Niniejszy kazus przedstawia zagadnienia dotyczące ochrony dóbr osobistych wynikających z ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2019, poz. 1781) oraz Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych) zwane dalej RODO. Wyżej wskazane akty prawne mają na celu ochronę przepływu i dysponowania danymi osobami. Przedsiębiorcy ta wiedza jest niezbędna, aby zawierając umowę Jako przedsiębiorca zawierając umowę z klientem musisz pamiętać o ograniczeniach wynikających z tych aktów prawnych oraz postanowieniach, które warto zawrzeć w umowie. Zachęcamy do lektury!
Stosując przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2019, poz. 1781) oraz RODO, należy za każdym razem wyważać dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony własnej prywatności, ma swoje źródło w przepisach art. 47, art. 49, art. 50 i art. 51 Konstytucji RP. W praktyce prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie. Nie można też tak rozumieć przepisów ustawy, że udostępnienie danych osobowych dłużnika w celu windykacji należności, narusza dobro tej osoby, gdyż byłoby to niczym nieuzasadnione jej uprzywilejowanie. Zawierając umowę cywilnoprawną, należy liczyć się z jej konsekwencjami, a także z tym, że obowiązek wykonania umowy dotyczy jednej i drugiej strony, nawet jeżeli jedna z nich jest konsumentem. Ochrona dóbr jednych nie może się odbywać kosztem naruszania praw innych, co można pośrednio, bądź bezpośrednio wywieźć z wielu przepisów Konstytucji RP (art. 2, art. 22, art. 31 ust. 3, art. 32 ust. 1, art. 83). (Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 21 września 2005 r., sygn. akt II S.A./Wa 1443/05).
Stan faktyczny:
Adam Kowalski - klient firmy M-internet Spółka z o.o.
Jan Woźniak - prezes M-internet Spółka z o.o.
Pan Adam Kowalski w styczniu 2006 r. zawarł umowę o „dostarczanie internetu” z firmą M-internet Spółka z o. o. Zgodnie z umową, pan Adam zobowiązany był do comiesięcznej opłaty abonamentu. Od czerwca 2006 r. pan Adam przestał regulować należności mimo wezwań do zapłaty kierowanych ze strony M-internet Spółki z o. o. W związku z niewywiązywaniem się z umowy, usługa dostarczania internetu została zakończona.
Dnia 12 lipca 2006 r. pan Adam otrzymał pocztą pisemne wezwanie do zapłaty nieuregulowanych płatności. Nadawcą, podmiotem żądającym zapłaty, była firma Biling Spółka z o.o., a nie M-internet Spółka z o. o. Z informacji zawartych w piśmie okazało się, że firma Biling Spółka z o.o. w czerwcu 2006 r. na podstawie art. 509 Kodeksu cywilnego zawarła umowę przelewu wierzytelności z firmą M-internet Spółką z o. o. i tym samym stała się wierzycielem w stosunku do Adama Kowalskiego.
Czy pan Adam Kowalski może zarzucić M-internet Spółce z o. o. naruszenie przepisów ustawy o ochronie danych osobowych, skoro przy zawieraniu umowy nie wyrażał on zgody na udostępnianie swoich danych osobom trzecim?
Zgodnie z art. 47 Konstytucji RP, każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Dane osobowe, a więc wszelkie informacje identyfikujące lub dające możliwość identyfikacji osoby, m. in.: imię, nazwisko, miejsce zamieszkania, PESEL, NIP są więc informacjami, które definiują powyższe wartości. Informacje te istnieją w obrocie, przy okazji chociażby zawierania umów. Dochodzi zatem do ujawnienia informacji przez osoby, których one dotyczą. RODO zawiera uregulowania dotyczące zdobywania, udostępniania, zabezpieczenia oraz przetwarzania danych osobowych. Art. 6 RODO wskazuje, że przetwarzanie, a zatem dokonywanie jakichkolwiek operacji wykonywanych na danych osobowych takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie czy usuwanie dopuszczalne jest tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę. Zatem istnieje ograniczenie podmiotu będącego w posiadaniu danych w ww. działaniach. Istnieją jednak sytuacje, w których zgoda nie jest konieczna (reguluje je art. 6 RODO). Według art. 6 RODO zgoda nie jest wymagana, jeśli:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W omawianym przypadku cytowany powyżej art. 6 pkt. ust. 1 pkt f RODO znajduje zastosowanie. Administrator danych osobowych, w tym przypadku M-internet Spółka z o. o., wierzyciel pana Adama, na podstawie art. 509 Kodeksu cywilnego skorzystał z możliwości przeniesienia wierzytelności. Z chwilą dokonania przelewu wierzytelności wierzycielem stała się Biling Spółka z o.o. Do dokonania umowy pomiędzy M-internet Spółką z o. o. a Biling Spółką z o.o. konieczne było udostępnienie danych dotyczących dłużnika - Pana Adama. Zawarcie umowy o przeniesieniu wierzytelności było swobodną decyzją, rozwiązaniem sytuacji związanej z powstaniem długu wobec spółki. M-internet Spółka z o.o. w ten sposób realizował swoje uprawnienie w zakresie uzyskania należności powstałych pierwotnie z umowy o dostarczanie usług. Jak zauważył Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 21 września 2005 r., sygn. akt II SA/Wa 1443/05, nie można tak rozumieć przepisów ustawy, że udostępnienie danych osobowych dłużnika w celu windykacji należności, narusza dobro tej osoby, gdyż byłoby to niczym nieuzasadnione jej uprzywilejowanie. Zawierając umowę cywilnoprawną, należy liczyć się z jej konsekwencjami, a także z tym, że obowiązek wykonania dotyczy jednej i drugiej strony, nawet jeżeli jedna z nich jest konsumentem. Ochrona dóbr jednych nie może się odbywać kosztem naruszania praw innych, co można pośrednio, bądź bezpośrednio wywieźć z wielu przepisów Konstytucji RP.
Analizując sytuację pana Adama, należy stwierdzić, że nie doszło do naruszenia przepisów o ochronie danych osobowych. Nie istniała konieczność uzyskania zgody na udostępnienie danych. Konieczność tę wyłączało bowiem prawo wierzyciela – M-internet Spółki z o. o. do realizowania prawnie usprawiedliwionych celów, a samo przekazanie danych było niezbędne do zrealizowania tego prawa.
