Dochodzenie przedawnionych roszczeń

Ponieważ roszczenie przedawnione zamienia się w tzw. roszczenie niezupełne (naturalne), wierzyciel może nadal podejmować czynności windykacyjne. I jest to jego prawnie uzasadniony interes, a jednocześnie przesłanka legalizująca przetwarzanie danych osobowych.

Przedawnienie roszczenia nie skutkuje jego wygaśnięciem, lecz zmianą w tzw. roszczenie niezupełne (naturalne). Jego istotą jest niemożność przymusowego egzekwowania. Potwierdza to m.in. orzecznictwo Sądu Najwyższego. Przykładowo w wyroku z 9 lutego 2018 r. (sygn. akt I CSK 246/17) Sąd Najwyższy wskazał, że „Zgodnie z art. 117 k.c., skutkiem przedawnienia nie jest wygaśniecie roszczenia, a tylko niemożność uzyskania ochrony przewidzianej prawem i w konsekwencji możności uzyskania jego przymusowego zaspokojenia z majątku dłużnika”.

Oznacza to, że wierzyciel może nadal podejmować czynności windykacyjne zmierzające do pozasądowej regulacji zobowiązania. Zgodnie ze stanowiskiem Sądu Najwyższego zawartym w wyroku z 27 stycznia 2016 r. (sygn. akt II CSK 67/15), mimo braku możliwości przymusowej realizacji, wygasłe zobowiązanie nadal może być przedmiotem czynności prawnych, takich jak uznania, ugody, potrącenia czy odnowienia. Wskazał też, że realizacja roszczenia naturalnego przez dłużnika na rzecz wierzyciela nie jest świadczeniem nienależnym.

Gdy dłużnik nie uznaje roszczenia

Podkreślić należy, że w sytuacji, w której dłużnik nie uznaje przedawnionego roszczenia, Prezes Urzędu Ochrony Danych Osobowych w swoich postępowaniach nie bada kwestii istnienia lub nieistnienia zobowiązania. Takie sprawy, zgodnie z art. 1 ustawy z 17 listopada 1964 r. Kodeks postępowania cywilnego (k.p.c.), są sprawami cywilnymi i powinny być rozpatrywane w postępowaniach prowadzonych przez sądy powszechne.

Potwierdza to, zachowujący wciąż aktualność, wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 8 stycznia 2010 r. (sygn. akt II SA/Wa 1069/09), w którym sąd wskazał, że „Generalny Inspektor Ochrony Danych Osobowych nie dokonuje oceny umów cywilnoprawnych, nie bada także zasadności roszczeń, ani wymagalności wierzytelności. Nie może także oceniać prawidłowości wykonywania umów, wprowadzania do nich zmian, nie ma prawa kontrolować podstaw ich wypowiadania, czy rozwiązywania. Dotyczy to wszelkich umów cywilnoprawnych, w tym także umów przelewu wierzytelności. Problematyka ta podlega bowiem kognicji
sądów powszechnych, ze względu na ich aspekt cywilnoprawny”.

W konsekwencji kwestionowanie przez dłużnika istnienia roszczenia pozostaje bez znaczenia dla legalności procesu przetwarzania, dopóki istnienie wierzytelności nie zostanie podważone we właściwym trybie i formie.

Takie stanowisko Prezes UODO zajął m.in. w decyzji (DS.523.282.2023) odwołującej się do wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 6 lipca 2006 r. (sygn. akt II SA/Wa 2226/05), w którym sąd uznał, że „Dopóki ważność umowy nie zostanie podważona we właściwym trybie i formie, umowa stanowi dokument wywołujący określone skutki prawne podlegające także ocenie w świetle ustawy o ochronie danych osobowych”.

Takie podejście UODO potwierdził ostatnio Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z 8 maja 2024 r. (sygn. akt II SA/Wa 1889/23) wskazał, że „organ zajmuje się wyłącznie kwestią dotyczącą przetwarzania danych osobowych i poza ową materię nie może wykraczać by uchronić się przed zarzutem naruszenia prawa. (…) dla celu ustalenia podstaw faktyczno-prawnych dopuszczalności przetwarzania danych osobowych, wystarczające jest samo uwiarygodnienie faktu istnienia np. cywilnoprawnego stosunku zobowiązaniowego pomiędzy stronami, z którego administrator danych wywodzi swoje prawo do ich przetwarzania”.

Podstawa prawna przetwarzania danych osobowych

Dla przetwarzania danych osobowych w związku z dochodzeniem przedawnionych roszczeń podstawowe znaczenie ma podstawa prawna działań podejmowanych przez wierzycieli.

Zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Dodatkowo w motywie 47 RODO wyjaśniono, że podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz.
Należy uznać, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem i w tym sensie nadrzędnym nad prawami i wolnościami osoby, której dane dotyczą. Dochodzenie roszczeń nie stanowi bowiem nieproporcjonalnego ograniczenia tych praw i wolności.

Przetwarzanie danych osobowych w celu dochodzenia wierzytelności przedawnionych ma zatem oparcie w art. 6 ust. 1 lit. f RODO. Przy czym dla zaistnienia tej przesłanki konieczna jest także odpowiednia analiza, o której mowa w wytycznych EROD 1/2024 dotyczących przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO i ustalenie, zgodnie z art. 5 ust. 1 lit. b i c RODO,
jakie dane są niezbędne dla realizacji konkretnego celu.

W wydanych decyzjach Prezes UODO uznawał za niedopuszczalny proces przetwarzania danych w celu związanym z ewentualnym dochodzeniem przyszłych roszczeń lub ewentualną koniecznością obrony przed nimi w sytuacji, gdy administratorzy zakładali w praktyce automatyzm przetwarzania danych w celach, które jeszcze nie zaistniały. Zdaniem organu nadzorczego brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez administratora. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Organ nadzorczy w wydanych decyzjach podkreślał, że okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia. Nie jest nią natomiast zmiana
w uprawnieniach procesowych podmiotu pozwanego.

Stanowisko o niedopuszczalności przetwarzania danych „na zapas” znalazło potwierdzenie w orzecznictwie Naczelnego Sądu Administracyjnego w wyrokach z 27 marca 2018 r. (sygn. akt I OSK 1459/16), z 6 marca 2019 r. (sygn. akt I OSK 994/17), a także z 8 stycznia 2025 r. (sygn. akt III OSK 4868/21). Aktualność zachowują przy tym warunki określone w ww. wytycznych EROD.

Zakończenie czynności windykacyjnych nie oznacza także, że administrator natychmiast musi usunąć dane dłużnika. O ile bowiem występują inne cele wynikające z odrębnych przepisów prawa, dla realizacji których przetwarzanie danych jest konieczne, dane w tych celach w okresie wskazanym w przepisach administrator będzie zobowiązany przetwarzać (np. na podstawie art. 74 ust. 1, 2 i 3  ustawy z dnia 29 września 1994 r. o rachunkowości, art. 70 § 1 w zw. z art. 86 § 1 ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa czy też art. 49 ust. 1 i 2 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu).

Tym samym proces przetwarzania danych dłużnika po zakończeniu działań windykacyjnych, do czasu upływu terminów obowiązkowego przechowywania dokumentacji, wynikających z ww. przepisów prawa, należy uznać za prawidłowy i znajdujący oparcie w przesłance wynikającej z art. 6 ust. 1 lit. c RODO.

Gdy dłużnik nie aktualizuje danych kontaktowych

Zdarza się, że w toku dochodzenia należności wierzyciel pozyskuje informację o tym, iż wybrane kategorie danych osobowych dłużnika (np. numer telefonu, adres e-mail) nie są już aktualne. Bywa tak, gdyż dłużnicy nie aktualizują swoich danych osobowych, upatrując w tym sposób na uchylenie się od spełnienia zaległych zobowiązań.

W takiej sytuacji administrator powinien podjąć kroki mające na celu wyeliminowanie nieprawidłowości polegającej na przetwarzaniu nieaktualnych danych osobowych. Zgodnie bowiem z art. 5 ust. 1 lit. d RODO, dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”).

Zasada ta nie powinna być interpretowana jako nałożony na administratora obowiązek systematycznego poszukiwania danych nieprawidłowych (zob. wyrok Naczelnego Sądu Administracyjnego z 15 kwietnia 2025 r. sygn. III OSK 567/22). W sytuacji, gdy dłużnik nie aktualizuje swojego adresu, choć był wcześniej informowany o potrzebie niezwłocznego powiadomienia wierzyciela o każdej zmianie danych, ponosi on konsekwencje związane z nieodebraniem korespondencji skierowanej na znany wierzycielowi adres. Stanowisko to znajduje potwierdzenie w utrwalonym orzecznictwie sądów cywilnych w sprawach o zapłatę (zob. wyrok Sądu Apelacyjnego w Poznaniu z 7 czerwca 2018 r., sygn. akt I ACa 1260/17; wyrok Sądu Okręgowego w Nowym Sączu z 16 stycznia 2019 r., sygn. akt I C 994/18; wyrok Sądu Rejonowego w Gdyni z 3 listopada 2020 r., sygn. akt I C 925/19).

Pamiętać jednocześnie należy, że administrator jest zobowiązany do zachowania należytej staranności i powinien podejmować działania mające na celu ograniczenie ryzyk dla naruszenia praw i wolności osób, do których kierowana jest korespondencja w związku z dochodzeniem roszczeń, tak, aby osoby nieuprawnione nie zapoznawały się z danymi dłużnika, gdyż przekazanie danych osobie trzeciej będzie stanowiło naruszenie art. 5 ust. 1 lit. a i lit. d RODO.

Nowe dane – weryfikacja prawidłowości

Także w momencie pozyskania nowego adresu dłużnika z zewnętrznych źródeł (np. poprzez działanie podmiotów oferujących usługę aktualizacji danych dłużników lub ze stron internetowych) wierzyciel powinien zbadać, czy pozyskany adres to adres dłużnika, w stosunku do którego prowadzone były czynności windykacyjne. Brak weryfikacji tożsamości potencjalnego dłużnika może skutkować bowiem bezprawnym pozyskaniem danych osobowych osoby trzeciej oraz dalszym ich przetwarzaniem bez podstawy prawnej. W takiej sytuacji administrator narusza zasady zgodności z prawem, prawidłowości i integralności oraz poufności, o których mowa w art. 5 ust. 1 lit. a, b i f RODO.

Należy podkreślić, że na administratorze danych spoczywa obowiązek podjęcia odpowiednich działań organizacyjnych i wdrożenia mechanizmów identyfikacji, które zagwarantują prawidłowość przetwarzanych danych, oraz zapobiegną pozyskiwaniu danych osób trzecich, zwłaszcza w sytuacji, gdy osoba trzecia ma dane tożsame (np. w zakresie nazwiska) z danymi dłużnika, a sam fakt zbieżności pewnych danych nie stanowi o wystąpieniu interesu prawnego w ich przetwarzaniu po stronie wierzyciela.

Ponadto w momencie, gdy osoba trzecia, której dane administrator pozyskał w przeświadczeniu, że należą do dłużnika, zwraca się do niego żądaniem usunięcia jej danych osobowych (w tym danych kontaktowych), administrator zobowiązany jest do spełnienia tego żądania.