W związku z zawarciem kontraktu przez przedsiębiorcę z kontrahentem obie jego strony mogą legalnie przetwarzać dane osobowe. Podstawę stanowi art. 23 ust. 1 pkt 5 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej „u.o.d.o."). Zgodnie z tym przepisem przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Przepis ten wiąże się ściśle z ust. 4 tego artykułu, który precyzuje, co należy rozumieć przez pojęcie usprawiedliwionego celu administratora danych bądź odbiorców danych. Za taki uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Stosownie zaś do art. 7 pkt 2 u.o.d.o. przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
W powyższej sprawie spór dotyczy także tego, czy art. 23 ust. 1 pkt 5 u.o.d.o. pozwalał przedsiębiorcy (jako administratorowi danych osobowych) na ich przetwarzanie przez udostępnienie innemu podmiotowi bez zgody kontrahenta jego danych osobowych. Udostępnienie danych firmie windykacyjnej oraz ich przetwarzanie przez ten podmiot znajduje uzasadnienie z kolei w art. 31 u.o.d.o. Zgodnie z tym przepisem administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Zawarcie umowy z firmą windykacyjną nie zmieniło faktu, że administratorem danych osobowych pozostał nadal przedsiębiorca (por. wyrok WSA w Warszawie z 16 maja 2013 r., II SA/Wa 911/12).
Ponadto należy podkreślić, że Generalny Inspektor Ochrony Danych Osobowych nie dokonuje oceny umów cywilnoprawnych, nie bada także zasadności roszczeń ani wymagalności wierzytelności. Nie może także oceniać prawidłowości wykonywania kontraktów, wprowadzania do nich zmian, nie ma prawa kontrolować podstaw ich wypowiadania czy rozwiązywania. Dotyczy to wszelkich umów cywilnoprawnych, w tym także umów przelewu wierzytelności. Problematyka ta podlega bowiem kognicji sądów powszechnych ze względu na ich aspekt cywilnoprawny.
—Leszek Jaworski
podstawa prawna: art. 7 pkt 2, art. 23 ust. 1 pkt 5, art. 31 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. DzU z 2002 r. nr 101, poz. 926 ze zm.)
