Centralna Baza Orzeczeń Sądów Administracyjnych

1. Informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej wprost, jak i taka, która odnosi się bezpośrednio do przedmiotów czy urządzeń, ale poprzez możliwość powiązania tych przedmiotów czy urządzeń z określoną osobą pośrednio stanowi informację także o niej samej.

2. Tam gdzie adres IP jest na dłuższy okres czasu lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową, jest to bowiem informacja umożliwiająca identyfikację konkretnej osoby fizycznej.

3. Internet często pozornie, a czasami faktycznie zapewnia anonimowość jego użytkownikom. Stanowi medialne forum, na którym prezentowane są treści naruszające ludzką godność, cześć i dobre imię. Dlatego też wszędzie tam gdzie numer IP pozwala pośrednio na identyfikację konkretnej osoby fizycznej powinien on być uznany za dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych. (Dz. U. z 2002 r., Nr 101, poz. 926 ze zm.). Odmienna interpretacja byłaby sprzeczna z normami konstytucyjnymi zawartymi w art. 30 i 47 Konstytucji RP.

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Anna Lech Sędziowie sędzia NSA Irena Kamińska (spr.) sędzia del. NSA Tomasz Zbrojewski Protokolant asystent sędziego Małgorzata Penda po rozpoznaniu w dniu 19 maja 2011 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej G. sp. z o.o. z siedzibą w Warszawie od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 lutego 2010 r. sygn. akt II SA/Wa 1598/09 w sprawie ze skargi G. z siedzibą w Warszawie na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) lutego 2009 r. nr (...) w przedmiocie ochrony danych osobowych oddala skargę kasacyjną.

Wyrokiem z dnia 3 lutego 2010 r., sygn. akt II SA/Wa 1598/09 Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę O. Sp. z o.o. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia (...) lutego 2009 r. Nr (...) w przedmiocie ochrony danych osobowych.

W uzasadnieniu wyroku Sąd pierwszej instancji wskazał, iż M. R. , działając przez pełnomocnika, w dniu 1 lipca 2008 r. złożyła do Generalnego Inspektora Ochrony Danych Osobowych (zwanego dalej Generalnym Inspektorem) wniosek o nakazanie O. Sp. z o.o. z siedzibą w Warszawie przy ul. (...) (zwanej dalej Spółką) udostępnienia danych osobowych – numerów IP osób, które w dniu 17 lutego 2006 r. załogowały się i dokonały wpisów na portalu kafeteria.pl – forum: dyskusja ogólna, temat: dziecko M. pod nickami: "j. " i "p. ".

Powyżej określony wniosek został uzasadniony w ten sposób, iż "przedmiotowe dane są niezbędne do wypełnienia prawnie usprawiedliwionych celów skarżącej, w postaci wytoczenia powództwa o ochronę dóbr osobistych (...)".

Generalny Inspektor, po przeprowadzeniu postępowania administracyjnego, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz.U. z 2000 r. Nr 98, poz. 1071 ze zm.) – zwanej dalej k.p.a., art. 6, art. 12 pkt 2, art. 22 i art. 18 ust. 1 pkt 2 w zw. z art. 29 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), w dniu 26 listopada 2008 r. wydał decyzję nr DOLiS/DEC-761/08/32701, 32702, którą nakazał Spółce udostępnienie wnioskodawczyni – M. R. informacji o osobach, które w dniu 17 lutego 2006 r. zalogowały się i dokonały wpisów na portalu internetowym kafeteria.pl, forum: dyskusja ogólna, temat: dziecko Maryli, posługujących się nickami "j. " i "p. " – w zakresie obejmującym informację o numerach IP z powyżej określonej daty logowania.

W uzasadnieniu decyzji organ podał m.in., iż kluczową z punktu widzenia rozstrzygnięcia niniejszej sprawy była kwestia ustalenia, czy wnioskowane przez wnioskodawczynię informacje stanowią dane osobowe w rozumieniu art. 6 ustawy o ochronie danych osobowych, czy też nie mieszczą się w tym pojęciu.

Generalny Inspektor stwierdził, że wnioskowane informacje stanowią dane osobowe osób, które w dniu 17 lutego 2006 r. zalogowały się na portalu internetowym kafeterii.pl i dokonały na nim kwestionowanych wpisów. Organ za bezzasadny uznał argument spółki, iż numeru IP nie można uznać za informację o osobie, a jedynie za "informację o numerze interfejsu lub sieci, przy wykorzystaniu którego lub której miała miejsce komunikacja polegająca na dokonaniu (...) kwestionowanych wpisów (...). Dalej organ wyjaśnił, że ustawa definiuje dane osobowe jako informacje dotyczące osoby zidentyfikowanej bądź możliwej do zidentyfikowania, a zatem informacje, które wiążą się z określoną osobą – choćby pośrednio – niosą pewien komunikat o niej. W tym sensie informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej wprost, jak i taka, która bezpośrednio odnosi się np. do przedmiotów, urządzeń, ich funkcjonowania itp., jednak z uwagi na możliwość ich powiązania z określoną osobą – pośrednio stanowi informację także o niej samej, tożsamości, cech lub zachowania danej osoby lub też informacje te determinują lub też wpływają na sposób traktowania lub ocenę danej osoby.

W ocenie Generalnego Inspektora numery IP osób, które w dniu 17 lutego 2006 r. zalogowały się na portalu internetowym kafeterii.pl i dokonały na nim kwestionowanych wpisów odnoszą się do osób możliwych do zidentyfikowania. Co więcej, w ocenie organu zasadniczym celem zbierania i przechowywania (przetwarzania) informacji o numerach IP jest możliwość ewentualnej identyfikacji posługujących się nimi osób. Organ zwrócił również uwagę na to, że w niniejszej sprawie Spółka nie zanegowała możliwości dokonania identyfikacji osób, które w określonej dacie, posługując się pseudonimami, dokonały logowania na portalu kafeteria.pl i zamieściły na nim kwestionowane wpisy – na podstawie ich numerów (adresów IP), lecz podkreśliła, że wnioskodawczyni nie może dokonać jej samodzielnie. W niniejszej sprawie wniosek o udostępnienie adresów IP został uzasadniony zamiarem dokonania identyfikacji osób, które posługując się nickami "j. " i "p. " dokonały w dacie logowania kwestionowanych wpisów, a następnie dochodzenia wobec nich, na drodze sądowej, roszczeń z tytułu naruszenia dóbr osobistych. Spółka nie zanegowała możliwości takiej identyfikacji, choć podkreśliła, iż sama nie może tego uczynić. Skierowany do Spółki wniosek o udostępnienie przedmiotowych adresów IP, w ocenie Generalnego Inspektora, odpowiada wymogom określonym w art. 29 ust. 3 ustawy o ochronie danych osobowych. Podano w nim bowiem informacje umożliwiające wyszukanie wnioskowanych danych (poprzez wskazanie nicków, szczegółów daty logowania i tematu wpisów zamieszczonych na określonym portalu internetowym przez osoby posługującymi się tymi nickami), określono zakres wnioskowanych danych oraz ich przeznaczenie. Zdaniem Generalnego Inspektora udostępnienie żądanych we wniosku informacji znajduje uzasadnienie w art. 29 ust. 2 ustawy o ochronie danych osobowych.

Według organu oczywistym jest, iż pozyskanie (przetwarzanie) danych osobowych w celu określonym w tym wniosku w każdym przypadku zostanie uznane przez osoby, których te dane dotyczą, za sprzeczne z ich interesem. Okoliczność ta –zwłaszcza mając na uwadze prawne gwarancje obrony przed roszczeniami strony przeciwnej – nie świadczy jednak o naruszeniu ich praw i wolności. Przyjęcie przeciwnego stanowiska skutkowałoby bezzasadną ochroną tego, kto mógł dopuścić się bezprawnej ingerencji w sferę prawnie chronionych interesów innej osoby. Generalny Inspektor dodał, że Spółka, odmawiając udostępnienia wnioskowanych informacji podniosła dodatkowo, że zadośćuczynienie przedmiotowemu wnioskowi naraziłoby ją na zarzut naruszenia tajemnicy telekomunikacyjnej statuowaną w art. 159 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. Nr 171, poz. 1800 ze zm.). Generalny Inspektor nie podzielił jednak tej obawy. Z powyższego przepisu wynika bowiem, iż tajemnica telekomunikacyjna nie ma charakteru bezwzględnego i zezwala na szeroko rozumiane wykorzystywanie danych osobowych użytkownika, znajdujących się w posiadaniu operatora, przez podmioty inne niż nadawca i odbiorca komunikatu, o ile jest to niezbędne z powodów określonych przepisami odrębnymi, natomiast – jak wykazano – w niniejszej sprawie warunek ten został spełniony.

Od decyzji Generalnego Inspektora z dnia 26 listopada 2009 r. zobowiązana Spółka złożyła do tego organu wniosek o ponowne rozpatrzenie sprawy.

We wniosku zobowiązana Spółka przedmiotowej decyzji zarzuciła błędną wykładnię i naruszenie:

1) art. 6 ustawy o ochronie danych osobowych, poprzez uznanie, iż informacje o numerach IP, z których określone osoby dokonały logowania do serwisu posługując się nickami "j. " i "p. ", następnie dokonały wpisów na portalu internetowym kafeteria.pl, stanowią dane osobowe w rozumieniu powołanej ustawy i w związku z tym błędnie zastosowano jej przepisy do stanu faktycznego niniejszej sprawy,

2) art. 159 ust. 2 pkt 4 ustawy – Prawo telekomunikacyjne, poprzez uznanie, iż w niniejszej sprawie zachodzą ustawowe przesłanki do udostępnienia danych stanowiących tajemnicę telekomunikacyjną w rozumieniu tej ustawy

Generalny Inspektor, po rozpoznaniu wniosku o ponowne rozpatrzenie sprawy, na podstawie art. 138 § 1 pkt 1 k.p.a., art. 6, art. 12 pkt 2, art. 22 i art. 18 ust. 1 pkt 2 w zw. z art. 29 ust. 2 ustawy o ochronie danych osobowych, w dniu (...) lutego 2009 r. wydał decyzję nr (...) którą utrzymał w mocy zaskarżoną decyzję. W jej uzasadnieniu organ podtrzymał stanowisko przedstawione w uzasadnieniu poprzedzającej ją decyzji, jak również odniósł się do zarzutów podniesionych we wniosku o ponowne rozpatrzenie sprawy. Organ administracji nie podzielił nadto stanowiska strony skarżącej, iż udzielenie przedmiotowych informacji naraziłoby Spółkę na zarzut naruszenia tajemnicy telekomunikacyjnej. Prawo telekomunikacyjne dopuszcza bowiem zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu w sytuacji, gdy będzie to konieczne z innych powodów określonych ustawą lub przepisami odrębnymi. Stosownie do brzmienia art. 161 ust. 1 Prawa telekomunikacyjnego, z zastrzeżeniem ust. 2 treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej "przetwarzaniem", dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych. Organ administracji stwierdził, że pomimo zaznaczenia przez stronę skarżącą, iż w jej ocenie "nie jest ona zobligowana do udostępnienia treści objętych tajemnicą telekomunikacyjną w oparciu o (...) ustawę o ochronie danych osobowych (...)", stanowisko to, poza powołaniem argumentów o charakterze prawnoporównawczym nie zostało właściwie uzasadnione. Brak natomiast przesłanek, które istotnie uzasadniałyby wyłączenie z kategorii "ustawy lub przepisów odrębnych", o których mowa w art. 159 ust. 2 pkt 4 Prawa telekomunikacyjnego, czy "przepisów ustawowych", o których mowa w art. 161 ust. 1 zd. 2 Prawa telekomunikacyjnego, regulacji ustawy o ochronie danych osobowych.

Decyzja Generalnego Inspektora, utrzymująca w mocy decyzję poprzedzającą, stała się przedmiotem skargi wniesionej przez Spółkę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Strona skarżąca w skardze zarzuciła, że zaskarżona decyzja została wydana z naruszeniem przepisów prawa materialnego, tj.:

1) art. 6 ustawy o ochronie danych osobowych, poprzez błędną wykładnię i niewłaściwe zastosowanie prowadzące do uznania, iż informacje o numerach IP, z których określone osoby w dniu 17 lutego 2006 r. dokonały logowań do serwisu kafeteria.pl pod nickami "j. " i "p. " i – następnie – dokonały wpisów na jego forum stanowią dane osobowe w rozumieniu tej ustawy,

2) art. 18 powołanej ustawy, poprzez błędną wykładnię i zastosowanie w sytuacji, gdy strona skarżąca nie naruszyła przepisów ustawy o ochronie danych osobowych,

3) art. 29 ust. 2 ustawy o ochronie danych osobowych, poprzez błędną wykładnię i niewłaściwe zastosowanie polegające na przyjęciu, że zobowiązuje on stronę skarżącą do udostępnienia informacji osobom trzecim, w sytuacji gdy takie informacje nie mają charakteru danych osobowych,

4) art. 49 Konstytucji RP, poprzez jego niezastosowanie,

5) art. 159 ust. 2 i 3, art. 161 ust. 1 ustawy – Prawo telekomunikacyjne, poprzez błędną wykładnię i niewłaściwe zastosowanie, objawiające się uznaniem, iż udostępnienie przez stronę skarżącą żądanych informacji, spełnia przesłanki przetwarzania danych objętych tajemnicą telekomunikacyjną przez osoby inne niż odbiorca i nadawca komunikatu i nie narusza obowiązku zachowania tajemnicy telekomunikacyjnej w rozumieniu art. 159 tej ustawy.

Strona skarżąca, podnosząc powyższe zarzuty, wniosła o uchylenie zaskarżonej decyzji oraz decyzji ją poprzedzającej, wstrzymanie jej wykonania oraz o zasądzenie kosztów postępowania.

W uzasadnieniu skargi skarżąca Spółka podała m.in., że zaskarżona decyzja nie znajduje potwierdzenia we wskazanych w skardze przepisach prawa materialnego, a przedstawione w niej stanowisko zostało wyrażone w oderwaniu od okoliczności faktycznych sprawy. Wnioskodawczyni nie ma żadnej możliwości dokonania identyfikacji osób, które załogowały się i dokonały wpisów na portalu, gdyż nie dysponuje jakimikolwiek informacjami, które taką identyfikację by jej umożliwiały, choćby nawet pośrednio. Numery IP odnoszą się do oznaczenia urządzeń, a nie osób i same w sobie nie niosą informacji o konkretnej osobie. Zdaniem strony skarżącej, powiązanie przez wnioskodawczynię numerów IP, czyli informacji o urządzeniach, za pomocą których następowało logowanie i umieszczanie wpisów na forum serwisu kafeteria.pl z konkretną osoba fizyczną nie jest technicznie możliwe. W ocenie strony skarżącej ustalenia możliwości identyfikacji osoby nie można dokonywać w oderwaniu od sposobów i środków technicznych dostępnych administratorowi w czasie przetwarzania danych, przy czym jednocześnie nie powinny one wymagać nadmiernych kosztów, czasu lub działań. Czy dana informacja ma charakter danych osobowych, a więc czy umożliwia identyfikację konkretnej osoby fizycznej powinna być zawsze dokonywana w oparciu o aktualne w czasie przetwarzania możliwości administratora, nie zaś o potencjalną możliwość identyfikacji przy wykorzystaniu sposobów, które mogą stać się dostępne w przyszłości. Ustalenie przez wnioskodawczynię tożsamości osób, które załogowały się na portalu i dokonały kwestionowanych wpisów nie tylko wymaga nadmiernych środków, czasu i działań, ale jest praktycznie niemożliwe.

W odpowiedzi na skargę Generalny Inspektor wniósł o jej odrzucenie w związku z uchybieniem terminu do jej wniesienia. Równocześnie, w przypadku nie uwzględnienia tego wniosku, organ wniósł o oddalenie skargi i podtrzymał stanowisko przedstawione w uzasadnieniu zaskarżonej decyzji.

M. R. (uczestnik postępowania), reprezentowana przez pełnomocnika, wniosła o oddalenie skargi.

Wojewódzki Sąd Administracyjny w Warszawie w dniu 14 maja 2009 r. sygn. akt II SA/Wa 567/09 wydał postanowienie o odrzuceniu skargi, od którego została wniesiona skarga kasacyjna.

Naczelny Sąd Administracyjny w dniu 16 września 2009 r. wydał postanowienie sygn. akt I OSK 1157/09, którym uchylił zaskarżone postanowienie.

Wydając zaskarżony wyrok Sąd pierwszej instancji podniósł, iż z akt sprawy wynika, że uczestnik postępowania posiada informacje o dacie logowania, pseudonimach osób dokonujących tej czynności i treści dokonanych wpisów. W ocenie Sądu pierwszej instancji powyższe informacje, zestawione z numerami IP umożliwiają jednoznaczne określenie tożsamości osób, które naruszyły dobra osobiste uczestnika postępowania. Wobec powyższego Generalny Inspektor zasadnie przyjął, iż żądane przez uczestnika postępowania adresy IP stanowią w niniejszej sprawie dane osobowe w rozumieniu art. 6 ust. 1 ustawy o ochronie danych osobowych, a nakazanie ich udostępnienia stanowi realizację dyspozycji ust. 2 tego przepisu, tzn. stworzy możliwość zidentyfikowania osoby, bądź osób, których tożsamość można określić pośrednio. Sąd pierwszej instancji podkreślił, iż adres IP stanowi dane osobowe, gdy jest na stałe przypisany do określonego urządzenia, użytkowanego przez określony podmiot. Ta zależność powoduje, iż w określonych sytuacjach istnieje możliwość identyfikacji tego podmiotu, a taka sytuacja ma miejsce w rozpoznawanej sprawie. Co prawda sam adres IP komputera nie wystarcza do wskazania osoby, która z niego korzystała, ale w zestawieniu z innymi informacjami pozwala przypuszczać, że jej tożsamość można ustalić.

Zdaniem Sądu pierwszej instancji w rozpoznawanej sprawie, uczestnik postępowania potrzebę posiadania adresów IP (danych osobowych) uzasadnił zamiarem dochodzenia swoich praw przed sądem poprzez wniesienie powództwa o naruszenie dóbr osobistych, co jest wystarczającym uzasadnieniem udostępnienia danych osobowych, wykluczającym zarazem ewentualny zarzut naruszenia tajemnicy telekomunikacyjnej. Prawo do swobodnej, anonimowej wypowiedzi, nie może chronić osób, które naruszają prawa innych osób, od odpowiedzialności za wypowiedziane słowa. W sieci nikt nie jest i nie może być anonimowy. Wprawdzie ustalenie tożsamości danej osoby może być utrudnione, jednak z uwagi na to, że każdy komputer zostawia w internecie ślad – adres IP, za pomocą którego można ustalić komputer, z którego dokonano wpisu, stwarza to możliwość pośredniego ustalenia tożsamości osoby, która dokonała tego wpisu.

Sąd pierwszej instancji nie podzielił również stanowiska strony skarżącej o naruszeniu art. 159 ust. 2 i 3 i art. 161 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. Nr 171, poz. 1800 ze zm.). W niniejszej sprawie, zaistniała bowiem przesłanka określona w art. 159 ust. 2 pkt 4 powołanej ustawy, czyli ujawnienie adresu IP stało się konieczne z uwagi na dochodzenie ochrony dóbr osobistych według przepisów ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz.U. Nr 16, poz. 93 ze zm.).

Skargę kasacyjną od powyższego wyroku wniosła Grupa o2 sp. z o.o. zarzucając mu:

1. Naruszenie przepisów prawa materialnego tj:

a) art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych poprzez błędną wykładnię i niewłaściwe zastosowanie polegające na uznaniu, iż informacje o numerach IP urządzeń, przy użyciu których w dniu 17 lutego 2006 r. dokonano logowań do serwisu kafeteria.pl pod nickami "j. " i "p. " i następnie dokonano wpisów na forum serwisu kafeteria.pl są danymi osobowymi, czyli informacjami o osobach możliwych do zidentyfikowania choćby pośrednio, w przypadku gdy na podstawie adresów IP urządzenia, którym się posługiwano przy dokonywaniu powyższych czynności, określenie przez Skarżącą tożsamości osób, które poprzez kwestionowane wpisy mogły naruszyć dobra osobiste uczestniczki postępowania Pani M. R. , nie jest możliwe,

b) art. 6 ust. 3 ustawy o ochronie danych osobowych poprzez błędną wykładnię i niewłaściwe zastosowanie polegające na uznaniu, że informacje o adresach IP urządzeń, przy użyciu których w dniu 17 lutego 2006 r. dokonano logowań do serwisu kafeteria.pl pod nickami "j. " i "p. " i – następnie – dokonano wpisów na forum serwisu kafeteria.pl stanowią dane osobowe osób, które poprzez kwestionowane wpisy mogły naruszyć dobra osobiste uczestniczki postępowania Pani M. R. , pomimo że ustalenie przez Skarżącą tożsamości tych osób za pomocą adresu IP urządzenia, którym się posługiwały przy dokonywaniu powyższych czynności, pociąga za sobą nadmierne koszty, nakład czasu i działania (a nadto w świetle przepisów prawa byłoby działaniem nielegalnym),

c) art. 29 ust. 2 w zw. z art. 5 ustawy o ochronie danych osobowych poprzez jego niewłaściwe zastosowanie polegające na uznaniu, iż Skarżąca jest zobowiązana do udostępnienia uczestniczce postępowania informacji o adresach IP urządzeń, przy użyciu których w dniu 17 lutego 2006 r. dokonano logowań do serwisu kafeteria.pl pod nickami "j. " i "p. " i – następnie – dokonano wpisów na forum serwisu kafeteria.pl, ze względu na uzasadnioną potrzebę ich posiadania związaną z zamiarem wniesienia powództwa o naruszenie dóbr osobistych w sytuacji, gdy zastosowanie tego przepisu do danych objętych tajemnicą telekomunikacyjną na podstawie art. 5 tej ustawy zostało wyłączone, z uwagi na fakt, iż przepisy ustawy Prawo telekomunikacyjne, określające zasady przetwarzania, w tym udostępniania danych objętych tajemnicą telekomunikacyjną, przewidują dalej idącą ochronę,

d) naruszenie 159 ust. 2 i 3 Prawa telekomunikacyjnego w zw. z art. 49 Konstytucji RP poprzez błędną wykładnię i niewłaściwe zastosowanie polegające na uznaniu, iż udostępnienie przez Skarżącą informacji o adresach IP urządzeń, przy użyciu których w dniu 17 lutego 2006 r. dokonano logowań do serwisu pod wyżej powołanymi nickami i – następnie – dokonano wpisów na forum serwisu kafeteria.pl, spełnia przesłankę przetwarzania danych objętych tajemnicą telekomunikacyjną przez osoby inne niż odbiorca i nadawca komunikatu określoną w art. 159 ust. 2 pkt 4 i nie narusza obowiązku zachowania tajemnicy telekomunikacyjnej w rozumieniu art. 159 ust. 1 Prawa telekomunikacyjnego, gdyż jest to konieczne dla dochodzenia ochrony dóbr osobistych według przepisów kodeksu cywilnego;

2. Naruszenie przepisów postępowania tj. art. art. 134 § 1 p.p.s.a. w zw. z art. 151 p.p.s.a. oraz art. 145 ust. 1 pkt c/ p.p.s.a. w zw. z art. 7,77 § 1 oraz 80 k.p.a. poprzez nierozpoznanie całokształtu sprawy i oddalenie skargi w sytuacji naruszenia przez Generalnego Inspektora przepisów postępowania administracyjnego, a tym samym naruszenie art. 145 ust. 1 pkt c/ poprzez nieuwzględnienie skargi w sytuacji, gdy doszło do naruszenia przez Generalnego Inspektora przepisów postępowania w stopniu mogącym mieć istotny wpływ na wynik postępowania, mianowicie naruszenia art. 7, 77 § 1 oraz art. 80 k.p.a. poprzez niedokonanie ustaleń faktycznych w sprawie w zakresie możliwości ustalenia przez Skarżącą na podstawie informacji o adresach IP urządzeń, przy użyciu których dokonano logowań do serwisu internetowego kafeteria.pl pod nickami "j. " i "p. " a następnie dokonano kwestionowanych wpisów na forum serwisu, tożsamości osób, które dokonały kwestionowanych wpisów oraz w zakresie czy ustalenie przez Skarżącą tożsamości tych osób nie pociąga za sobą nadmiernych kosztów, czasu lub działań.

Powołując się na wymienione podstawy skargi kasacyjnej wniesiono o uchylenie zaskarżonego wyroku i przekazania sprawy do ponownego rozpoznania Sadowi pierwszej instancji, ewentualnie o uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi oraz zasądzenie na rzecz strony skarżącej kosztów postępowania według norm przepisanych.

W motywach skargi kasacyjnej podniesiono m.in., iż informacja o adresach IP nie może zostać uznana za dane osobowe osób, które dokonały wpisów na forum kafeteria.pl, bowiem nawet w zestawieniu z pozostałymi informacjami będącymi w dyspozycji Skarżącej nie jest możliwe ustalenie tożsamości tych osób. Skarżąca spółka dysponuje jedynie informacjami o dacie logowania, fantazyjnych pseudonimach, którymi posługiwały się osoby dokonujące wpisów oraz treściami dokonanych wpisów. Nie sposób jednak uznać, że zestawienie tych informacji z adresami IP umożliwi Skarżącej jednoznaczne określenie tożsamości tych osób, czyli wskazanie, że są to osoby o konkretnym imieniu i nazwisku. Powiązanie przez Skarżącą adresów IP, czyli informacji o urządzeniach, za pomocą których następowało logowanie i umieszczanie wpisów na forum serwisu kafeteria.pl, nawet w zestawieniu z pozostałymi informacjami będącymi w dyspozycji Skarżącej, z konkretną osobą fizyczną nie jest technicznie możliwe. Skarżąca nie ma żadnej wiedzy ani na temat tego czy adres IP jest na stałe przypisany do konkretnego urządzenia – równie dobrze adresy IP będące przedmiotem niniejszej sprawy mogą mieć charakter stały, jak zmienny, ani tym bardziej czy urządzenie, do którego "przypisany" jest adres IP, jest użytkowane przez jeden określony podmiot czy nieokreśloną liczbę podmiotów (np. w kafejce internetowej, czy też w publicznej bibliotece). Ponadto uzyskanie informacji pozwalających na powiązanie adresów IP (numerów urządzeń) z określonymi osobami, wymagałoby podjęcia przez Skarżącą działań nielegalnych, w szczególności pozyskania innych danych (stanowiących co do zasady tajemnicę telekomunikacyjną innego przedsiębiorcy), niebędących w posiadaniu Skarżącej, pozwalających powiązać posiadane adresy IP urządzeń, wiedzę o czynności (logowanie do serwisu i dokonanie wpisu o określonym czasie) z konkretnymi osobami. Skarżąca nie dysponuje także innymi informacjami chociażby pozwalającymi na ustalenie, gdzie zlokalizowany jest interfejs lub sieć, przy wykorzystaniu którego lub której miała miejsce komunikacja polegająca na dokonaniu kwestionowanych wpisów.

Skarżąca kasacyjnie zarzuciła Sądowi pierwszej instancji, iż nie zauważył, że w mniejszej sprawie Generalny Inspektor nie podjął żadnych czynności w celu ustalenia czy w stanie faktycznym niniejszej sprawy przesłanka "nadmierności" została spełniona. W niniejszej sprawie nie można uznać, iż ustalenie tożsamości konkretnej osoby na podstawie będących w dyspozycji Skarżącej adresów IP nie wymaga nadmiernych kosztów, nakładu czasu i działań. W celu uzyskania danych koniecznych do zidentyfikowania osób, które dokonały w serwisie kafeteria.pl kwestionowanych wpisów, Skarżąca musiałaby zwrócić się do administratora sieci teleinformatycznej lub podmiotu, który świadczy usługę dostępu do Internetu. Podmioty te są zobowiązane z mocy art. 159 Prawa Telekomunikacyjnego do zachowania tajemnicy telekomunikacyjnej, więc odmówiłyby udostępnienia Skarżącej jakichkolwiek danych bez stosownego postanowienia prokuratora lub sądu zwalniających je z obowiązku zachowania tajemnicy (zasadniczo wydanych w trybie art. 217 i nast. k.p.k). Nawet w przypadku, gdyby uzyskanie danych użytkownika nie wymagało nadmiernych trudności, to może się okazać, iż abonentem usługi dostępu do Internetu jest firma, w której zatrudnionych jest kilkadziesiąt a nawet kilkaset pracowników korzystających na co dzień z Internetu.

Uzasadniając zarzuty naruszenia przepisów postępowania skarżąca kasacyjnie spółka podniosła, iż rozstrzygając niniejszą sprawę Sąd pierwszej instancji nie dokonał pełnej oceny sprawy administracyjnej, bowiem nie zbadał czy Generalny Inspektor na etapie postępowania administracyjnego zebrał pełny materiał dowodowy oraz prawidłowo dokonał ustalenia okoliczności faktycznych sprawy, a tym samym czy na etapie wydawania decyzji w niniejszej sprawie nie doszło do naruszenia przepisów postępowania mających istotnych wpływ na wynik. Nieistotny w niniejszej sprawie jest fakt, iż Skarżąca nie podnosiła w swojej skardze zarzutów dotyczący naruszenia przez organ administracji przepisów postępowania, na Sądzie ciążył bowiem obowiązek dokonania pełnej kontroli legalności wydanej w niniejszej sprawie decyzji bez względu na zarzuty i twierdzenia podnoszone przez Skarżącą. Sąd pierwszej instancji nie dostrzegł również, iż organ nie przeprowadził żadnych czynności dowodowych w celu ustalenia możliwości ustalenia przez Skarżącą na podstawie informacji o adresach IP urządzeń, przy użyciu których dokonano logowań do serwisu internetowego, a następnie dokonano kwestionowanych wpisów na forum serwisu, tożsamości osób, które dokonały kwestionowanych wpisów, jak również czy ustalenie przez Skarżącą tożsamości tych osób nie pociąga za sobą nadmiernych kosztów, czasu lub działań. Prawidłowe ustalenie powyższych okoliczności przez Generalnego Inspektora było konieczne dla rozstrzygnięcia niniejszej sprawy. Zaniechanie w zakresie zebrania pełnego materiału dowodowego i ustalenia rzeczywistego stanu faktycznego sprawy, którego dopuścił się Generalny Inspektor w niniejszej sprawie, doprowadziło do wydania przez niego rozstrzygnięcia, które nie znajduje oparcia w przepisach prawa materialnego.

W odpowiedzi na skargę kasacyjną Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie.

Naczelny Sąd Administracyjny zważył, co następuje:

Najistotniejszym w rozpoznawanej sprawie problemem jest odpowiedź na pytanie czy numery IP są danymi osobowymi w rozumieniu art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (zwanej dalej "ustawą").

Art. 6 ust. 1 stanowi, że za dane osobowe uważa się wszelkie informacje zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Zgodnie z ust. 2 art. 6 ustawy możliwa do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, kulturowe lub społeczne. Informacje, które wiążą się z określoną osobą – choćby pośrednio – niosą pewien komunikat o niej. Dlatego też informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej wprost, jak i taka, która odnosi się bezpośrednio do przedmiotów czy urządzeń, ale poprzez możliwość powiązania tych przedmiotów czy urządzeń z określoną osobą pośrednio stanowi informację także o niej samej. Adres IP (Internet Protocol Address) jest unikatowym numerem przyporządkowanym urządzeniom sieci komputerowych. Jest zatem informacją dotycząca komputera a nie konkretnej osoby fizycznej, zwłaszcza wtedy gdy możliwe jest współużyczenie jednego adresu IP przez wielu użytkowników w ramach sieci lokalnej. Adres IP nie zawsze wobec tego może być traktowany jako dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy. Jednak tam gdzie adres IP jest na dłuższy okres czasu lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową, jest to bowiem informacja umożliwiająca identyfikację konkretnej osoby fizycznej.

Trzeba w tym miejscu przypomnieć, że Grupa Robocza ds. Ochrony Danych powołana na podstawie art. 29 Dyrektywy 95/46 z dnia 24 października 1995 r. Parlamentu Europejskiego i Rady w Opinii nr 4/2007 przyjętej w dniu 20 czerwca 2007 r. wskazała, że "...w niektórych przypadkach dane przekazują przede wszystkim informacje o przedmiotach a nie osobach. Przedmioty należą zazwyczaj do kogoś, podlegają wpływowi działania pewnych osób lub wywierają na nie wpływ lub też pozostają w pewnego rodzaju sąsiedztwie fizycznym lub geograficznym w stosunku do osób lub należących do nich przedmiotów. Można wtedy uznać, że informacje dotyczą tych osób lub przedmiotów jedynie pośrednio..."

Ale w związku z tym stwierdzono także w Opinii, że za informacje dotyczące osoby można uznać dane "... dotyczące w pierwszym rzędzie procesów lub zdarzeń, jak na przykład informacje o funkcjonowaniu pewnej maszyny wymagającej interwencji człowieka..." Komputer jest wskazanym w Opinii urządzeniem, a numer IP jest informacją, która w sposób pośredni pozwala zidentyfikować osobę nim się posługującą. Nieistotny przy tym jest argument podnoszony przez skarżącą spółkę, że posiadane przez nią informacje nie umożliwią identyfikacji osób, które posługując się pseudonimami dokonały wpisów dotyczących M. R. . Przepis art. 6 ust. 2 ustawy wskazuje, że osobą możliwą do zidentyfikowania jest nie tylko osoba, której tożsamość można określić przy pomocy elementów w przepisie tym wskazanych w sposób bezpośredni ale także w sposób pośredni. W omawianej sprawie uzyskanie numerów IP było niezbędne do procesu identyfikacji autorów ww. wpisów, a w ich posiadaniu tych numerów jest skarżąca spółka.

Za takim rozumieniem art. 6 ust. 2 ustawy o ochronie danych osobowych przemawia również treść norm konstytucyjnych. Art. 30 Konstytucji stanowi, że przyrodzona i niezbywalna godność człowieka stanowi źródło wolności i praw człowieka i obywatela. Jest ona nienaruszalna, a jej poszanowanie i ochrona jest obowiązkiem władz publicznych. Z kolei art. 47 Konstytucji zapewnia każdemu prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia.

Działanie tych norm gwarantujących podstawowe prawa i wolności obywatelskie nie może być zawieszone czy też wyłączone tylko z tego powodu, że prawo to naruszono przez dokonanie wpisów internetowych. Internet często pozornie, a czasami faktycznie zapewnia anonimowość jego użytkownikom. Stanowi medialne forum, na którym prezentowane są treści naruszające ludzką godność, cześć i dobre imię. Dlatego też wszędzie tam gdzie numer IP pozwala pośrednio na identyfikację konkretnej osoby fizycznej powinien on być uznany za dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych.

Odmienna interpretacja byłaby sprzeczna z normami konstytucyjnymi zawartymi w art. 30 i 47 Konstytucji RP.

Z tych względów zarzut naruszenia art. 6 ustawy o ochronie danych osobowych uznać należy za nieusprawiedliwiony.

Nie można też zgodzić się z zarzutem naruszenia art. 6 ust. 3 ustawy poprzez uznanie, że numer IP umożliwia określenie tożsamości osób, pomimo iż wymaga to nadmiernych kosztów, czasu lub działań.

Skarżąca Spółka na żadnym etapie postępowania nie zanegowała możliwości dokonania, w tej konkretnej sprawie, identyfikacji osoby przy pomocy numeru IP, a swojego twierdzenia co do negatywnej przesłanki z art. 6 ust. 3 ustawy nie uzasadniła. Nie odniosła się też krytycznie do twierdzeń zawartych w odpowiedzi na skargę i odnoszących się do tej kwestii. Z zawartych tam twierdzeń wynika, że zidentyfikowanie użytkowników Internetu, którym przydzielono indywidualny numer IP jest możliwe bez nadmiernych kosztów czasu lub działań.

W kolejnym zarzucie dotyczącym naruszenia art. 29 ust. 2 ustawy w zw. z art. 5 ustawy skarżący kasacyjnie zarzuca, że zastosowanie przepisów ustawy zostało wyłączone ze względu na ochronę przewidzianą przepisami ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne a zwłaszcza art. 159 ww. ustawy.

Naczelny Sąd Administracyjny w pełni podziela w tym zakresie pogląd wyrażony przez Sąd I instancji w uzasadnieniu zaskarżonego wyroku. Stwierdzono tam, że w niniejszej sprawie zaistniała przesłanka określona w art. 159 ust. 2 pkt 4 ustawy Prawo telekomunikacyjne.

W tej sytuacji kolejne, wskazane wcześniej zarzuty naruszenia prawa materialnego uznać należy za nieusprawiedliwione.

Podobnie ocenić trzeba zarzuty naruszenia przepisów postępowania, tj. art. 134 w zw. z art. 151 oraz art. 145 ust. 1 lit. c/ p.p.s.a. w zw. z art. 77 § 1 i art. 80 k.p.a. Skarżący zarzuca, że Sąd I instancji oddalił skargę, pomimo iż Generalny Inspektor Ochrony Danych Osobowych nie dokonał ustaleń co do możliwości zidentyfikowania przez Skarżącą tożsamości osób związanych z adresami IP, przy użyciu których dokonano dotyczących wnioskodawczyni wpisów na forum internetowym.

Ustalenia te zostały jednak dokonane, bowiem zarówno organ jak i wnioskodawczyni nie kwestionują faktu, że spółka nie jest w stanie samodzielnie na podstawie adresów IP dokonać identyfikacji osób, które w określonej dacie, posługując się pseudonimami, dokonały logowania na portalu kafeteria.pl i zamieściły na nim kwestionowane wpisy.

Spółka była natomiast w posiadaniu informacji z jakimi adresami IP wpisy te są związane a dopiero taka informacja mogła posłużyć wnioskodawczyni do podjęcia próby ustalenia tożsamości autorów wpisów i ochrony swoich praw.

Mając to wszystko na uwadze Naczelny Sąd Administracyjny na podstawie art. 184 p.p.s.a. orzekł jak w sentencji.