Dane osobowe dłużnika trafią do Internetu

Kwestię ochrony takich danych, jak nazwisko, imię, miejsce zamieszkania, numer PESEL itp., regulują przepisy ustawy o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.). Jej nadrzędnym celem jest niedopuszczenie do sytuacji, w której informacje takie byłyby pozyskiwane bez istnienia ważnego uzasadnienia, przetwarzane a w szczególności udostępniane osobom lub podmiotom nieuprawnionym.

Innymi słowy chodzi o stworzenie takiego systemu, aby dane osobowe były bezpieczne, a osób, których one dotyczą, nie spotykały przykrości związane z dostaniem się ich w niepowołane ręce.

Jednocześnie jednak zapewnienie ochrony takich danych nie zawsze będzie oznaczać, że ich dysponent nie może ich przekazać komuś innemu lub że nie mogą zostać one udostępnione innym podmiotom. Takim skrajnym przykładem może być umieszczenie danych o konkretnej osobie w Internecie, co skutkuje możliwością zapoznania się z nimi przez właściwie nieograniczony krąg odbiorców.

W szczególności może to dotyczyć osób, które zawarły umowę z jakimś przedsiębiorcą a następnie nie wywiązały się ze swoich obowiązków, np. nie zapłaciły wystawionego rachunku. Stając się dłużnikiem i działając z taką świadomością nie powinny oczekiwać nadzwyczajnej ochrony.

Legalność przetwarzania

Istnieje kilka przesłanek decydujących o tym, czy przetwarzanie, a więc m.in. zbieranie, gromadzenie, przekazywanie danych jest legalne czy nie.

Wskazuje je art. 23 ustawy. Zgodnie z nim przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

- jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z  przepisu prawa,

- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby,

- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

- jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane te dotyczą.

Za prawnie usprawiedliwiony cel, o którym mowa powyżej, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej.

Warto zaznaczyć, że wszystkie wymienione w tym artykule przesłanki mają jednakową moc prawną. Nie wolno tu wprowadzać interpretacji, zgodnie z którą jedna z nich, np. zgoda osoby, która udostępnia swoje dane, jest ważniejsza niż ta mówiąca o prawnie usprawiedliwionym interesie administratora (dysponenta) danych. W związku z tym brak wyraźnej zgody osoby, której dane dotyczą, nie zawsze będzie wystarczającą przesłanką uznania, że przetwarzanie takich danych jest nielegalne i zasługuje tym samym na szczególną ochronę, w tym na interwencję właściwych instytucji.

W jakiej zatem sytuacji dane mogą zostać ujawnione bez zgody osoby, której one dotyczą? Jedna z takich sytuacji została opisana w decyzji generalnego inspektora ochrony danych osobowych (DOLiS/DEC-1177/10), w  której odmówił uwzględnienia wniosku osoby skarżącej się na  opublikowanie jej danych w  Internecie.

Z decyzji GIODO nr DOLiS/DEC-1177/10

W przedmiotowej sprawie udostępnienie na stronie internetowej danych osobowych w zakresie imienia, nazwiska, miejscowości, kodu oraz nazwy ulicy jest uzasadnione prawnie usprawiedliwionym celem administratora danych, przez który rozumieć należy podejmowanie działań zmierzających do zawarcia umowy sprzedaży wierzytelności.

Dokonane zostało w zakresie niezbędnym do osiągnięcia tego celu i jako takie nie narusza praw i wolności osoby, której dane te dotyczą.

Sprzedam wierzytelność

Sprawa dotyczyła umieszczenia przez pewną firmę na stronie internetowej imienia, nazwiska, miejscowości, kodu pocztowego i ulicy. Firma pozyskała te dane od innego przedsiębiorcy na  podstawie umowy o przelew wierzytelności.

Na podstawie tej umowy przedsiębiorca przeniósł na firmę wierzytelności pieniężne wynikające z zawartej ze skarżącą osobą umowy. Wobec tego firma pozyskała tę wierzytelność i w  konsekwencji także jej dane osobowe. Następnie firma opublikowała te dane na stronie internetowej w celu dalszej odsprzedaży wierzytelności. Osoba skarżąca domagała się ich usunięcia, jednak GIODO nie przyznał jej racji. Innymi słowy uznał, że firma miała prawo postąpić tak, jak to zrobiła, i umieścić dane w sieci.

Firma przetwarzała dane w celu dochodzenia roszczeń, które nabyła na podstawie umowy przelewu wierzytelności. Warto w tym miejscu przypomnieć, że cesję praw regulują przepisy kodeksu cywilnego.

Zgodnie z  art. 509 § 1 wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Zasadą jest więc, że wierzycielowi przysługuje takie uprawnienie. Istnieją trzy wyjątkowe sytuacje, gdy je traci.

Po pierwsze, jakiś przepis szczególny może zabraniać dokonywania takiej cesji dla konkretnych przypadków zobowiązań (np. wynikających z czynów niedozwolonych, wynikających z  prawa pierwokupu, dożywocia). Po drugie, strony w samej umowie mogą dokonać zapisu zabraniającego dokonywania cesji, w  tym w szczególności dokonywania jej bez zgody dłużnika. Wreszcie w myśl cytowanego przepisu przelew mógłby sprzeciwiać się właściwości zobowiązania.

To ostatnie zastrzeżenie może w szczególności dotyczyć wierzytelności o charakterze ściśle osobistym, np. prawa do alimentacji (chociaż z wyjątkiem rat już wymagalnych). Jak wynika z tego przepisu, w razie braku zastrzeżenia w samej umowie i pomijając wyjątkowe sytuacje, wierzyciel ma prawo przelać przysługujące mu uprawnienie na osobę trzecią bez zgody dłużnika.

Z kolei w myśl art. 509 § 2 wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, w szczególności roszczenie o zaległe odsetki. Przechodzą jednak także, co warto podkreślić, wszelkie obciążenia (np. przedawnienie roszczenia).

W opisanym przypadku przetwarzanie przez firmę danych osoby skarżącej znajduje zatem prawne uzasadnienie w przepisie art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 2, który stanowi, że przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo ich odbiorców, a przetwarzanie nie narusza praw i wolności osoby, której one dotyczą. Za prawnie usprawiedliwiony cel uważa się w szczególności dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej.

Usprawiedliwiony cel

W tym miejscu należy zatrzymać się na wyżej opisanej przesłance, na podstawie której firma przetwarzała dane, w tym umieściła je w Internecie. Czy zatem miała prawo to zrobić, a zakres ujawnionych informacji był adekwatny do celów, jakie zamierzała osiągnąć? Przesłanka legalności przetwarzania danych zawarta w art. 23 ust. 1 pkt 5 wskazuje na interes prawnie usprawiedliwiony.

Chodzi zatem o taki, który znajduje uzasadnienie w konkretnych przepisach prawa. Przypomnijmy, że firma umieściła dane w sieci w celu odsprzedaży wierzytelności. Złożyła więc ofertę, kierując ją w szczególności do firm zajmujących się odzyskiwaniem długów. Ponownie należy więc sięgnąć do przepisów kodeksu cywilnego.

Art. 66 mówi, że oświadczenie drugiej stronie woli zawarcia umowy stanowi ofertę, jeżeli określa istotne postanowienia tej umowy. Dlatego np. w przypadku propozycji sprzedaży jakiejś rzeczy wskazuje dane identyfikujące sprzedawcę, przedmiot umowy (nazwę, specyfikację, charakterystyczne cechy itp.) oraz cenę. Analogicznie w przypadku oświadczenia woli zawarcia umowy sprzedaży wierzytelności bezsporne jest, że wierzytelność tę należy skonkretyzować. To ona ma być bowiem w tej sytuacji przedmiotem transakcji.

Dlatego, jak czytamy w decyzji GIODO, firma „oferując do sprzedaży wierzytelność ujawniła dane osobowe skarżącej w zakresie imienia, nazwiska i miejscowości z podaniem nazwy ulicy i kodu ulicy bez numeru posesji, a więc ujawniła tylko takie dane skarżącej, które są niezbędne do skonkretyzowania wierzytelności w celu jej sprzedaży”.

Przy  tym wydaje się, że takie ujawnienie danych jest zgodne z dyspozycją zawartą w art. 26 ustawy o ochronie danych.

Zgodnie z nim administrator danych przetwarzając je, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: