Wyrok z dnia 2015-11-10 sygn. I OSK 1210/14

Drukuj dokument lub zaznaczenie Kopiuj zaznaczony tekst bez formatowania

Sentencja

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Małgorzata Borowiec Sędziowie: Sędzia NSA Joanna Runge - Lissowska Sędzia del. NSA Jerzy Krupiński (spr.) Protokolant starszy asystent sędziego Łukasz Mazur po rozpoznaniu w dniu 10 listopada 2015 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej C.P. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 16 stycznia 2014 r. sygn. akt II SA/Wa 1288/13 w sprawie ze skargi C.P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2013 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.

Uzasadnienie

Przedmiotem skargi kasacyjnej, wniesionej do Naczelnego Sądu Administracyjnego przez C.P., jest wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 16 stycznia 2014 r., sygn. akt II SA/Wa 1288/13, którym oddalono jego skargę na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2013 r., nr [...], wydaną w przedmiocie przetwarzania danych osobowych.

Wyrok wydany został w następujących, ustalonych przez Sąd I instancji, okolicznościach faktycznych i prawnych sprawy:

Pismem z dnia 23 maja 2012 r. C.P. wystąpił do Biura Generalnego Inspektora Ochrony Danych Osobowych (dalej: GIODO) ze skargą na przekazanie jego danych osobowych przez P. S.A. z siedzibą w W., zwaną dalej: "P." lub "Spółka", na rzecz U. S.A. w L., dla której obsługę wierzytelności prowadzi U. Sp. z o.o. z siedzibą w W., zwana dalej U. Skarżący wniósł o przeprowadzenie kontroli i wydanie przez GIODO decyzji w zakresie usunięcia uchybień, zabezpieczenia danych, zastosowanie środków zabezpieczających te dane oraz skorzystania z uprawnień wynikłych z art. 19 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (obecnie: Dz. U. z 2014 r., poz. 1182 ze zm.), dalej zwanej "ustawą". Skarżący wskazał, że od dnia 28 marca 1997 r. był klientem P. jako przedsiębiorca prowadzący działalność gospodarczą pod firmą C. C. P. W roku 2004 umowa z P. została rozwiązana. W dniu 1 marca 2007 r. otrzymał zawiadomienie o podpisaniu umowy przelewu wierzytelności P. wobec niego na rzecz U. S.A. Oprócz danych publicznych identyfikujących przedsiębiorcę, określonych we wpisie do ewidencji działalności gospodarczej i w bazie REGON oraz danych identyfikujących wierzytelność, P. przekazał zagranicznej firmie windykacyjnej informacje poufne, na których przekazanie nie wyraził zgody, takie jak numer NIP, PESEL oraz numer dowodu osobistego. Tym samym, zdaniem skarżącego, doszło do naruszenia przez P. S.A. tajemnicy telekomunikacyjnej, chronionej w oparciu o art. 161 i art. 159 Prawa telekomunikacyjnego.

W wyniku przeprowadzonego postępowania wyjaśniającego GIODO ustalił, że skarżący był klientem P. od 1997 r. do 2004 r. Pismem z dnia 26 października 2004 r. Spółka rozwiązała z nim umowę o świadczenie usług telekomunikacyjnych ze skutkiem natychmiastowym w związku z zaległością na koncie abonenckim. Dane osobowe skarżącego w zakresie firmy pod którą prowadził działalność gospodarczą, jego imienia i nazwiska, daty urodzenia, numeru ewidencyjnego PESEL, numeru dowodu osobistego, adresu zameldowania lub zamieszkania oraz numeru telefonu, U. Spółka z o.o. w W. uzyskała od U. S.A. z siedzibą w L. na podstawie umowy o świadczenie usług windykacyjnych i administrowanie portfelami wierzytelności, zawartej w dniu 1 marca 2007 r. Na mocy tej umowy doszło do przeniesienia na Spółkę jej wierzytelności wobec skarżącego, jako osoby prowadzącej działalność gospodarczą.

Decyzją z dnia [...] stycznia 2013 r. GIODO odmówił uwzględnienia wniosku skarżącego, uznając, że nie jest właściwy do zbadania kwestii istnienia lub nieistnienia wierzytelności. Podkreślił natomiast, że działając na podstawie i w granicach ustawowych kompetencji, przyznanych mu ustawą, może zbadać, czy u podstaw przetwarzania przez Spółkę danych osobowych skarżącego znajdowała się co najmniej jedna, spośród wymienionych w art. 23 ust. 1 ustawy, przesłanka dopuszczalności przetwarzania danych. Organ wyjaśnił, że zgoda osoby, której dane dotyczą, nie jest jedyną podstawą przetwarzania jej danych osobowych, bowiem proces przetwarzania danych będzie zgodny z ustawą również wówczas, gdy administrator danych wykaże spełnienie jednej z wymienionych w tym przepisie przesłanek. Odnosząc się do stanu faktycznego sprawy organ wskazał, że przekazanie danych skarżącego nastąpiło w oparciu o przesłankę wymienioną w art. 23 ust. 1 pkt 5 ustawy, a co do legalności tego udostępniania zgoda skarżącego nie była wymagana. Spółka U. pozyskała dane osobowe skarżącego w drodze powierzenia, na podstawie art. 31 ustawy. Organ podkreślił, że ustawa reguluje status podmiotów innych niż administrator danych, które mogą przetwarzać dane osobowe w imieniu i na rzecz tego administratora. Administrator danych może przetwarzać dane samodzielnie, ale art. 31 ustawy upoważnia go również do powierzenia, w drodze zawartej w formie pisemnej umowy przetwarzania tych danych, innemu podmiotowi. W przypadku zatem, gdy administrator danych skorzysta z upoważnienia wynikającego z brzmienia powołanego przepisu, dochodzi do zlecenia "na zewnątrz" przetwarzania danych. Podmiot, któremu administrator powierzył przetwarzanie danych (procesor), może je jednak przetwarzać wyłączne w przewidzianym umową zakresie i w określonym w umowie celu (art. 31 ust. 2 ustawy). Procesor jest ponadto obowiązany, przed rozpoczęciem przetwarzania danych, podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a ustawy. W zakresie przestrzegania tych przepisów wskazany podmiot ponosi odpowiedzialność jak administrator danych (art. 31 ust. 3 ustawy). Zgodnie art. 31 ust. 5 ustawy, do kontroli zgodności z przepisami o ochronie danych osobowych przetwarzania danych przez podmiot, któremu zostały one powierzone, stosuje się odpowiednio przepisy art. 14 - 19 ustawy.

Od powyższej decyzji skarżący złożył wniosek o ponowne rozpatrzenie sprawy, w którym zarzucił bezzasadne przyjęcie, że przesłanką przekazania jego danych osobowych był art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Zdaniem skarżącego doszło do naruszenia tajemnicy telekomunikacyjnej chronionej w oparciu o art. 161 i art. 159 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (obecnie: Dz. U. z 2014 r., poz. 243 ze zm.), zwanej dalej: "Prawem telekomunikacyjnym", wskutek braku zgody na ujawnienie osobom trzecim jego danych osobowych.

W wyniku ponownego rozpatrzenia sprawy, GIODO wskazaną na wstępie decyzją z dnia [...] maja 2013 r., utrzymał w mocy wcześniejsze rozstrzygnięcie. W uzasadnieniu podtrzymał argumentację zawartą w decyzji z dnia [...] stycznia 2013 r. Podkreślił, że przetwarzanie przez Spółkę danych osobowych skarżącego – w takim zakresie w jakim organ może dokonać oceny tego procesu – jest dopuszczalne ze względu na istnienie po stronie Spółki prawnie usprawiedliwionych celów, dla wypełnienia których niezbędne jest przetwarzanie tych danych. Odnosząc się do zarzutu naruszenia przez P. tajemnicy telekomunikacyjnej, obowiązującej spółkę jako operatora telekomunikacyjnego, organ powołał się na przepisy Prawa telekomunikacyjnego. Stosownie do art. 159 ust. 1 pkt 1 tej ustawy tajemnica telekomunikacyjna obejmuje m.in. dane dotyczące użytkownika (ust. 1 pkt 1). Stosownie do art. 161 ust. 1 z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywanie, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej "przetwarzaniem", dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych. Takim przepisem jest art. 164 Prawa telekomunikacyjnego, według którego dane użytkowników końcowych mogą być przetwarzane w okresie obowiązywania umowy, a po jej zakończeniu w okresie dochodzenia roszczeń lub wykonywania innych zadań przewidzianych w ustawie lub przepisach odrębnych. Daje to podstawę do przyjęcia, że przetwarzanie danych osobowych w celu realizacji umowy o świadczenie usług telekomunikacyjnych, a po jej wygaśnięciu w celu dochodzenia roszczeń, jest zgodne z art. 23 ust. 1 pkt 2 i 5 ustawy.

W skardze na powyższą decyzję C.P. zarzucił, że GIODO niewłaściwie zastosował art. 23 ust. 1 pkt 5 ustawy oraz dokonał błędnej interpretacji zapisów umowy pomiędzy P. a U.

Wojewódzki Sąd Administracyjny w Warszawie, oddalając skargę wskazał na art. 18 ust. 1 ustawy i stwierdził, że organ zasadnie uznał, że brak jest podstaw do wydania nakazu przywrócenia stanu zgodnego z prawem. Dokonując wykładni przepisów ustawy, należy wziąć pod uwagę cele i podstawowe założenia tej ustawy, określone w jej art. 1 ust. 2, gdzie podano, że przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich i że należy za każdym razem wyważyć dobra, które legły u jego podstaw. Prawo do ochrony danych osobowych nie jest prawem o charakterze absolutnym, jak większość praw chronionych konstytucyjnie. Zasadą przy stosowaniu ustawy o ochronie danych osobowych stało się przetwarzanie danych osobowych za zgodą osoby zainteresowanej, której dane te dotyczą (art. 23 ust. 1 pkt 1 ustawy). Nie oznacza to jednak, iż przesłanka uzyskania zgody na przetwarzanie danych osobowych ma pierwszeństwo stosowania przed innymi przesłankami dopuszczającymi przetwarzanie tych danych, wg określonych ustawowo zawężonych kryteriów, bez zgody osoby zainteresowanej. Przesłanki zawarte w przepisie art. 23 ust. 1 pkt 1-5 ustawy są równorzędne, niezależne od siebie i dla przesądzenia o tym, że przetwarzanie danych jest dopuszczalne, wystarczy wykazanie zaistnienia jednej z nich. Skarżący prowadził działalność gospodarczą pod nazwą "C. C. P.", która to działalność została wykreślona z ewidencji działalności gospodarczej z dniem [...] lipca 2007 r. Skoro skarżący prowadził działalność gospodarczą jako osoba fizyczna, to po wykreśleniu tej działalności z odpowiedniego rejestru, odpowiada on za zobowiązania zaciągnięte w trakcie jej prowadzenia całym majątkiem. W sprawie nie jest sporne, że P. miała prawo posiadać i przetwarzać dane osobowe skarżącego w związku z łączącą strony umową o świadczenie usług telekomunikacyjnych. GIODO nie jest władny dokonywać oceny prawidłowości umów cywilnoprawnych i powstałych na tym gruncie sporów, gdyż właściwość rzeczową w tym zakresie posiadają jedynie sądy powszechne. Dla GIODO zawarta umowa jest czynnością prawną niepodlegającą jego ocenie, wywołującą skutki prawne do czasu, dopóki nie zostanie zakwestionowana w formie i trybie przewidzianym przez prawo. Zadanie organu ograniczało się zatem do zbadania, czy w wyniku zawartej umowy cywilnoprawnej spółka P. mogła udostępnić dane osobowe skarżącego, zgodnie z przepisami ustawy o ochronie danych osobowych. Organ zasadnie przyjął, że dokonanie przelewu wierzytelności nierozerwalnie związane jest z przekazaniem danych osobowych dłużnika. Zgodnie z art. 509 § 2 Kodeksu cywilnego, wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, a więc i prawo do dysponowania danymi osobowymi dłużnika w celu realizacji długu. Nabywca wierzytelności, poprzez dokonaną czynność cywilnoprawną, staje się samoistnym posiadaczem danych osobowych dłużnika. Staje się zatem administratorem danych osobowych i przetwarza dane osobowe na własny rachunek i ryzyko. Korzysta z takich samych praw i obowiązków w zakresie przetwarzania danych osobowych jakie przysługiwały poprzedniemu administratorowi danych. Zbycie wierzytelności stanowiło działanie mieszczące się w pojęciu dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej. Prawnie usprawiedliwiony cel administratora danych osobowych, zezwalający na ich przetwarzanie, znajduje oparcie w przepisie art. 66 K.c., odnoszącym się do oferty zawarcia umowy. Oferta sprzedaży wierzytelności musi zawierać istotne postanowienia umowy, co oznacza m.in., że wierzytelność musi być skonkretyzowana. W rozpoznawanej sprawie Spółka ujawniła tylko te dane, które były do tego celu niezbędne. Ze względu na treść art. 7a ust. 2 ustawy z 19 listopada 1999 r. Prawo działalności gospodarczej (Dz. U. z 1999 r., nr 101, poz. 1178 ze zm.), obecnie nieobowiązującej, dane zawarte w ewidencji działalności gospodarczej były wyłączone spod obowiązywania ustawy o ochronie danych osobowych. Zebranie pozostałych danych, niewynikających z tej ewidencji, było, tak jak i ich późniejsze udostępnienie, niezbędne dla wypełnienia prawnie usprawiedliwionego celu, którym w tym wypadku jest dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Sąd wskazał, że przetwarzanie danych osobowych skarżącego nie narusza jego praw i wolności. Gdyby każdy przypadek przetwarzania danych osobowych dłużnika uznać za godzący w te prawa i wolności, to doszłoby z jednej strony do niczym nieusprawiedliwionej ochrony podmiotów niewywiązujących się ze swoich zobowiązań, z drugiej natomiast do naruszenia zasady swobody działalności gospodarczej. Zasadnie organ przyjął, że skarżący, jako dłużnik, musi liczyć się z tym, że popadając w zwłokę w spełnianiu zobowiązania, jego prawo do prywatności może zostać ograniczone ze względu na roszczenia dochodzone przez wierzyciela.

C.P. w skardze kasacyjnej zarzucił:

- niezastosowanie przez Sąd I instancji przepisu art. 161 ust. 3 Prawa telekomunikacyjnego i przyjęcie, że przedsiębiorca nie musi wyrazić zgody na ujawnienie numeru NIP i numeru dowodu osobistego osobom trzecim;

- niewłaściwe zastosowanie art. 133 § 1 P.p.s.a. w zw. z art. 141 § 4 P.p.s.a. w zw. z art. 16 i art. 25 ust. 1 pkt 3 ustawy o swobodzie działalności gospodarczej (Dz. U. z 2004 r., nr 173, poz. 1807 [obecnie Dz. U. z 2015 r., poz. 584 ze zm.]) na skutek braku oceny treści postanowień umowy zawartej pomiędzy skarżącym a P., odpisu KRS dla spółki C. sp. z o.o., oraz zaświadczenia o wpisie do ewidencji działalności gospodarczej C.C.P., z których to dokumentów wynika, że jego numer NIP i numer dowodu osobistego nie były publicznie dostępne i że nie wyraził on zgody na ich przetwarzanie, a nadto, że przed datą przelewu wierzytelności nie prowadził on już działalności gospodarczej;

- niewłaściwe zastosowanie art. 159 ust. 2 Prawa telekomunikacyjnego w zw. z art. 509, 353 § 1 i 66 K.c. oraz art. 23 ust. 1 - 5 ustawy o ochronie danych osobowych w zw. z art. 7 lit. f dyrektywy Parlamentu Europejskiego i Rady 95/46/WE z dnia 24 października 1995 r., na skutek uznania, że przepisy Prawa telekomunikacyjnego i ustawy o ochronie danych osobowych zezwalają na ujawnienie danych osobowych w związku z przelewem wierzytelności po rozwiązaniu umowy;

- niewłaściwe zastosowanie art. 151 P.p.s.a. na skutek oddalenia skargi.

W oparciu o powyższe wnosił o uchylenie zaskarżonej decyzji oraz decyzji poprzedzającej i zobowiązanie organu do wydania decyzji o usunięciu uchybień i wykreśleniu danych osobowych skarżącego przetwarzanych przez P. i U. w zakresie, który nie ma do tego prawnego umocowania.

W uzasadnieniu skarżący kasacyjnie podkreślił, że Sąd I instancji oparł się wyłącznie na przepisie art. 23 ust. 1 pkt 5 ustawy i nie odniósł się do kwestii związanych z naruszeniem tajemnicy telekomunikacyjnej, chronionej w art. 159 i 161 Prawa telekomunikacyjnego. Przywołał poglądy orzecznictwa dotyczące zakresu udostępniania danych osobowych w aspekcie norm Prawa telekomunikacyjnego. Podkreślił, że nie wyrażał zgody na przetwarzanie tego rodzaju danych jak numer dowodu osobistego i numer NIP, a do celów identyfikacji wierzytelności oraz osoby dłużnika wystarczające jest przekazanie jego imienia, nazwiska, adresu i numeru PESEL. Skarżący od marca 2006 r. prowadził działalność gospodarczą jako osoba prawna i wobec tego numer NIP nie powinien być udostępniony.

Generalny Inspektor Ochrony Danych Osobowych wnosił o oddalenie skargi kasacyjnej. W uzasadnieniu podkreślił poprawność wywodu Sądu co do możliwości zastosowania w sprawie art. 23 ust. 1 pkt 5 ustawy w sytuacji dochodzenia roszczeń związanych z prowadzeniem działalności gospodarczej, a przekazanie danych osobowych znajdujących się w dyspozycji Spółki P. S.A. w W., także tych niezamieszczonych w ewidencji działalności gospodarczej, było niezbędne dla wypełnienia prawnie usprawiedliwionego celu dochodzenia tych roszczeń. Wskazał na przepis art. 161 ust. 2 Prawa telekomunikacyjnego, który uprawnia dostawcę publicznie dostępnych usług telekomunikacyjnych do przetwarzania m. in. nazwy, serii i numeru dokumentu potwierdzającego tożsamość oraz do przetwarzania danych potwierdzających wykonanie zobowiązania przez tego dostawcę. W tej ostatniej kategorii mieszczą się również dane, które powinna zawierać faktura stwierdzająca dokonanie sprzedaży, w tym także numery identyfikacji podatkowej (NIP) sprzedawcy i nabywcy.

Naczelny Sąd Administracyjny zważył, co następuje:

W myśl art. 174 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., poz. 270 ze zm.) zwanej dalej nadal P.p.s.a., skargę kasacyjną można oprzeć na następujących podstawach: 1) naruszenie prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie, 2) naruszenie przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy.

Naczelny Sąd Administracyjny związany jest podstawami skargi kasacyjnej, bowiem według art. 183 § 1 P.p.s.a., rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod uwagę jedynie nieważność postępowania. Przytoczenie podstaw kasacyjnych, rozumiane jako wskazanie przepisów, które - zdaniem wnoszącego skargę kasacyjną - zostały naruszone przez wojewódzki sąd administracyjny, nakłada na Naczelny Sąd Administracyjny, stosownie do art. 174 pkt 1 i 2 oraz art. 183 § 1 P.p.s.a., obowiązek odniesienia się do wszystkich zarzutów przytoczonych w podstawach kasacyjnych (por. uchwała NSA z dnia 26 października 2009 r., sygn. akt l OPS 10/09, opubl. w ONSAiwsa z 2010 r., nr 1, poz. 1).

W rozpoznawanej sprawie nie można dopatrzeć się okoliczności wskazujących na nieważność postępowania sądowoadministracyjnego.

W pierwszej kolejności należało odnieść się do zarzutów procesowych, dopiero bowiem po przesądzeniu, że stan faktyczny przyjęty przez sąd jest prawidłowy, albo nie został skutecznie podważony, można przejść do kontroli procesu subsumcji tak ustalonego stanu faktycznego sprawy pod zastosowany przez sąd przepis prawa materialnego (zob. wyrok Naczelnego Sądu Administracyjnego z dnia 9 marca 2005 r., sygn. akt FSK 618/04, opubl. w ONSAiwsa z 2005 r., nr 6, poz. 120).

Skarżący kasacyjnie powiązał naruszenie przepisu art. 133 § 1 P.p.s.a. z przepisem art. 141 § 4 P.p.s.a., oraz z przepisami art. 16 i art. 25 ust. 1 ustawy o swobodzie działalności gospodarczej, zarzucając, że Sąd I instancji nie dokonał właściwej analizy materiałów sprawy, a w szczególności nie wziął pod uwagę tych dokumentów, które dotyczyły treści umowy pomiędzy administratorem danych a podmiotem windykacyjnym (podmiotem, na który scedowano wierzytelność) oraz zakresu umownego przekazania temu podmiotowi danych osobowych skarżącego, co – w ocenie skarżącego – nie uzasadniało przekazania takich danych osobowych jak numer NIP i numer dowodu osobistego. Przeprowadzenie dowodu z dokumentów rejestrowych, zdaniem skarżącego, potwierdziłoby, że te dane nie były powszechnie znane. Odnosząc się do tak sformułowanych zarzutów proceduralnych podnieść należało, że sam fakt przekazania tych danych nie jest przez strony kwestionowany, natomiast sporna jest legalność ich przekazania z punktu widzenia wykładni obowiązujących w tym zakresie przepisów prawa materialnego. Treść umowy towarzyszącej przekazaniu danych ma znaczenie wyłącznie w kontekście celu w jakim zostały przekazane, co również nie było sporne. Niewątpliwie doszło bowiem do czynności cywilnoprawnej przeniesienia wierzytelności na osobę trzecią. A zatem stan faktyczny ustalony przez Sąd I instancji nie jest sporny, a procesowy zarzut kasacyjny dotyczy treści wywodów Sądu, zdeterminowanych przyjętą podstawą materialnoprawną i jej wykładnią. To, czy dane te figurowały w rejestrach działalności gospodarczej, nie ma znaczenia z punktu widzenia zasad przetwarzania danych osobowych, stanowiących wzorzec kontrolny w rozpatrywanej sprawie oraz z punktu widzenia oceny legalności tego przetwarzania. Zdaniem Naczelnego Sądu Administracyjnego zarzut naruszenia przepisu art. 141 § 4 P.p.s.a. nie jest w takich okolicznościach uzasadniony. W myśl tego unormowania "uzasadnienie wyroku powinno zawierać zwięzłe przedstawienie stanu sprawy, zarzutów podniesionych w skardze, stanowisk pozostałych stron, podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie. Jeżeli w wyniku uwzględnienia skargi sprawa ma być ponownie rozpatrzona przez organ administracji, uzasadnienie powinno ponadto zawierać wskazania co do dalszego postępowania".

Przede wszystkim należy podkreślić, że wydając zaskarżony wyrok Wojewódzki Sąd Administracyjny spełnił wymogi wynikające z przepisu art. 141 § 4 P.p.s.a. Przepis ten jest przepisem proceduralnym, regulującym niezbędne elementy uzasadnienia. W ramach rozpatrywania zarzutu naruszenia tego przepisu Naczelny Sąd Administracyjny zobowiązany jest jedynie do kontroli zgodności uzasadnienia zaskarżonego wyroku z wymogami, wynikającymi z powyższej normy prawnej. Na gruncie tej podstawy kasacyjnej Sąd nie może badać zasadności przyjętej podstawy prawnej rozstrzygnięcia (zob. wyrok NSA z dnia 23 listopada 2005 r., sygn. I FSK 408/05 – zamieszczony na stronie internetowej Centralnej Bazy Orzeczeń Sądów Administracyjnych - http://orzeczenia.nsa.gov.pl, zwanej dalej CBOSA). Motywy wyroku mają przekonać o słuszności rozstrzygnięcia i to zarówno jeśli chodzi o przyjętą podstawę prawną, jak i w zakresie ustaleń faktycznych poczynionych w postępowaniu administracyjnym, które jest kontrolowane. Ponadto powinny one zawierać podstawę prawną rozstrzygnięcia. Tylko naruszenia takich wymogów uzasadnienia mogą stanowić podstawę formułowania zarzutu niepełnego zebrania materiału dowodowego oraz zarzutu niewyjaśnienia podstawy prawnej wydanego wyroku. Uzasadnienie kontrolowanego wyroku Sądu I instancji wskazuje na to, że dokonano prawidłowej oceny ustaleń faktycznych zawartych w zaskarżonej decyzji odwoławczej i ich nie zakwestionowano. Prawidłowo też zacytowano mające zastosowanie w sprawie normy prawa materialnego oraz dokonano ich wykładni (co do poprawności tej wykładni poniżej). Wbrew zarzutom skarżącego kasacyjnie nie można zatem mówić o naruszeniu przepisu art. 141 § 4 P.p.s.a., a powiązanie tego zarzutu z przepisem art. 133 § 1 P.p.s.a. jest nieuprawnione, gdyż Sąd oparł się w całości na aktach sprawy i nie uchybił powinności dokonania własnych ustaleń faktycznych na podstawie tych akt.

Z kolei przepis art. 151 P.p.s.a., którego naruszenie wnoszący skargę kasacyjną także zarzucił, nie ma samodzielnego charakteru. Można mówić o jego naruszeniu tylko wtedy, gdy zasadne są zarzuty naruszenia norm materialnych lub innych norm proceduralnych stanowiących podstawę orzeczenia i mających wpływ na rozstrzygnięcie (por. wyrok NSA z dnia 27 marca 2008 r., sygn. akt I OSK 471/07, niepublikowany, treść [w:] http://orzeczenia.nsa.gov.pl/ - dalej: CBOSA).

W takim stanie rzeczy możliwe było zbadanie zasadniczego zarzutu kasacyjnego, którego istota sprowadzała się do podważania stanowiska organu administracyjnego, zaaprobowanego przez Sąd I instancji, co do możliwego zakresu przetwarzania danych osobowych skarżącego w związku z treścią umowy zawartej pomiędzy nim a operatorem telekomunikacyjnym umowy o świadczenie usług telekomunikacyjnych.

Treść zarzutu kasacyjnego sprowadza się przy tym do zakwestionowania zastosowania do stanu faktycznego sprawy i - w konsekwencji - możliwości oparcia rozstrzygnięcia na przepisie art. 23 ust. 1 pkt 5 ustawy, w kontekście brzmienia art. 159 ust. 2 Prawa telekomunikacyjnego.

Istotą sporu, przy takim zarzucie kasacyjnym, jest odpowiedź na pytanie, czy operator telekomunikacyjny był uprawniony, a jeśli tak, to na jakiej podstawie prawnej, do udostępnienia danych osobowych abonenta telefonu komórkowego na rzecz podmiotu będącego nabywcą wierzytelności, zajmującego się windykacją należności, w tym celu, by podmiot ten mógł poddać te dane procesowi dalszego przetwarzania w trakcie postępowania windykacyjno - egzekucyjnego.

Aby odpowiedzieć na tak postawione pytanie, należało w pierwszej kolejności określić relacje, jakie zachodzą pomiędzy przepisami ustawy i przepisami Prawa telekomunikacyjnego.

Stosownie do treści art. 1 ust. 2 w zw. z art. 7 pkt 2 ustawy, przetwarzanie danych osobowych, a więc ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. Jeżeli jednak przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę, niż wynika to z niniejszej ustawy, to w związku z treścią przepisu art. 5 ustawy o ochronie danych osobowych, stosuje się przepisy tych ustaw.

Przytoczone wyżej przepisy określają relacje między normami prawa wewnętrznego i statuują zasadę rozstrzygania zbiegu norm na korzyść tych norm, które przewidują wyższy poziom ochrony. W polskim systemie prawa istnieje wiele przepisów odrębnych, które odnoszą się do szeroko rozumianego przetwarzania danych osobowych. Zaliczyć do nich w szczególności należy przepisy Prawa telekomunikacyjnego, gdzie w art. 161 ust. 1 w zw. z art. 159 ust. 1 pkt 1 ustawodawca unormował problematykę przetwarzania danych osobowych użytkownika, objętych tajemnicą telekomunikacyjną. Ustawa ta stanowi, że treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej "przetwarzaniem", dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych - art. 161 ust. 1 Prawa telekomunikacyjnego (zob. wyrok Naczelnego Sądu Administracyjnego z dnia 19 stycznia 2015 r., sygn. akt I OSK 1099/13 zam. w CBOIS) .

Brzmienie zd. 2 ust. 1 art. 161 dowodzi, że przetwarzanie danych, stanowiących tajemnicę telekomunikacyjną, może się odbywać w oparciu o przesłanki określone w innych aktach prawnych rangi ustawowej. Odesłanie do przepisów ustawowych prowadzi, w ocenie Naczelnego Sądu Administracyjnego, do wniosku, iż w grę w rozpatrywanej sprawie wchodzić będą przede wszystkim regulacje przewidziane w ustawie w ustawie o ochronie danych osobowych oraz pośrednio m. in. w ustawie z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. z 2014 r., poz. 121 ze zm.), dalej: "K.c." Istnienie w przepisach Prawa telekomunikacyjnego tego rodzaju odesłania, pozwala zatem podzielić pogląd Generalnego Inspektora Ochrony Danych Osobowych, że pomiędzy omawianymi tu ustawami nie zachodzi relacja wyłączenia lecz uzupełnienia. Tym samym nie można zgodzić się z oceną autora skargi kasacyjnej, iż brzmienie art. 159 ust. 2 Prawa telekomunikacyjnego wyklucza możliwość przetwarzania danych na zasadach wynikających z ustawy o ochronie danych osobowych. Umieszczenie przez ustawodawcę w Prawie telekomunikacyjnym przepisów regulujących kwestię przetwarzania danych osobowych użytkowników nie przesądza jeszcze o tym, iż przetwarzanie przedmiotowych danych nie podlega również reżimowi ustawy o ochronie danych osobowych, a to wobec brzmienia art. 5 tego aktu prawnego. Przepis art. 161 ust. 1 Prawa telekomunikacyjnego reguluje kwestię zbiegu przepisów Prawa telekomunikacyjnego z przepisami ustawy o ochronie danych osobowych i to w taki sposób, że przepisy obu tych aktów prawnych, w szczególności w zakresie przesłanek przetwarzania danych użytkownika, uzupełniają się wzajemnie. Przepisy Prawa telekomunikacyjnego nie wyłączają więc w tym zakresie zastosowania przepisów ustawy – w tym jej art. 23.

Powołany wyżej przepis art. 23 ust. 1 ustawy w punktach od 1 do 5 określa materialne przesłanki przetwarzania danych osobowych. Każda z wymienionych w nim okoliczności usprawiedliwiających przetwarzanie danych osobowych ma charakter autonomiczny i niezależny, choć oczywiście może zdarzyć się tak, że określone przetwarzanie danych będzie legalizowane więcej niż jedną przesłanką podaną w art. 23 ust. 1. Analizując to unormowanie należy stwierdzić, że pozwala ono na przetwarzanie danych osobowych (co obejmuje także udostępnianie danych osobowych) w ściśle określonych przypadkach. Przede wszystkim dozwolone jest przetwarzanie danych osobowych za zgodą osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 ustawy). W pozostałych przypadkach ustawa zezwala na przetwarzanie danych także bez zgody osoby, której dane dotyczą, co ma służyć zasługującym na ochronę interesom administratora danych osobowych lub osób trzecich, bądź ze względu na ochronę interesu publicznego.

W rozpoznawanej sprawie znaczenie miało to, że skarżący w umowie zawartej z operatorem telekomunikacyjnym wystąpił nie jako konsument ale jako przedsiębiorca, prowadzący własną działalność gospodarczą. Bezsporne jest także to, że przelew wierzytelności operatora telekomunikacyjnego powstałej w stosunku do skarżącego na rzecz osoby trzeciej znajdował oparcie w przepisie art. 509 § 1 i 2 K.c., a fakt zawarcia tego rodzaju tej umowy nie jest w skardze kasacyjnej kwestionowany.

Z uzasadnienia skargi kasacyjnej wynika, iż skarżący naruszenia swoich praw jako osoby, której dane są przetwarzane, upatruje nie tyle w samej instytucji prawnej przelewu wierzytelności, co w działaniach podejmowanych po zawarciu umowy przelewu przez nabywcę wierzytelności, a w szczególności w przetwarzaniu tych danych osobowych, które ze względu na cel umowy były zbyteczne i wykraczały poza wynikającą z art. 23 ust. 1 pkt 5 "niezbędność" dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych. W sprawie administracyjnej jest możliwe ocenianie znaczenia i skutków umowy dla potrzeb rozstrzygnięcia administracyjnego, jeżeli prawo administracyjne odsyła do prawa cywilnego. W przypadku art. 23 ust. 1 pkt 5 ustawy takie odesłanie ma miejsce. Prawnie usprawiedliwiony cel, o którym mowa w tym przepisie może być oparty także na przepisach prawa cywilnego. Za taki prawnie usprawiedliwiony cel już sama ustawa uznaje dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej (art. 23 ust. 4 pkt 2) i odesłanie to odnosi się do skarżącego, gdyż w relacjach z P. występował on jako przedsiębiorca. Nie ma przy tym znaczenia jego aktualny status jako przedsiębiorcy prowadzącego działalność gospodarczą w ramach spółki kapitałowej, gdyż przetwarzane są tylko te dane, które udostępnił P. jako dane osoby fizycznej prowadzącej taką działalność. Pokrywanie się niektórych z tych danych osobowych z danymi spółki "C. sp. z o.o." nie oznacza, że nie mogą one być przetwarzane, gdyż aktualnie dotyczą – jak wywodzi skarżący kasacyjnie – innego podmiotu. Zmiana formy prowadzenia działalności gospodarczej nie prowadzi bowiem do zmiany uprawnień do przetwarzania danych osobowych wynikających z przepisów ustawy – akt ten takiego zakazu nie zawiera.

W takim kontekście ocena, czy cel realizowany przez administratora danych osobowych jest prawnie usprawiedliwiony, w rozumieniu art. 23 ust. 1 pkt 5 ustawy, należy do kompetencji organu rozstrzygającego sprawę administracyjną. Stosowania powyższej regulacji nie wykluczają przy tym przepisy Prawa telekomunikacyjnego, które w art. 164 wprost zezwalają na przetwarzanie danych użytkowników końcowych nie tylko w okresie obowiązywania umowy ale i po jej zakończeniu w okresie dochodzenia roszczeń.

Naczelny Sąd Administracyjny podziela w tym zakresie pogląd Sądu I instancji, że przekazanie na rzecz U. S.A., wszystkich danych osobowych skarżącego jakimi dysponowała P. w związku z zawartą umową, mieściło się w dyspozycji tego przepisu. Skoro podstawą przekazania danych był przelew wierzytelności z tytułu zrealizowanej umowy o świadczenie usług telekomunikacyjnych, z czym potencjalnie wiązać się może dochodzenie tej wierzytelności w postępowaniu sądowym, to celowość przekazania tych danych mogła być oceniana z punktu widzenia potrzeb takowego postępowania, bez ograniczenia do danych wpisanych do ewidencji działalności gospodarczej, przewidzianych w przepisie art. 7a ust. 2 ustawy z 19 listopada 1999 r. - Prawo działalności gospodarczej. W istocie bez przetwarzania danych osobowych strony prowadzenie postępowania przed sądem cywilnym nie byłoby możliwe. Zwrócić tu należy uwagę choćby na treść art. 126 § 1 pkt 1 i § 2 pkt 1 i 2 K.p.c., który stanowi, iż każde pismo strony powinno m. in. zawierać imię i nazwisko lub nazwę stron, ich przedstawicieli ustawowych i pełnomocników, a w przypadku gdy pismo procesowe jest pierwszym pismem w sprawie, powinno ponadto zawierać oznaczenie przedmiotu sporu oraz numer Powszechnego Elektronicznego Systemu Ewidencji Ludności (PESEL) lub numer identyfikacji podatkowej (NIP) powoda będącego osobą fizyczną, jeżeli jest on obowiązany do jego posiadania lub posiada go nie mając takiego obowiązku. W postępowaniu sądowym przetwarzane są też dalsze dane osobowe strony występującej w charakterze pozwanego, pozwalające na jej identyfikację, w tym m. in. numer dowodu osobistego. Trafnie zauważył też GIODO w odpowiedzi na skargę kasacyjną, że numer identyfikacji podatkowej NIP strony mógł znajdować się na dowodach źródłowych (fakturach), stanowiących podstawę dochodzonych roszczeń (wierzytelności) i pozbawienie tych dokumentów tego rodzaju danych stanowiłoby pozbawienie dokumentu cechy, którą w myśl obowiązujących przepisów podatkowych dokument taki winien zawierać (zob. § 12 ust. 1 rozporządzenia Ministra Finansów z dnia 27 kwietnia 2004 r. w sprawie zwrotu podatku niektórym podatnikom, zaliczkowego zwrotu podatku, zasad wystawiania faktur, sposobu ich przechowywania oraz listy towarów i usług, do których nie mają zastosowania zwolnienia od podatku od towarów i usług – Dz. U. nr 97, poz. 971). Warto przy tym zauważyć, że pojęcie "dochodzenie roszczeń", którym posługuje się przepis art. 23 ust. 4 pkt 2 ustawy jest terminem, który należy wykładać w sposób wynikający z celu, dla którego został użyty. W grę wchodzić tu będzie nie tylko postępowanie sądowe, ale i postępowanie egzekucyjne lub windykacyjne, w którym rzeczą niezbędną jest precyzyjne określenie osoby dłużnika w oparciu o jej dane osobowe.

W ocenie Naczelnego Sądu Administracyjnego nie jest też usprawiedliwiony zarzut naruszenia art. 7f dyrektywy 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.UE.L.1995.281.31). Przepis ten stanowi, że "Państwa Członkowskie zapewniają, że dane osobowe mogą być przetwarzane tylko wówczas gdy przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1."

W orzecznictwie przyjmuje się prawidłowo, że przepis ten dopuszcza przetwarzanie danych osobowych przez administratora, gdy jest to konieczne z punktu widzenia potrzeb wynikających z uzasadnionych interesów administratora lub osoby trzeciej, chyba że interesy te są podporządkowane interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą. Oznacza to, że dyrektywa nakazuje ważyć interesy obu stron w konkretnym przypadku i - co do zasady - dopuszcza przetwarzanie danych, które jest konieczne do realizacji prawnie usprawiedliwionych celów administratora, chyba że po dokonaniu porównania interesów obu stron okaże się, że podstawowe prawa i wolności jednostki mają większą wagę niż konkretny interes administratora. W wyroku z dnia 14 września 2000 r. - The Queen przeciwko Ministrowi Rolnictwa Wielkiej Brytanii(Zb. Orz. 2000 r., s. I - 6751, załącznik A.1), dotyczącym wykładni art. 7f dyrektywy Europejski Trybunał Sprawiedliwości podkreślił, że przepisy prawa krajowego powinny być interpretowane tak dalece, jak to możliwe, na podstawie brzmienia i celu dyrektywy, aby zapewnić realizację tego celu. Celem tym jest ochrona prywatności, która powinna być rozpatrywana także w świetle art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. W ocenie Europejskiego Trybunału Sprawiedliwości przetwarzanie danych osobowych bez zgody osoby, której dane dotycząc jest dopuszczalne, jeżeli: a/ ma podstawę w przepisie prawa, który wyraźnie na takie przetwarzanie zezwala, b/ przetwarzanie (udostępnianie) danych jest niezbędne do realizowania uprawnienia lub spełnienia obowiązku określonego ustawą, c/ dane są przetwarzane tylko w takim zakresie, w jakim jest to niezbędne do osiągnięcia tych celów. Rozstrzygając o legalności przetwarzania danych trzeba każdorazowo, ważąc interesy stron, znaleźć równowagę między prawami i wolnościami jednostki z jednej strony a prawnie usprawiedliwionym interesem osoby trzeciej z drugiej strony. Oznacza to obowiązek zapewnienia właściwej równowagi praw i interesów stron, w tym praw podstawowych (zob. wyrok NSA z dnia 23 września 2005 r., sygn. akt I OSK 712/05 – zam. w CBOIS).

Przekazanie danych osobowych skarżącego, w tym także danych zawierających numer dowodu osobistego i numer identyfikacji podatkowej NIP, jak już to wyżej wywiedziono, było niezbędne do realizacji uprawnienia określonego ustawą i nie może być uznane za naruszające równowagę pomiędzy jego dobrami prawnie chronionymi (prawem do prywatności) a usprawiedliwionym interesem P. i nabywcy jego wierzytelności. Nie można przy tym zgodzić się z poglądem wyrażonym w skardze kasacyjnej, że skoro P. przekazała nabywcy wierzytelności numer PESEL skarżącego, to przekazanie również numeru dowodu osobistego wykraczało poza granice wynikającej z art. 23 ust. 1 pkt 5 niezbędności. Niewątpliwie oba te identyfikatory stanowią dane osobowe, które służyć mają identyfikacji osoby dłużnika w rozumieniu art. 509 K.c. i w pewnym zakresie się pokrywają ze sobą (dowód osobisty zawiera numer PESEL), ale są to dane równorzędne, odnoszące się do różnych sposobów identyfikacji osoby fizycznej, których przekazanie służy realizacji celu o którym mowa w art. 23 ust. 4 pkt 2 ustawy. W związku z tym administrator danych ma pełne prawo wyboru, czy przekaże tylko jeden czy też oba identyfikatory. Jeżeli, jak już wyżej powiedziano, przekazanie (przetworzenie) każdej z tych danych z osobna nie narusza przepisów prawa ani wolności jednostki, to tym samym przekazanie obu z nich łącznie nie może naruszać tych samych praw i wolności.

W tym stanie rzeczy skargę kasacyjną C.P., jako opartą na nieusprawiedliwionych podstawach, na mocy art. 184 P.p.s.a., należało oddalić.