jest spełniona, ustalenie i rozważenie wszystkich okoliczności koniecznych do wyważenia niezbędnej ochrony interesów osoby, której dane dotyczą oraz interesów administratora danych.

Rozpoznanie podniesionych w skardze kasacyjnej zarzutów wymaga także wyjaśnienia w kontekście dyrektyw Unii Europejskiej, a w szczególności dyrektywy Parlamentu Europejskiego i Rady 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L281 z dnia 23 listopada 1995 r., załącznik A). Przepis art. 7 lit. f dyrektywy dopuszcza przetwarzanie danych osobowych przez administratora, gdy jest to konieczne z punktu widzenia potrzeb wynikających z uzasadnionych interesów związanych z podstawowymi prawami i wolnościami osoby, której dane dotyczą. Oznacza to, że dyrektywa nakazuje ważyć interesy obu stron w konkretnym przypadku i co do zasady – dopuszcza przetwarzanie danych, które jest konieczne do realizacji prawnie usprawiedliwionych celów administratora, chyba że po dokonaniu porównania interesów obu stron okaże się, że podstawowe prawa i wolności jednostki mają większą wagę niż konkrety interes administratora. W wyroku z dnia 14 września 2000 r. The Queen przeciwko Ministrowi Rolnictwa Wielkiej Brytanii (Zb. Orz. 2000, s. I-6751, załącznik A.1), dotyczącym wykładni art. 7 lit. f dyrektywy Europejski Trybunał Sprawiedliwości podkreślił, że przepisy prawa krajowego powinny być interpretowane tak dalece, jak to możliwe, na podstawie brzmienia i celu dyrektywy, aby zapewnić realizację tego celu. Celem tym jest ochrona prywatności, która powinna być rozpatrywana także w świetle art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. W ocenie Europejskiego Trybunału Sprawiedliwości przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą jest dopuszczalne, jeżeli: ma podstawę w przepisie prawa, który wyraźnie na takie przetwarzanie zezwala, przetwarzanie (udostępnianie) danych jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku określonego ustawą, dane są przetwarzane tylko w takim zakresie, w jakim jest to niezbędne do osiągnięcia tych celów. Rozstrzygając o legalności przetwarzania danych trzeba każdorazowo, ważąc interesy stron, znaleźć równowagę między prawami i wolnościami jednostki z jednej strony a prawnie usprawiedliwionym interesem osoby trzeciej z drugiej strony. Oznacza to obowiązek zapewnienia właściwej równowagi praw i interesów stron, w tym praw podstawowych.

Należy podkreślić, że ustalenie, iż administrator danych osobowych realizuje cel prawnie usprawiedliwiony nie może przesądzić o dopuszczalności przetwarzania danych osobowych (udostępnienia tych danych innemu podmiotowi) bez zgody osoby, której dane dotyczą. Konieczne jest dokonanie oceny, czy jest to niezbędne dla realizacji tego celu, a co najważniejsze, dokonanie wyważenia interesów administratora danych i osoby, której dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP. Z art. 1 ustawy o ochronie danych osobowych wynika, że każdy ma prawo do ochron dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 tej ustawy, dopuszczalne jest tylko ze względu na określone dobra i tylko w zakresie i trybie określonym ustawą. Realizacja prawnie usprawiedliwionego celu przez administratora danych w żadnym razie nie może naruszać praw i wolności osoby, której dane dotyczą.

Należy w pełni podzielić stanowisko, iż prawnie usprawiedliwiony cel, o którym stanowi art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych może być oparty także na przepisach prawa cywilnego oraz, że samo ustalenie, iż administrator danych osobowych realizuje prawnie dopuszczalny cel nie przesądza o dopuszczalności przetwarzania danych, bowiem niezbędne jest wyważenie interesów administratora danych osobowych oraz osoby, której dane dotyczą przy uwzględnieniu ochrony prywatności, przyjęte w wyroku składu siedmiu sędziów Naczelnego Sądu Administracyjnego z dnia 6 czerwca 2005 r., I OPS 2/05.

Z uzasadnienia decyzji Generalnego Inspektora Ochrony Danych Osobowych, a także z jego skargi kasacyjnej wynika, że zdaniem tego organu podstawy przetwarzania danych nie mógł stanowić przepis art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, ponieważ niedopuszczalna jest cesja wierzytelności osoby, której dane te dotyczą, gdyż osoba ta jest konsumentem, a bez zgody konsumenta nie można przenieść praw i przekazać obowiązków wynikających z umowy. Skoro bowiem stosownie do przepisu art. 385 3 pkt 5 Kodeksu cywilnego nie można nawet we wzorcu umownym wyłączyć zgody konsumenta na przeniesienie praw i obowiązków wynikających z umowy, to zakazane jest czynić więcej, zatem dokonywać takich czynności w ogóle bez zgody konsumenta. Stanowisko to sprowadza się do tego, że przetwarzanie danych bez zgody osoby, której dane dotyczą, na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych jest w ogóle nie dopuszczalne, ponieważ administrator danych nie realizuje prawnie usprawiedliwionego celu w rozumieniu tego przepisu, gdyż zakazane jest dokonanie przelewu wierzytelności konsumenta bez jego zgody. Takie stanowisko Generalnego Inspektora Ochrony Danych Osobowych jest całkowicie nietrafne. Nie wynika ono z przepisów art. 385 3 § 1 Kodeksu cywilnego. Jeżeli uwzględni się także przepis art. 385 1 § 1 tego Kodeksu można jedynie przyjąć, że postanowienie umowne zawarte we wzorcu umownym zezwalające kontrahentowi konsumenta na przelew wierzytelności, może być uznane za niedozwolone, jeżeli kształtuje prawa i obowiązki konsumenta w sposób sprzeczny z dobrymi obyczajami, rażąco naruszający jego interesy. Oznacza to, że również przelew wierzytelności, w przypadku gdy umowa zawarta z konsumentem na podstawie wzorca umownego, nie zawiera takiej klauzuli, mógł być jedynie oceniany na podstawie przesłanek określonych w art. 385 1 Kodeksu cywilnego. Niedopuszczalne jest przyjęcie założenia, że w każdym przypadku przelew wierzytelności bez zgody dłużnika, który jest konsumentem jest niedopuszczalny, ponieważ sprzeciwiałoby się to ustawie. Dlatego też chybiony jest także zarzut skargi kasacyjnej odnoszący się do naruszenia art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych przez przyjęcie, że przetwarzanie danych osobowych było w rozpoznawanej sprawie niezbędne dla wypełnienia prawnie usprawiedliwionego celu administratora danych oraz, że nie narusza ono praw i wolności osoby, której dane były przetwarzane. Podstawową przesłanką uznania przez Sąd I instancji naruszenia tego przepisu był bowiem fakt, że organ nie wykazał, iż miało miejsce naruszenie praw i wolności osoby, której dane osobowe były przetwarzane. Wyważenie interesów administrator danych osobowych i osoby, której dane mają podlegać przetwarzaniu, jest warunkiem koniecznym przy stosowaniu art. 23 ustawy o ochronie danych osobowych, przy uwzględnieniu rangi tych interesów w realiach konkretnej sprawy. W tym zakresie sprawa w ogóle nie była badana, gdyż organ przyjął, że przelew wierzytelności bez zgody dłużnika, będącego konsumentem jest niedopuszczalny. Stanowisko takie nie jest trafne, gdyż zakaz takiego przelewu wierzytelności nie wynika wprost z przepisów prawa.

W tym stanie rzeczy Sąd trafnie ocenił, iż zaskarżona decyzja została wydana z naruszeniem przepisów postępowania administracyjnego, gdyż nie zostały wyjaśnione i rozważone wszystkie istotne okoliczności sprawy.

Nie do końca trafne jest stanowisko Sadu I instancji, iż z kręgu przepisów prawa, które należy rozważyć w celu ustalenia dopuszczalności przetwarzania danych osobowych trzeba wyłączyć przepisy Kodeksu cywilnego. Nie jest wyłączone ocenianie dopuszczalności przetwarzania danych osobowych dłużnika, w świetle przepisów prawa cywilnego, w tym art. 385 1 § 1 i art. 385 3 pkt 5 w związku z art. 509 Kodeksu cywilnego. W przypadku dokonywania takiej oceny nie mamy do czynienia z wkraczaniem organu administracji, czy też sądu administracyjnego w sferę zastrzeżoną dla kognicji sądów powszechnych. Dopuszczalność dokonania takiej oceny nie oznacza bowiem, że podmioty te mogą oceniać ważność umowy cywilnoprawnej (umowy przelewu wierzytelności), ich rola sprowadza się bowiem wyłącznie do oceny, czy umowa zawarta w konkretnej sprawie stanowi podstawę do uznania, że cele administratora danych lub osób trzecich, którym dane te są przekazywane, można zakwalifikować do celów prawnie usprawiedliwionych w rozumieniu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Czym innym jest jednak ocena, czy cel realizowany przez administratora danych osobowych jest prawnie usprawiedliwiony, w rozumieniu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, co należy do kompetencji organu rozpoznającego sprawę administracyjną, a czym innym zanegowanie takiego celu na podstawie stwierdzenia, że zawarcie określonej umowy w ogóle jest zakazane, co w tym przypadku wykracza poza ramy sprawy administracyjnej.

Zarzut skargi kasacyjnej odnoszący się do naruszenia art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych nie jest trafny. Przepis ten w brzmieniu obowiązującym w dacie wydawania zaskarżonej decyzji stanowił o dopuszczalności przetwarzania danych osobowych, gdy zezwalają na to przepisy prawa. Wbrew stanowisku składającego skargę kasacyjną musi być to wyraźny przepis prawa, zezwalający na przetwarzanie danych.

Należy zauważyć także, że Naczelny Sąd Administracyjny wyrokiem z dnia 26 stycznia 2006 r. oddalił skargę kasacyjną Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 30 listopada 2004 r. uchylającego decyzję tego organu nakazującą I. Sp. z o.o. w [...] usunięcie danych osobowych M. S., pozyskanych bez jej zgody w związku z zawarciem umowy przelewu wierzytelności od E. SA.

Z powyższych względów, Naczelny Sąd Administracyjny na podstawie art. 184 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.) oddalił skargę kasacyjną, uznając, że zaskarżony wyrok, pomimo niewyczerpującego uzasadnienia odpowiada prawu.

O kosztach postępowania kasacyjnego Sąd orzekł na podstawie art. 204 pkt 2 Prawa o postępowaniu przed sądami administracyjnymi.