Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Wiesław Morys sędzia NSA Irena Kamińska (spr.) sędzia del. NSA Leszek Kiermaszek Protokolant sekretarz sądowy Małgorzata Kamińska po rozpoznaniu w dniu 21 sierpnia 2013 roku na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 8 marca 2012 r. sygn. akt II SA/Wa 2821/11 w sprawie ze skargi A. S. A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) października 2011 r. nr (...) w przedmiocie nakazania udostępnienia danych osobowych 1. oddala skargę kasacyjną, 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz A. S. A. z siedzibą w W. kwotę 180 (sto osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wyrokiem z dnia 8 marca 2012 r., sygn. akt II SA/Wa 2821/11 Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) października 2011 r. nr (...) oraz poprzedzającą ją decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) lipca 2011 r. nr (...) w sprawie ze skargi A. z siedzibą w W. w przedmiocie nakazania udostępnienia danych osobowych.

W uzasadnieniu wyroku wskazano, iż P. Sp. z o.o. Sp. k. z siedzibą w L. złożyła wniosek o wydanie decyzji nakazującej A. SA z siedzibą w W. przy ul. C. (dalej - Spółka) udostępnienie danych osobowych użytkowników będących autorami 36 wpisów na forum internetowym, znajdującym się pod adresem http://forum.G. , w zakresie adresu (numeru) IP, wykorzystywanego przez użytkowników w czasie umieszczania wypowiedzi naruszających prawa Spółki, daty i godziny logowania użytkowników w czasie umieszczania powyższych wypowiedzi, adresów (numerów) IP użytkowników, dotyczących poprzednich lub kolejnych logowań (wraz z datą i czasem logowań) za okres od 1 stycznia 2009 r. do 31 grudnia 2010 r., adresu e-mail użytkownika oraz innych danych identyfikacyjnych użytkownika, w szczególności imienia i nazwiska, adresu zamieszkania lub pobytu, numeru ewidencyjnego PESEL albo NIP oraz serii i numeru jego dowodu osobistego. Na uzasadnienie wniosku podano, że wskazane we wniosku wpisy naruszyły dobra osobiste Skarżącej, w tym w szczególności jej dobre imię (renomę) oraz wypełniają znamiona przestępstwa pomówienia, a uzyskanie przedmiotowych informacji o osobach, które były autorami wpisów pozwoli wnioskodawcy na dochodzenie swoich praw przed sądem.

Po przeprowadzeniu postępowania administracyjnego w przedmiotowej sprawie GIODO w dniu (...) lipca 2011 r. wydał decyzję (znak: (...) ), mocą której: 1) nakazał A. SA udostępnienie wnioskodawcy (P. ) danych osobowych:

a) użytkownika o nicku "m." w zakresie adresu e-mail, adresów IP komputerów, z których użytkownik korzystał zamieszczając wypowiedzi, z którymi związany jest wniosek o udostępnienie danych z dnia 5 listopada 2010 r. oraz informacji o dacie i godzinie logowań tego użytkownika w październiku 2010 r. i adresach IP, z których logowania były dokonywane,

b) użytkownika o nicku "z." w zakresie roku urodzenia, kodu pocztowego, adresu IP komputera, z którego korzystał użytkownik zamieszczając wypowiedź, z którą związany jest wniosek o udostępnienie danych z dnia 5 listopada 2010 r., daty i godziny logowania użytkownika w czasie zamieszczania powyższej wypowiedzi, oraz informacji o dacie i godzinie logowań tego użytkownika w okresie 6 miesięcy wstecz od dnia 9 listopada 2010 r. i adresach IP, z których te logowania były dokonywane,

c) użytkownika o nicku "c." w zakresie adresu e-mail oraz adresu IP komputera, z którego użytkownik korzystał zamieszczając wypowiedź, z którą związany jest skierowany do Spółki wniosek o udostępnienie danych z dnia 5 listopada 2010 r.,

d) pozostałych użytkowników, których dotyczy skierowany do Spółki wniosek o udostępnienie danych z dnia 5 listopada 2010 r. w zakresie ich adresów IP,

oraz w punkcie 2 decyzji odmówił uwzględnienia wniosku w części dotyczącej żądania nakazania udostępnienia danych osobowych:

a) użytkownika o nicku "z. w zakresie informacji o dacie i godzinie logowań, dokonywanych od września 2009 r. do listopada 2010 r. oraz adresach IP, z których te logowania były dokonywane, wykraczających poza informacje wskazane w pkt 1 lit. b rozstrzygnięcia niniejszej decyzji,

b) użytkownika o nicku "c." w zakresie informacji o dacie i godzinie logowań tego uzytkownika we wrześniu 2009 r. i adresach IP, z których te logowania były dokonywane.

W pozostałej części (w punkcie 3 decyzji) GIODO umorzył postępowanie.

Na uzasadnienie decyzji GIODO stwierdził, że pomimo uchylenia art. 29 ustawy o ochronie danych osobowych (dalej jako u.o.d.o.) przez art. 1 pkt 7 ustawy z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. Nr 229, poz. 1497), która weszła w życie w dniu 7 marca 2011 r., przepis ten ma zastosowanie do oceny stanu faktycznego niniejszej sprawy ze względu na treść art. 5 powyższej ustawy, który stanowi, iż do postępowań wszczętych i niezakończonych na podstawie ustawy, o której mowa w art. 1, przed dniem wejścia w życie niniejszej ustawy stosuje się przepisy dotychczasowe.

W ocenie GIODO, nie można zasadnie przyjąć, że udostępnienie P. informacji, o które występowała w skierowanym do A. SA wniosku, wiąże się z naruszeniem dóbr osobistych osób, których dane dotyczą lub innych osób, ani - tym bardziej - że naruszenie to miałoby charakter istotny - a zatem, że zaistniała określona w art. 30 pkt 4 ustawy przeszkoda uzasadniająca odmowę udostępnienia danych. W świetle okoliczności faktycznych sprawy bowiem nic nie wskazuje, aby przedmiotowe naruszenie miało miejsce.

Po ponownym rozpatrzeniu sprawy, decyzją z dnia (...) października 2011 r. GIODO utrzymał w mocy zaskarżoną decyzję własną z dnia (...) lipca 2011 r.

W uzasadnieniu decyzji z dnia (...) października 2011 r. GIODO zważył, że pomimo uchylenia art. 29 u.o.d.o. przez art. 1 pkt 7 ustawy z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. Nr 229, poz. 1497), która weszła w życie w dniu 7 marca 2011 r., ma on zastosowanie do oceny stanu faktycznego niniejszej sprawy ze względu na treść art. 5 powyższej ustawy, który stanowi, iż do postępowań wszczętych i niezakończonych na podstawie ustawy, o której mowa w art. 1, przed dniem wejścia w życie niniejszej ustawy stosuje się przepisy dotychczasowe.

Jednocześnie GIODO ponownie zaznaczył, iż stosownie do brzmienia art. 29 ust. 1 u.o.d.o. w przypadku udostępniania danych w celach innych niż włączenie do zbioru administrator danych udostępnia posiadane w zbiorze dane osobowe osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa. Dane osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1 u.o.d.o., mogą być także udostępnione w celach innych niż włączenie do zbioru innym osobom i podmiotom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą (art. 29 ust. 2 u.o.d.o.). Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że przepis innej ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie (art. 29 ust. 3 u.o.d.o.).

GIODO odniósł się do zawartych we wniosku o ponowne rozpatrzenie sprawy zarzutów Spółki A. i stwierdził, iż nie można zasadnie przyjąć, że udostępnienie P. informacji, o które występowała w skierowanym do Spółki wniosku, wiąże się z naruszeniem dóbr osobistych osób, których dane dotyczą lub innych osób, ani – tym bardziej - że naruszenie to miałoby charakter istotny - a zatem, że zaistniała określona w art. 30 pkt 4 u.o.d.o. przeszkoda uzasadniająca odmowę udostępnienia danych. W świetle okoliczności faktycznych sprawy bowiem nic nie wskazuje, aby przedmiotowe naruszenie miało miejsce.

Jednocześnie GIODO wskazał, iż A. nie przedstawiła również żadnych dowodów, z których wynikałoby w sposób bezsporny istnienie takiego naruszenia.

Przedmiotowe naruszenie – zdaniem GIODO - ma jedynie charakter hipotetyczny, nie stanowiąc tym samym faktu popartego właściwymi dowodami.

Odnosząc się do kwestii podniesionej przez Spółkę A. w ramach niniejszego zarzutu, iż w jej ocenie naruszenie dóbr osobistych osób, których dane dotyczą jest szczególnie widoczne i wymowne w zakresie w jakim GIODO nakazał wydanie danych w zakresie logowania tych użytkowników z chwil innych niż chwila opublikowania spornych wypowiedzi, GIODO wskazał, że ww. przesunięcie czasowe ma na celu umożliwienie weryfikacji danych konkretnych osób. Powyższe ma szczególne znaczenie w stosunku do adresów IP, które charakteryzują się dynamicznością, a prześledzenie ich "aktywności" w dłuższym okresie czasu może stanowić element istotny w procesie indywidualizacji danej osoby. Ta sama osoba może bowiem korzystać z różnych komputerów, a uzyskanie jak największej ilości informacji o poszczególnych adresach IP może przyczynić się do jednoznacznego ustalenia osoby, która dokonała danego wpisu.

Odnosząc się do twierdzeń Spółki A. , że w systemie prawa brak jest instrumentów pozwalających na jakąkolwiek kontrolę wykorzystania udostępnionych danych, co prowadzić może do ich użycia nie tylko w celu niezgodnym z tym, dla którego były udostępnione, ale wręcz do podejmowania działań niezgodnych z prawem, GIODO zauważył, iż brak przedmiotowych instrumentów nie jest jednoznaczny z wykorzystaniem udostępnionych danych niezgodnie z przeznaczeniem, dla którego je udostępniono. W chwili, gdy P. zbierze udostępnione jej przez Spółkę dane osobowe, stanie się ich administratorem w rozumieniu art. 7 pkt 4 u.o.d.o. W związku z powyższym, zdaniem GIODO, przetwarzanie przez P. tych danych będzie podlegało regułom, wyznaczonym przez przepisy ustawy, w szczególności zaś wynikającemu z art. 26 ust. 1 pkt 2 u.o.d.o. obowiązkowi nie poddawania zebranych danych dalszemu przetwarzaniu niezgodnemu z celami zebrania (tzw. zasada celowości), a kontrola zgodności przetwarzania tych danych z przepisami o ochronie danych osobowych będzie należała do kompetencji GIODO.

Ponadto GIODO zauważył, że udostępnienie danych osobowych (w tym adresów IP komputerów usługobiorców usług takich jak internetowe fora dyskusyjne) w oparciu o art. 29 u.o.d.o. związane jest ściśle ze spełnieniem przez P. warunków, określonych w art. 29 ust. 3 u.o.d.o. Administrator danych, jako podmiot decydujący o celach i środkach przetwarzania danych osobowych, ma obowiązek dokonania oceny, czy wskazane warunki zostały spełnione w sposób należyty (tj. np. czy P. uzasadniła w sposób wiarygodny potrzebę posiadania danych). Do kompetencji GIODO natomiast należy w szczególności ich weryfikacja. Według GIODO brak jest podstaw do uznania, że w niniejszej sprawie zaistniała którakolwiek z wymienionych w art. 30 u.o.d.o. okoliczności wyłączających udostępnienie danych osobowych.

Zdaniem GIODO oczywistym jest, że pozyskanie (przetwarzanie) danych osobowych w ww. celu w każdym przypadku zostanie uznane przez osoby, których dane te dotyczą, za sprzeczne z ich interesem. Okoliczność ta nie świadczy jednak o naruszeniu ich praw i wolności. Konieczne jest, według GIODO, zaznaczenie, iż przy stosowaniu prawa krajowego należy uwzględnić konieczność zapewnienia równowagi pomiędzy ochroną różnych praw podstawowych, tj. prawa do poszanowania życia prywatnego oraz prawa do skutecznego środka prawnego.

Odnosząc się do zarzutu A. , iż zastosowanie powinny mieć przepisy ustawy o świadczeniu usług drogą elektroniczną (dalej jako u.ś.u.d.e.), GIODO wskazał, że zgodnie z art. 18 ust. 6 u.ś.u.d.e. usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań. Na usługodawcy zatem ciąży obowiązek udzielania informacji o wszystkich kategoriach danych, wymienionych w art. 18 ust. 1-5 u.ś.u.d.e., organom państwa, na potrzeby prowadzonych przez nie postępowań. Nie ulega wątpliwości, jak twierdzi GIODO, że poprzez udzielanie informacji rozumieć należy również udostępnianie tych danych. Zdaniem GIODO przepis art. 18 ust. 6 u.ś.u.d.e. sformułowany jest w sposób ogólnikowy i nie wskazuje ani na rodzaje organów, które mogą wystąpić z żądaniem informacji, ani na rodzaje postępowań: karne, cywilne, administracyjne czy egzekucyjne.

GIODO zaznaczył, iż przepis art. 18 ust. 6 u.ś.u.d.e. jedynie zobowiązuje usługodawcę do udostępniania informacji organom państwa i nie należy go interpretować rozszerzająco jako normy zakazującej udostępniania tych informacji innym podmiotom. Gdyby bowiem zamiarem ustawodawcy było ograniczenie możliwości udostępnienia informacji, o których mowa w art. 18 ust. 1-5 u.ś.u.d.e., tylko do organów określonych w art. 18 ust. 6 tej ustawy, wskazałby to wprost w treści przepisu, np. przy użyciu zwrotu "wyłącznie", który to sposób oznaczania zamkniętego kręgu podmiotów zastosowany został np. w art. 66g i art. 66j § 4 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (tekst jedn. Dz. U. 2005 r. Nr 229, poz. 1954 z późn. zm.), art. 72 ust. 1 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228) i art. 105 ust. 1 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (tekst jedn. Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.).

GIODO zauważył, że ustawodawca w treści art. 218 k.p.k. nie użył zwrotu "wyłącznie" w stosunku do obowiązku wydania sądowi lub prokuratorowi, na żądanie zawarte w postanowieniu, korespondencji i przesyłek oraz danych, o których mowa w art. 180c i 180d ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800, z późn. zm.), a jedynie, odnosząc się do kwestii otwierania przedmiotowej korespondencji, przesyłek oraz danych lub zarządzenia ich otwarcia, ustawodawca wskazał, że może to uczynić tylko sąd lub prokurator. GIODO podkreślił też, że powyżej powołane przepisy k.p.k. w najmniejszym stopniu nie mają zastosowania w niniejszej sprawie. P. nie jest organem prowadzącym postępowanie w sprawie karnej, a udostępnione dane osobowe mają zostać wykorzystane przez nią do zainicjowania postępowania cywilnego, nie zaś w postępowaniu karnym. Wskazał, że P. może korzystać z procedury przewidzianej w art. 29 ustawy, a następnie cywilnej określonej w Kpc i to niezależnie od podejmowanych działań w trybie postępowania karnego.

Skargę do Sądu na decyzję GIODO złożyła A. SA, zaskarżając powyższą decyzję w części utrzymującej w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) lipca 2011 roku ((...) ) co do pkt. 1, tj. w części nakazującej A. SA udostępnienie P. Spółka z ograniczoną odpowiedzialnością Sp. k. danych osobowych podmiotów, wskazanych w treści decyzji.

Zaskarżonej decyzji zarzucono naruszenie:

1) prawa materialnego, mające wpływ na wynik sprawy, tj.

- art. 29 ust. 2 ustawy o ochronie danych osobowych ("u.o.d.o.") w zw. z art. 16 ust. 1 ustawy o świadczeniu usług drogą elektroniczną ("u.ś.u.d.e.") przez jego nieuzasadnione zastosowanie w sprawie, polegające na przyjęciu, że przepis ten stanowi podstawę wydania danych użytkowników internetowego forum dyskusyjnego, podczas gdy wobec istnienia odrębnych uregulowań w ustawie o świadczeniu usług drogą elektroniczną przepis ten nie znajduje zastosowania w niniejszej sprawie;

- art. 18 ust. 6 u.ś.u.d.e. przez jego błędną wykładnię i przyjęcie, że przepis ten nie zakazuje udostępniania adresów IP podmiotom innym niż organy państwa, podczas gdy w przepisie tym jedynie organy państwa określone zostały jako odbiorca danych eksploatacyjnych, gromadzonych przez usługodawcę w rozumieniu u.ś.u.d.e., a wskazana ustawa nie zawiera innego przepisu, który stanowiłby podstawę wydawania danych podmiotom innym niż organy państwa;

- art. 29 ust. 2 u.o.d.o. przez jego niewłaściwe zastosowanie i przyjęcie, że dochodzenie przez osobę trzecią ochrony swych praw przed sądem w sposób wystarczający uzasadnia potrzebę posiadania danych, podczas gdy sądy oraz inne organy ochrony prawnej dysponują odpowiednimi środkami prawnymi do uzyskania niezbędnych informacji;

- art. 29 ust. 2 w zw. z art. 30 ust. 4 u.o.d.o. przez ich niewłaściwe zastosowanie i przyjęcie, że udostępnienie danych użytkowników forum portalu G. nie naruszy ich praw i wolności i w konsekwencji, iż A. nie miała w niniejszej sprawie podstaw do odmowy udostępnienia danych, podczas gdy z okoliczności sprawy wynika, iż w razie udostępnienia żądanych danych P. Spółka z ograniczoną odpowiedzialnością Sp. k. do naruszenia takiego dojdzie;

2) naruszenie przepisów postępowania, mogące mieć istotny wpływ na wynik sprawy, tj.

- art. 138 § 1 pkt 1 kodeksu postępowania administracyjnego (dalej "KPA") w zw. z art. 18 ust. 1 pkt 2 u.o.d.o. poprzez utrzymanie w mocy decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) lipca 2011 roku co do pkt. 1 ((...) ) wskutek uznania jej za decyzję prawidłową także co do pkt. 1 i przyjęcie, że w niniejszej sprawie Skarżąca naruszyła przepisy ustawy o ochronie danych osobowych i zachodzi podstawa do wydania decyzji nakazującej udostępnienie danych osobowych, podczas gdy, wobec braku podstaw do nakazania Agorze udostępnienia danych osobowych w niniejszej sprawie, decyzja z dnia (...) lipca 2011 roku powinna zostać uchylona w zaskarżonej części;

Mając na względzie wskazane zarzuty, A. SA wniosła:

- na podstawie art. 145 § 1 pkt 1 lit. a) i c) p.p.s.a. o uchylenie decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) października 2011 roku ((...) ) w części w jakiej utrzymała w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) lipca 2011 roku ((...) ) co do pkt. 1 oraz poprzedzającej ją decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) lipca 2011 roku ((...) ) co do pkt. 1,

- na podstawie art. 200 p.p.s.a. o zwrot od Generalnego Inspektora Ochrony Danych Osobowych na rzecz strony skarżącej kosztów postępowania niezbędnych do celowego dochodzenia praw według norm przepisanych,

- na podstawie art. 61 § 2 pkt 1 i § 3 p.p.s.a. o wstrzymanie wykonania decyzji w zaskarżonej części.

W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał w całości swoje dotychczasowe stanowisko faktyczne oraz prawne.

Wydając zaskarżony wyrok Sąd pierwszej instancji wskazał, iż wydając zaskarżoną decyzję Generalny Inspektor Ochrony Danych Osobowych oparł się o art. 29 ust. 1 u.o.d.o., bezpodstawnie pomijając regulacje przewidziane w u.ś.u.d.e. Tymczasem art. 1 pkt 3) u.ś.u.d.e. stwierdza, iż ustawa ta określa zasady ochrony danych osobowych osób fizycznych korzystających z usług świadczonych drogą elektroniczną. Zgodnie z art. 16 u.ś.u.d.e. do przetwarzania danych osobowych w rozumieniu u.o.d.o. w związku ze świadczeniem usług drogą elektroniczną stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej. Z kolei art. 18 ust. 6 u.ś.u.d.e. przewiduje, iż usługodawca udziela informacji o danych, o których mowa w ust. 1-5. organom państwa na potrzeby prowadzonych przez nie postępowań. Przepis art. 18 ust. 5 pkt 2) u.ś.u.d.e. zalicza do danych eksploatacyjnych oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca (Usługodawca może przetwarzać następujące dane charakteryzujące sposób korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną (dane eksploatacyjne): oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca). Należy więc przyjąć, iż u.ś.u.d.e. wprowadza w stosunku do udostępniania danych eksploatacyjnych odrębną regulację, a możliwość odpowiedniego stosowania u.o.d.o. przewiduje wyłącznie w stosunku do przetwarzania danych osobowych, którą to instytucję (art. 18 ust. 1) u.ś.u.d.e. wyraźnie odróżnia od danych eksploatacyjnych (art. 18. ust. 5), w zakresie których brak jest w ustawie o świadczeniu usług drogą elektroniczną odesłania do regulacji ustawy o ochronie dóbr osobistych. Sąd pierwszej instancji podzielił stanowisko skarżącej, iż u.ś.u.d.e. wprowadza własne, odrębne uregulowania w zakresie udostępniania danych eksploatacyjnych (w tym adresy IP), które nie przewidują udzielania informacji o takich danych podmiotom innym niż organy państwa. GIODO w uzasadnieniu decyzji nietrafnie podnosi, iż art. 18 ust. 6 u.ś.u.d.e. nie ogranicza możliwości udostępnienia informacji, o których mowa w art. 18 ust. 1- 5, do organów państwa na potrzeby prowadzonych przez nie postępowań, albowiem nie zawiera wskazania "wyłącznie" w odniesieniu do wymienionych organów.

Sąd pierwszej instancji przychylił się do poglądu skarżącej, że zgodnie z art. 18 ust. 6 u.ś.u.d.e. jedynym uprawnionym do uzyskania danych eksploatacyjnych, gromadzonych przez usługodawcę w rozumieniu u.ś.u.d.e., są organy państwa. Omawiana ustawa nie zawiera innego przepisu, który stanowiłby podstawę wydawania danych podmiotom innym niż organy państwa. Zdaniem Sądu należy podzielić zapatrywanie skarżącej, że gdyby wolą ustawodawcy było nadanie uprawnienia do pozyskania danych eksploatacyjnych innym podmiotom niż organy państwa, zawarłby w ustawie wyraźną normę przewidującą takie uprawnienie. Zasadą jest bowiem podleganie danych eksploatacyjnych ochronie. Usługodawca może przetwarzać dane osobowe i eksploatacyjne tylko w zakresie i na zasadach szczegółowo określonych w u.ś.u.d.e. Dopiero w zakresie nieuregulowanym w u.ś.u.d.e. przetwarzanie tych danych może następować w oparciu o odpowiednie zastosowanie u.o.d.o. Udostępnianie danych podmiotom trzecim - takim jak P. - stanowi przełamanie tej ochrony i jako wyjątek od zasady nie może być interpretowane rozszerzająco. Zgodnie z uregulowaniami przepisów postępowania karnego, wydawanie informacji takich jak adres IP komputera może nastąpić wyłącznie na żądanie sądu lub prokuratora, zawarte w odpowiednim postanowieniu wydanym na podstawie art. 218 w związku z art. 236a k.p.k. Art. 236a k.p.k. przewiduje, iż do dysponenta i użytkownika urządzenia, zawierającego dane informatyczne lub systemu informatycznego, w zakresie danych przechowywanych w tym urządzeniu lub systemie, albo na nośniku znajdującym się w jego dyspozycji lub użytkowaniu, w tym korespondencji przesyłanej drogą elektroniczną, stosuje się odpowiednio przepisy rozdziału 25 k.p.k. Zgodnie zaś z art. 218 § 1 k.p.k., wydanie korespondencji i przesyłek oraz wykazów połączeń telekomunikacyjnych lub innych przekazów informacji, w tym korespondencji przesyłanej pocztą elektroniczną, z uwzględnieniem czasu ich dokonania i innych danych związanych z połączeniem lub przekazem, niestanowiących treści rozmowy telefonicznej lub innego przekazu informacji, może nastąpić tylko na żądanie prokuratora lub sądu, zawarte w postanowieniu. Pobieżna choćby analiza tych wyżej cytowanych przepisów k.p.k. prowadzi do wniosku o zasadności konkluzji skargi, że osoba niebędąca organem ochrony prawnej może żądać udostępnienia danych osobowych w sposób prostszy i bardziej skuteczny niż organ ścigania, którego ustawodawca wyposażył w środki mające na celu ochronę praworządności, a który jednocześnie, z racji działania na podstawie prawa i w jego granicach, daje w większym stopniu rękojmię ochrony uzyskanych danych i wykorzystania ich zgodnie z celem udostępnienia. Byłaby to konsekwencja przyjęcia stanowiska, iż art. 29 ust. 2 u.o.d.o. stanowi właściwą podstawę do udostępnienia danych w omawianej sprawie. Taka intepretacja wchodzących w grę przepisów nie może jednak mieć miejsca.

Sąd pierwszej instancji zgodził się ze stanowiskiem A. , że skoro ustawodawca przewidział w postępowaniu karnym regulację, w myśl której wydanie danych takich jak adresy IP użytkowników korzystających z sieci Internet może nastąpić wyłącznie na podstawie wydanego przez sąd lub prokuratora postanowienia, to przyjęcie, iż P. jako podmiot niebędący organem ochrony prawnej może żądać udostępnienia danych osobowych w sposób prostszy i bardziej skuteczny niż organ ścigania stoi w rażącej sprzeczności z obowiązującym przy dokonywaniu wykładni prawa założeniem ustawodawcy racjonalnego.

Sąd pierwszej instancji podzielił również zastrzeżenie skarżącej, że nawet gdyby przyjąć możliwość stosowania art. 29 ust. 2 u.o.d.o., to nie można uznać za wystarczającą motywację wniosku P. Sp. z o.o. Sp. k., dotyczącą samego zamiaru ochrony swych praw przed sądem. Na pewno nie jest to motywacja wystarczająco uzasadniająca potrzebę posiadania danych. Brak jest w obecnym stanie prawnym instrumentów prawnych, pozwalających na kontrolę celu w jakim osoba domagająca się wydawania danych w rzeczywistości dane te wykorzysta. W konsekwencji wydanie danych użytkowników internetowych forów dyskusyjnych w oparciu o art. 29 ust. 2 u.o.d.o. prowadziłoby do naruszenia ich praw i wolności. Rację ma skarżąca twierdząc, iż odmowa udostępnienia danych podmiotom innym niż organy państwa nie zamyka takim podmiotom jak P. drogi do dochodzenia ochrony swych praw na drodze postępowania karnego czy cywilnego. Zarówno prokuratorzy, jak i sądy nie odmawiają wszczęcia postępowań wobec braku danych domniemanego sprawcy, a przy użyciu dostępnych im środków prawnych ustalają niezbędne informacje. Jak trafnie zauważyła skarżąca, P. Sp. z o.o. Sp. k. znane są wyżej opisane procedury i możliwości wszczęcia postępowania, gdyż na jej wniosek sądy i prokuratury już wcześniej zwracały się do skarżącej o udostępnienie danych. Zasadna jest konkluzja skargi, iż P. zdaje sobie sprawę z tego, iż uzyskanie przez nią danych na podstawie u.o.d.o. bezpośrednio od Skarżącej nie jest konieczne do osiągnięcia zamierzonych celów. A. prezentuje również wątpliwość, czy w ogóle w przedmiotowej sprawie celem uzyskania danych rzeczywiście jest dochodzenie przez P. ochrony na drodze sądowej, skoro wcześniej dane te uzyskiwała wszczynając stosowne postępowania przez sądami i prokuraturami.

Sąd pierwszej instancji podkreślił, że będąca przedmiotem sprawy sytuacja nie jest i nie może być postrzegana jako bezzasadna ochrona osób, dopuszczających się bezprawnej ingerencji w sferę prawnie chronionych interesów innych podmiotów, przed ewentualną odpowiedzialnością za ich działania. Sąd, stojąc na straży prawidłowego stosowania obowiązujących przepisów, ma obowiązek podkreślenia, że proces udostępniania danych osobowych musi być poddany stosownej kontroli organów państwa, dokonujących właściwej weryfikacji żądań. Nie jest możliwe przyjęcie odmiennego stanowiska, gdyż prowadziłoby ono do wydawania adresów IP komputerów użytkowników internetowych forów dyskusyjnych w oparciu o art. 29 ust. 2 u.o.d.o. każdemu podmiotowi, który wystąpi o udostępnienie mu danych, tylko na podstawie jego zapewnienia, iż są mu one potrzebne do dochodzenia roszczeń na drodze sądowej. Ustawa, której celem jest ochrona danych, na pewno w zamiarze ustawodawcy nie miała umożliwiać niekontrolowanego wypływu danych. Brak instrumentów, pozwalających na jakąkolwiek kontrolę wykorzystania udostępnionych danych, powoduje, że nie ma żadnych gwarancji, ani możliwości sprawdzenia, że udostępnione dane zostaną wykorzystane wyłącznie w (planowanym) postępowaniu sądowym. W hipotetycznej sytuacji podmioty mogłyby przecież wykorzystywać uzyskane w ten sposób informacje o użytkownikach forów internetowych w celach innych niż wszczęcie postępowań sądowych, w celach nie mających nic wspólnego z realizacją praw, wynikających z ochrony dóbr osobistych, naruszonych wpisami. Słusznie zauważyła też skarżąca, że w niniejszej sprawie występuje zależność pomiędzy P. , a niektórymi autorami wpisów, którzy podpisali z tą spółką umowy i w związku z tym pozostają z nią w stosunku zależności. Zdaniem Sądu pierwszej instancji całkowicie podzielić należy zarzut skargi, że naruszenie praw i wolności użytkowników forum portalu G. jest szczególnie widoczne i wymowne w zakresie w jakim GIODO nakazał wydanie danych w zakresie logowania tych użytkowników z chwil innych, niż chwila opublikowania spornych wypowiedzi. Są to bowiem informacje pozostające bez związku z niniejszą sprawą i podnoszonymi przez P. zarzutami naruszenia jej praw i dóbr osobistych.

Skargę kasacyjną od powyższego wyroku wniósł Generalny Inspektor Ochrony Danych Osobowych zarzucając mu:

1. naruszenie prawa materialnego, o którym mowa w art. 145 § 1 pkt 1 lit. a p.p.s.a., które miało wpływ na wynik sprawy, a konkretnie:

a) art. 18 ust. 1 i 5 ustawy o świadczeniu usług drogą elektroniczną przez ich błędną wykładnię prowadzącą do przyjęcia, iż u.ś.u.d.e. wprowadza w stosunku do udostępniania danych eksploatacyjnych odrębną regulację, a możliwość odpowiedniego stosowania ustawy o ochronie danych osobowych przewiduje wyłącznie w stosunku do przetwarzania danych osobowych, którą to instytucję (art. 18 ust. 1) u.ś.u.d.e. wyraźnie odróżnia od danych eksploatacyjnych (art. 18 ust. 5), w zakresie których brak jest w u.ś.u.d.e. odesłania do regulacji u.o.d.o.,

b) art. 18 ust. 6 u.ś.u.d.e. przez jego błędną wykładnię i w konsekwencji przyjęcie, że jedynym uprawnionym do uzyskania danych eksploatacyjnych, gromadzonych przez usługodawcę w rozumieniu u.ś.u.d.e., są organy państwa,

c) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, a konkretnie art. 145 § 1 pkt 1 lit. c p.p.s.a. poprzez jego niewłaściwe zastosowanie skutkujące niezasadnym uchyleniem zaskarżonej decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) października 2011 r. (znak: (...) ) i poprzedzającej ją decyzji z dnia (...) lipca 2011 r. (znale: (...) ), wobec błędnej oceny, że GIODO wydając zaskarżoną decyzję oparł się na art. 29 ust. 1 u.o.d.o., bezpodstawnie pomijając regulacje przewidziane w u.ś.u.d.e. oraz art. 152 p.p.s.a. poprzez nie zawarcie w wyroku określenia, w jakim zakresie zaskarżona decyzja nie może być wykonana.

Powołując się na wymienione podstawy skargi kasacyjnej wniesiono o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie.

W odpowiedzi na skargę kasacyjną A. S. A. wniosła o jej oddalenie oraz zasądzenie kosztów postępowania według norm przepisanych.

Naczelny Sąd Administracyjny zważył, co następuje:

Skarga kasacyjna nie zasługuje na uwzględnienie.

Zgodnie z art. 183 § 1 p.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują przesłanki nieważności określone w art. 183 § 2 p.p.s.a., zatem Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.

Stosownie do art. 174 pkt. 1 i 2 p.p.s.a., skarga kasacyjna może być oparta na następujących podstawach: naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie, a także na naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy.

Wniesiona w niniejszej sprawie skarga kasacyjna oparta została na obydwu podstawach kasacyjnych. Pierwszy z zarzutów dotyczy naruszenia przez Sąd pierwszej instancji przepisów prawa materialnego tj. art. 18 ust. 1 i 5 u.ś.u.d.e. W opinii wnoszącego skargę kasacyjną Sąd pierwszej instancji błędnie przyjął, że ustawa ta wprowadza w stosunku do udostępniania danych eksploatacyjnych odrębną regulację, a możliwość odpowiedniego stosowania u.o.d.o. przewiduje wyłącznie w stosunku do przetwarzania danych osobowych, którą to instytucję u.ś.u.d.e. wyraźnie odróżnia od danych eksploatacyjnych, w zakresie których brak jest w u.ś.u.d.e. odesłania do regulacji u.o.d.o.

Problem ten w istocie sprowadza się do odpowiedzi na pytanie, czy możliwe było, w rozpoznawanej sprawie, zastosowanie obowiązującego w dacie wydania decyzji art. 29 ust. 2 ustawy o ochronie danych osobowych, czy też zgodnie ze stanowiskiem Sądu I instancji, art. 18 ust. 6 u.ś.u.d.e. wyłączał udostępnianie danych podmiotom innym niż wskazane w tym przepisie. O trafności tego stanowiska zdaje się świadczyć treść powołanej wcześniej normy , z której wynika , że usługodawca udziela informacji o danych ( w tym o danych identyfikujących usługobiorcę ) organom państwa na potrzeby prowadzonych przez nie postępowań. Przepis ten jest przeniesieniem na grunt prawa krajowego art. 4 Dyrektywy 2006/24/WE Parlamentu europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE. Takiemu rozumieniu norm prawa europejskiego - a w konsekwencji również prawa krajowego - sprzeciwia się Europejski Trybunał Sprawiedliwości w wyroku z dnia 19 kwietnia 2012r. Bonnier Audio i In. przeciwko Perfect Communication Sweden AB, sygn C – 461/ 10 , który stwierdza , że przepisy prawa unijnego, w tym art. 3-5 powołanej wcześniej dyrektywy, nie sprzeciwiają się normom krajowym umożliwiającym wydanie nakazu udostępniania danych osobowych abonenta usług internetowych ( w tym adresu IP ) na potrzeby sądowego postępowania cywilnego, jeżeli przy wydawaniu nakazu dokonane zostanie wyważenie przeciwstawnych interesów – stosownie do okoliczności każdego przypadku oraz przy należytym uwzględnieniu wymogów wynikających z zasady proporcjonalności . W sprawie toczącej się przed Trybunałem przedmiotem ochrony było prawo własności intelektualnej. Dobrami równie chronionymi przez prawo unijne są prawo do ochrony dobrego imienia, wizerunku czy wiarygodności przedsiębiorcy. Zdaniem Naczelnego Sądu Administracyjnego z zaprezentowanego wyroku ETS – u wynika , że przepisy Dyrektywy 2006/24/WE z 15 marca 2006 r. , a więc także oparty na nich art.18 ust.6 u.ś.u.d.e., nie wykluczają ujawnienia tożsamości abonenta naruszającego podstawowe prawa i wolności. Trafne jest zatem stanowisko organu, że możliwe i uprawnione było, w niniejszej sprawie zastosowanie art. 29 ust.2 ustawy o ochronie danych osobowych. Stosownie do art. 16 u.ś.u.d.e., do przetwarzania danych osobowych w rozumieniu u.o.d.o. w związku ze świadczeniem usług drogą elektroniczną stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej. Z brzmienia art. 18 ust.6 u.ś.u.d.e. wynika jedynie obowiązek udzielenia informacji o danych , organom państwa na potrzeby prowadzonych przez nie postępowań. Nie wynika natomiast zakaz udostępniania tych danych osobom , których prawa zostały naruszone. Zarówno jednak organ nakazujący ujawnienie danych , jak i sąd administracyjny rozpoznający skargę na tego rodzaju decyzję , muszą każdorazowo, przy uwzględnieniu indywidualnych okoliczności danej sprawy dokonać wyważenia przeciwstawnych interesów jakimi są prawo do ochrony danych osobowych i prawo do ochrony czci, godności , dobrego imienia czy też wizerunku firmy. Należy przy tym w sposób należyty uwzględniać wymogi wynikające z zasady proporcjonalności , tak aby stosowane środki były adekwatne do zagrożenia dobra wymagającego w danej sprawie większej ochrony. Wyrażony wcześniej pogląd jest zgodny z normami konstytucyjnymi, a zwłaszcza z art.31 ust. 2 i 3 Konstytucji RP z którego wynika , że każdy jest obowiązany szanować wolności i prawa innych , a ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane w ustawie i tylko wtedy gdy są konieczne m.in. dla ochrony wolności i praw innych osób. Przepisy ustawy o ochronie danych osobowych pozwalające na ujawnienie tych danych we wskazanych w ustawie przypadkach są właśnie takim wyjątkiem pozwalającym osobie, której prawa naruszono, dochodzić należnej jej w demokratycznym państwie ochrony. Natomiast osoba dokonująca tych naruszeń musi mieć świadomość, że nie może nadużywać swoich praw naruszając prawa innych. Nie ma to nic wspólnego z ograniczaniem zasady wolności słowa. Wolność wyrażania swoich poglądów związana jest z ponoszeniem za poglądy te odpowiedzialności. Każdy kto wypowiada się publicznie, poza Internetem , ma świadomość co do ewentualnych konsekwencji wypowiedzi, które naruszają podstawowe , ustawowo chronione prawa innych osób. Nieuzasadnione niczym jest natomiast twierdzenie, że ktoś wypowiadający się anonimowo , w sposób naruszający dobra innych podmiotów ma podlegać szczególnej ochronie i to jego dane osobowe są dobrem , które ustawodawca miał zamiar chronić w pierwszej kolejności.

Udostępnianie danych osobowych jest jedną z operacji wykonywanych na danych osobowych w ramach ich przetwarzania (art. 7 pkt 2 u.o.d.o.). Przed dokonaną nowelizacją ustawy o ochronie danych osobowych (do 07 marca 2011 r.) ustawodawca przewidywał udostępnienie danych osobowych osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa (np. Policji lub Agencji Bezpieczeństwa Wewnętrznego) oraz innym osobom i podmiotom (na pisemny i umotywowany wniosek), ale musiały one w sposób wiarygodny uzasadnić potrzebę ich posiadania (art. 29 u.o.d.o.). Udostępnienie danych nie mogło jednak naruszać praw i wolności osoby, której dane dotyczyły. W wyniku wejścia w życie nowych przepisów (ustawa z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw – Dz. U. z 2010 r., nr 229, poz. 1497), które uchyliły art. 29 ustawy o ochronie danych osobowych, nie ma obecnie przepisu, który jednoznacznie wskazywałby na możliwość uzyskania danych osobowych, co spowodowało powstanie luki prawnej w zakresie zasad udostępniania danych osobowych, w tym określenia podstawy udostępnienia danych. Celem zmiany u.o.d.o. poprzez wykreślenie art. 29 było dostosowanie polskiego ustawodawstwa do przepisów prawa UE. Wiarygodne uzasadnienie potrzeby posiadania danych osobowych nie powinno zdaniem ustawodawcy stanowić samoistnej przesłanki udostępnienia danych osobie trzeciej. Uchylenie art. 29 ustawy miało również mieć charakter porządkujący. Nieuzasadnione było poddanie odrębnemu reżimowi wyłącznie procesu udostępniania danych osobowych w celach innych niż włączenie do zbioru, w sytuacji, gdy istnieją generalne zasady - określone w art. 23 ust. 1 i art. 27 ust. 2 ustawy - regulujące legalność przetwarzania, a zatem również udostępniania danych. Obecnie obowiązujący stan prawny pozwala na wysnucie wniosku, iż w ramach obowiązującego prawa można domagać się ujawnienia danych, jakie zgromadził administrator serwisu internetowego poprzez stosowanie mniej restrykcyjnej ustawy niż u.ś.u.d.e., czyli u.o.d.o., a konkretniej art. 23 tej ustawy (poprzez przetwarzanie danych, w tym ich udostępnianie), ale pod pewnymi warunkami. Warunkami tymi są proporcjonalność środków i celów oraz równowaga pomiędzy ochroną różnych dóbr: wolności wypowiedzi i prawa do ochrony dóbr osobistych. Podmiot żądający udostępnienia danych osobowych musi swoje stanowisko uzasadnić. Wedle art. 23 ust. 1 pkt 5 muszą być to "prawnie usprawiedliwione cele". W przypadku odmowy udostępnienia danych przez podmiot, będący ich administratorem, strona może złożyć wniosek do GIODO, który po przeprowadzeniu stosownego postępowania może w drodze decyzji nakazać udostępnienie danych osobowych. Istotna w tym zakresie jest ocena GIODO, która powinna być uzależniona od okoliczności konkretnej sprawy, bowiem zarówno u.ś.u.d.e., jak i u.o.d.o. będzie miała w tym zakresie zastosowanie. Podejmując decyzję, GIODO musi w każdej indywidualnej sprawie ocenić, które dobra chronione przez prawo są ważniejsze – dane osobowe czy interes gospodarczy przedsiębiorstwa. Organ stwierdzi więc, czy żądane przez wnioskodawcę dane rzeczywiście są mu potrzebne po to, aby wszcząć postępowanie sądowe, czy też tylko po to, by dowiedzieć się, kto jest autorem wpisu zamieszczonego w Internecie. Administrator może przekazać dane wyłącznie, gdy zgłaszający oświadczy, że ma uzasadniony interes prawny (planuje cywilny pozew, a do jego skutecznego wniesienia potrzebuje dane osoby naruszającej dobra osobiste). Zasadność żądania danych powinna być jednak oceniana każdorazowo czy to przez dysponenta danych, czy ewentualnie przez GIODO. Stronie niezadowolonej z rozstrzygnięcia organu przysługuje w takim wypadku uprawnienie do wniesienia skargi do sądu administracyjnego.

W konsekwencji należy stwierdzić, że na gruncie prawa polskiego, udostępnienie danych dla potrzeb postępowania sądowego ma podstawę, co potwierdza omówiony wcześniej wyrok Europejskiego Trybunału Sprawiedliwości z 19.04.2012 r. Bonnier Audio i in. przeciwko Perfect Communication Sweden AB, C-461/10, (por. A. Jakubowski, glosa do wyroku NSA z 19.05.2011 r., I OSK 1079/10, MP nr 18, 2012 r., s 997).

Skarga kasacyjna złożona w niniejszej sprawie przez GIODO nie zasługiwała jednak na uwzględnienie, ponieważ organ nie wyważył interesów stron postępowania – podmiotu żądającego ujawnienia danych osobowych oraz administratora tych danych i osób, których dane te dotyczą. W niniejszej sprawie toczą się już dwa postępowania karne, których ani prokuratura ani też sąd nie umorzyły. Żądane przez wnioskodawcę dane osobowe zostały już udostępnione przez administratora danych na polecenie prokuratury i sądu. Powyższe czyni wątpliwym zasadność kolejnego żądania udostępnienia danych osobowych w trybie administracyjnym. Zarówno toczące się postępowania karne, jak i szeroki zakres danych, jaki został już udostępniony skarżącej spółce czyni nieproporcjonalnym kolejne nakazanie udostępnienia tych danych, tym razem przez GIODO. Tak więc pomimo, iż art.18 ust. 6 u.ś.u.d.e. nie wyklucza stosowania ustawy o ochronie danych osobowych, to interesy osób, których dane osobowe miałyby zostać ujawnione w trybie administracyjnym nie zostały przez organ wzięte pod uwagę. Trzeba również zgodzić się z Sądem I instancji, że zbyt szeroki zakres decyzji narusza prawa i wolności użytkowników forum w zakresie logowania z chwil innych niż chwila opublikowania spornych wypowiedzi.

Mając na uwadze powyższe Naczelny Sad Administracyjny orzekł jak w sentencji wyroku na podstawie art. 184 p.p.s.a. Podstawę orzeczenia o kosztach postępowania stanowił art. 204 pkt 2 p.p.s.a.