Osoba, która uważa, że jej dane trafiły w niepowołane ręce i/lub są przetwarzane niezgodnie z prawem, ma prawo zwrócić się do administratora tych danych z prośbą o ich usunięcie lub zaprzestanie przetwarzania w określonych celach (np. marketingowych i reklamowych).
Jeżeli administrator danych nie przychyli się do tego wniosku, sprawę wolno skierować do biura generalnego inspektora ochrony danych osobowych, jako instytucji właściwej za kontrolę procesów gromadzenia i przetwarzania informacji o osobach fizycznych. Warto jednak pamiętać, że GIODO też nie zawsze będzie mógł pomóc.
Może bowiem działać w zakresie przyznanych mu kompetencji. A do tych nie należy rozstrzyganie spraw np. z zakresu istnienia, bądź nieokreślonej umowy lub zobowiązania, na podstawie których miałoby dochodzić do wykorzystywania danych. Sam spór pomiędzy osobą fizyczną a jakąś firmą lub instytucją o to, czy pomiędzy nimi istnieje (wiąże ich) jakiś stosunek prawny, a w związku z tym, czy istnieją przesłanki do legalnego wykorzystywania danych osobowych, musi rozstrzygnąć sąd powszechny.
Dopiero na podstawie jego orzeczenia GIODO mógłby ostatecznie orzec o legalności operowania na danych osobowych. Jakiej sytuacji może to dotyczyć? Obrazować to może następujący przykład.
PRZYKŁAD
Jan Nowak ubezpieczał samochód w zakresie OC w jednej z firm ubezpieczeniowych. Przed końcem rocznego okresu ubezpieczenia przesłał firmie wypowiedzenie, a następnie opłacił ratę za kolejny okres ubezpieczenia. Po roku od tego wydarzenia otrzymał pismo od firmy windykacyjnej z żądaniem zapłaty. Okazało się, że firma ubezpieczeniowa sprzedała przysługującą jej (zdaniem firmy) wierzytelność, wynikającą z braku opłaconych kolejnych składek.
Z kolei zdaniem pana Nowaka, firma ubezpieczeniowa oraz windykacyjna nie miały prawa wykorzystywać jego danych osobowych. Czy w takim wypadku można skutecznie skierować sprawę do generalnego inspektora ochrony danych osobowych? To właśnie przykład sytuacji, gdzie najpierw musi dojść do rozstrzygnięcia, czy właściciela samochodu wiązała z firmą ubezpieczeniową umowa.
Z opisanego przykładu wynika, że zdaniem właściciela samochodu, umowa ubezpieczeniowa wygasła. Tym samym nie miał on obowiązku opłacania kolejnych składek. Nie mogły po jego stronie powstać żadne zobowiązania, które mogłyby stać się przedmiotem sprzedaży na rzecz firmy windykacyjnej. Tym samym nie było też żadnych przesłanek do wykorzystywania jego danych osobowych.
Z kolei zdaniem ubezpieczyciela, umowa została przedłużona w sposób automatyczny, tak jak na to pozwala prawo w zakresie obowiązkowego ubezpieczenia od odpowiedzialności cywilnej posiadaczy pojazdów. Wprawdzie właściciel samochodu złożył wypowiedzenie we właściwym czasie, ale następnie (nie przed tą datą, ale później) dokonał wpłaty pierwszej raty ubezpieczenia na kolejny okres.
I dlatego właśnie, zdaniem ubezpieczyciela, nastąpiło automatyczne przedłużenie umowy. Ponieważ klient nie opłacił w terminie kolejnych rat, ubezpieczyciel wykonał czynności, które miały mu pozwolić odzyskać część pieniędzy. W tym celu przeniósł wierzytelność na firmę windykacyjną.
Przepisy o ochronie
W świetle samej ustawy o ochronie danych osobowych (DzU z 2002r. nr 101, poz. 926 ze zm.) sprawa jest stosunkowo prosta. Obok i niezależnie od zgody osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 ustawy), przetwarzanie danych osobowych jest dopuszczalne m.in., gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 ustawy), a także gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby (art. 23 ust. 1 pkt 3 ustawy).
Jednocześnie art. 23 ust. 1 pkt 5 ustawy stanowi, iż przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5 ustawy, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy).
Jakie wnioski
Z zacytowanych przepisów wynika, że dochodzenie należności może być przesłanką legalizującą proces przetwarzania danych. Jeżeli zatem ubezpieczyciel uznał, że umowa pomiędzy klientem a nim nie została ostatecznie wypowiedziana i nadal wiąże strony, to tym samym naliczał składki należne za kolejne okresy ubezpieczeniowe. W związku z powyższym, jeżeli właściciel pojazdu zalegał z ich zapłatą, firma ubezpieczeniowa była uprawniona do ich wyegzekwowania, również w drodze cesji wierzytelności na rzecz firmy windykacyjnej.
Należy bowiem podkreślić, że stosownie do art. 3 ust. 4 pkt 5 lit. a) ustawy o działalności ubezpieczeniowej (DzU z 2010 r. Nr 11, poz. 66 ze zm.), przez działalność ubezpieczeniową rozumie się wykonywanie czynności ubezpieczeniowych, którymi są również prowadzenie postępowań regresowych oraz postępowań windykacyjnych związanych z wykonywaniem umów ubezpieczenia i umów gwarancji ubezpieczeniowych.
Rozstrzygnąć spór
W takim przypadku skarga na przetwarzanie danych osobowych, zdaniem klienta nielegalne, skierowana do generalnego inspektora ochrony danych może okazać się nieskuteczna. Należy bowiem zaznaczyć, że GIODO nie jest organem mogącym dokonać oceny, czy ww. umowa wiąże strony, czy nie. Nie może rozstrzygać kwestii należących do kompetencji innych organów, przyznanych im na podstawie odrębnych przepisów prawa.
W tym przypadku uprawnionym do tego rodzaju czynności jest wyłącznie sąd powszechny w trybie powództwa z art. 189 kodeksu postepowania cywilnego, zgodnie z którym powód może żądać ustalenia przez sąd istnienia lub nieistnienia stosunku prawnego lub prawa, gdy ma w tym interes prawny.

Wojciech Rafał Wiewiórowski generalny inspektor ochrony danych osobowych
Komentuje Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych
W kontekście legalności udostępniania danych osobowych podmiotom trudniącym się windykacją należności należy m.in. zwrócić uwagę na przepisy Kodeksu cywilnego, a szczególnie na art. 509 odnoszący się do cesji wierzytelności. Przepis ten stanowi, iż wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba, że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania.
Wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, w szczególności roszczenie o zaległe odsetki. Jednocześnie jednak z art. 385
3
pkt 5 k.c wynika, iż w razie wątpliwości uważa się, że niedozwolonymi postanowieniami umownymi są te, które w szczególności zezwalają kontrahentowi konsumenta na przeniesienie praw i przekazanie obowiązków wynikających z umowy bez zgody konsumenta.
Istotny w tym przedmiocie, dotyczący legalności przetwarzania danych w związku z cesją wierzytelności jest wyrok Naczelnego Sądu Administracyjnego z dnia 6 czerwca 2005 r., z którego wynika, że można przekazywać firmom windykacyjnym dane dłużników bez ich zgody, ale trzeba wyważać między ochroną ich praw i wolności obywatelskich oraz prywatności a interesami wierzycieli.
Podnieść także trzeba, że Wojewódzki Sąd Administracyjny w wyroku z 21 września 2005 r. stwierdził, że „dla GIODO zawarta umowa przeniesienia wierzytelności powinna być czynnością prawną niepodlegającą jego ocenie, wywołującą skutki prawne do czasu, dopóki nie zostanie zakwestionowana w formie i trybie przewidzianym przez prawo (...)".