Dane osobowe dłużnika trafią do Internetu

Kwestię ochrony takich danych, jak nazwisko, imię, miejsce zamieszkania, numer PESEL itp., regulują przepisy ustawy o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.). Jej nadrzędnym celem jest niedopuszczenie do sytuacji, w której informacje takie byłyby pozyskiwane bez istnienia ważnego uzasadnienia, przetwarzane a w szczególności udostępniane osobom lub podmiotom nieuprawnionym.

Innymi słowy chodzi o stworzenie takiego systemu, aby dane osobowe były bezpieczne, a osób, których one dotyczą, nie spotykały przykrości związane z dostaniem się ich w niepowołane ręce.

Jednocześnie jednak zapewnienie ochrony takich danych nie zawsze będzie oznaczać, że ich dysponent nie może ich przekazać komuś innemu lub że nie mogą zostać one udostępnione innym podmiotom. Takim skrajnym przykładem może być umieszczenie danych o konkretnej osobie w Internecie, co skutkuje możliwością zapoznania się z nimi przez właściwie nieograniczony krąg odbiorców.

W szczególności może to dotyczyć osób, które zawarły umowę z jakimś przedsiębiorcą a następnie nie wywiązały się ze swoich obowiązków, np. nie zapłaciły wystawionego rachunku. Stając się dłużnikiem i działając z taką świadomością nie powinny oczekiwać nadzwyczajnej ochrony.

Legalność przetwarzania

Istnieje kilka przesłanek decydujących o tym, czy przetwarzanie, a więc m.in. zbieranie, gromadzenie, przekazywanie danych jest legalne czy nie.

Wskazuje je art. 23 ustawy. Zgodnie z nim przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

- jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z  przepisu prawa,

- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby,

- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

- jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane te dotyczą.

Za prawnie usprawiedliwiony cel, o którym mowa powyżej, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej.

Warto zaznaczyć, że wszystkie wymienione w tym artykule przesłanki mają jednakową moc prawną. Nie wolno tu wprowadzać interpretacji, zgodnie z którą jedna z nich, np. zgoda osoby, która udostępnia swoje dane, jest ważniejsza niż ta mówiąca o prawnie usprawiedliwionym interesie administratora (dysponenta) danych. W związku z tym brak wyraźnej zgody osoby, której dane dotyczą, nie zawsze będzie wystarczającą przesłanką uznania, że przetwarzanie takich danych jest nielegalne i zasługuje tym samym na szczególną ochronę, w tym na interwencję właściwych instytucji.

W jakiej zatem sytuacji dane mogą zostać ujawnione bez zgody osoby, której one dotyczą? Jedna z takich sytuacji została opisana w decyzji generalnego inspektora ochrony danych osobowych (DOLiS/DEC-1177/10), w  której odmówił uwzględnienia wniosku osoby skarżącej się na  opublikowanie jej danych w  Internecie.

Z decyzji GIODO nr DOLiS/DEC-1177/10

W przedmiotowej sprawie udostępnienie na stronie internetowej danych osobowych w zakresie imienia, nazwiska, miejscowości, kodu oraz nazwy ulicy jest uzasadnione prawnie usprawiedliwionym celem administratora danych, przez który rozumieć należy podejmowanie działań zmierzających do zawarcia umowy sprzedaży wierzytelności.

Dokonane zostało w zakresie niezbędnym do osiągnięcia tego celu i jako takie nie narusza praw i wolności osoby, której dane te dotyczą.

Sprzedam wierzytelność

Sprawa dotyczyła umieszczenia przez pewną firmę na stronie internetowej imienia, nazwiska, miejscowości, kodu pocztowego i ulicy. Firma pozyskała te dane od innego przedsiębiorcy na  podstawie umowy o przelew wierzytelności.

Na podstawie tej umowy przedsiębiorca przeniósł na firmę wierzytelności pieniężne wynikające z zawartej ze skarżącą osobą umowy. Wobec tego firma pozyskała tę wierzytelność i w  konsekwencji także jej dane osobowe. Następnie firma opublikowała te dane na stronie internetowej w celu dalszej odsprzedaży wierzytelności. Osoba skarżąca domagała się ich usunięcia, jednak GIODO nie przyznał jej racji. Innymi słowy uznał, że firma miała prawo postąpić tak, jak to zrobiła, i umieścić dane w sieci.

Firma przetwarzała dane w celu dochodzenia roszczeń, które nabyła na podstawie umowy przelewu wierzytelności. Warto w tym miejscu przypomnieć, że cesję praw regulują przepisy kodeksu cywilnego.

Zgodnie z  art. 509 § 1 wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Zasadą jest więc, że wierzycielowi przysługuje takie uprawnienie. Istnieją trzy wyjątkowe sytuacje, gdy je traci.

Po pierwsze, jakiś przepis szczególny może zabraniać dokonywania takiej cesji dla konkretnych przypadków zobowiązań (np. wynikających z czynów niedozwolonych, wynikających z  prawa pierwokupu, dożywocia). Po drugie, strony w samej umowie mogą dokonać zapisu zabraniającego dokonywania cesji, w  tym w szczególności dokonywania jej bez zgody dłużnika. Wreszcie w myśl cytowanego przepisu przelew mógłby sprzeciwiać się właściwości zobowiązania.

To ostatnie zastrzeżenie może w szczególności dotyczyć wierzytelności o charakterze ściśle osobistym, np. prawa do alimentacji (chociaż z wyjątkiem rat już wymagalnych). Jak wynika z tego przepisu, w razie braku zastrzeżenia w samej umowie i pomijając wyjątkowe sytuacje, wierzyciel ma prawo przelać przysługujące mu uprawnienie na osobę trzecią bez zgody dłużnika.

Z kolei w myśl art. 509 § 2 wraz z wierzytelnością przechodzą na nabywcę wszelkie związane z nią prawa, w szczególności roszczenie o zaległe odsetki. Przechodzą jednak także, co warto podkreślić, wszelkie obciążenia (np. przedawnienie roszczenia).

W opisanym przypadku przetwarzanie przez firmę danych osoby skarżącej znajduje zatem prawne uzasadnienie w przepisie art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 2, który stanowi, że przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo ich odbiorców, a przetwarzanie nie narusza praw i wolności osoby, której one dotyczą. Za prawnie usprawiedliwiony cel uważa się w szczególności dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej.

Usprawiedliwiony cel

W tym miejscu należy zatrzymać się na wyżej opisanej przesłance, na podstawie której firma przetwarzała dane, w tym umieściła je w Internecie. Czy zatem miała prawo to zrobić, a zakres ujawnionych informacji był adekwatny do celów, jakie zamierzała osiągnąć? Przesłanka legalności przetwarzania danych zawarta w art. 23 ust. 1 pkt 5 wskazuje na interes prawnie usprawiedliwiony.

Chodzi zatem o taki, który znajduje uzasadnienie w konkretnych przepisach prawa. Przypomnijmy, że firma umieściła dane w sieci w celu odsprzedaży wierzytelności. Złożyła więc ofertę, kierując ją w szczególności do firm zajmujących się odzyskiwaniem długów. Ponownie należy więc sięgnąć do przepisów kodeksu cywilnego.

Art. 66 mówi, że oświadczenie drugiej stronie woli zawarcia umowy stanowi ofertę, jeżeli określa istotne postanowienia tej umowy. Dlatego np. w przypadku propozycji sprzedaży jakiejś rzeczy wskazuje dane identyfikujące sprzedawcę, przedmiot umowy (nazwę, specyfikację, charakterystyczne cechy itp.) oraz cenę. Analogicznie w przypadku oświadczenia woli zawarcia umowy sprzedaży wierzytelności bezsporne jest, że wierzytelność tę należy skonkretyzować. To ona ma być bowiem w tej sytuacji przedmiotem transakcji.

Dlatego, jak czytamy w decyzji GIODO, firma „oferując do sprzedaży wierzytelność ujawniła dane osobowe skarżącej w zakresie imienia, nazwiska i miejscowości z podaniem nazwy ulicy i kodu ulicy bez numeru posesji, a więc ujawniła tylko takie dane skarżącej, które są niezbędne do skonkretyzowania wierzytelności w celu jej sprzedaży”.

Przy  tym wydaje się, że takie ujawnienie danych jest zgodne z dyspozycją zawartą w art. 26 ustawy o ochronie danych.

Zgodnie z nim administrator danych przetwarzając je, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

- przetwarzane zgodnie z prawem,

- zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,

- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Dla tej konkretnej sytuacji najważniejsza jest część mówiąca o merytorycznej poprawności i adekwatności w stosunku do celu, w jakim dane są przetwarzane. Firma udostępniła dane osobowe w zakresie niezbędnym do zidentyfikowania wierzytelności przeznaczonej do publicznej sprzedaży, a więc w zakresie niezbędnym do realizacji celu, do którego dane udostępniono.

Prawa i wolności

Zgodnie z cytowanym już kilkakrotnie art. 23 ust. 1 pkt 5 przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, a przetwarzanie takie nie narusza praw i wolności osoby, której dane dotyczą. Pozostaje więc rozstrzygnąć tę ostatnią kwestię, czyli ewentualnego naruszenia wskazanych praw i wolności.

Wydaje się, że osoba, której dane zostały ujawnione, jako dłużnik powinna liczyć się z tym, że jej prawo do prywatności może zostać ograniczone ze względu na dochodzenie przez wierzyciela przysługujących mu należności.

Cytując decyzję GIODO, „w przeciwnym wypadku mogłoby dojść do sytuacji, w której dłużnik, powołując się na prawo do ochrony danych osobowych, skutecznie uchyliłby się od spoczywającego na nim obowiązku spełnienia świadczenia i sytuacja taka ograniczyłaby prawo wierzyciela do uzyskania należnej zapłaty”.

Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych

Podawanie do publicznej wiadomości danych osobowych dłużnika (np. przez ogłoszenie w Internecie czy gazecie) w celu sprzedaży jego wierzytelności jest przetwarzaniem danych osobowych, o którym stanowi ustawa o ochronie danych osobowych. Dlatego powinno odbywać się zgodnie z jej zasadami.

Jedną z nich jest konieczność wykazania się podstawą prawną takiego działania, do której należy m.in. istnienie prawnie usprawiedliwionego celu, a takim jest np. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Dostateczne oznaczenie wierzytelności jest niezbędnym warunkiem, aby mogła ona stać się przedmiotem, którym można rozporządzić. Nie istnieje bowiem wierzytelność „sama dla siebie”, tj. w oderwaniu od stron: wierzyciel – dłużnik.

Wiedza o tym, przeciwko komu wierzytelność przysługuje, niezbędna jest dla racjonalnego podjęcia decyzji o nabyciu wierzytelności. Każdy dłużnik musi zatem liczyć się z tym, że popadając w zwłokę w spełnieniu zobowiązania, jego prawo do prywatności może zostać ograniczone ze względu na dochodzenie przez wierzyciela należnych kwot.

Czytaj też:

Zobacz:

» Dobra Firma » Firma » Dane osobowe i dobra osobiste

» Dobra Firma » Firma » Dłużnicy » Egzekucja długów » Windykacja długów