Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube Sędziowie WSA Iwona Dąbrowska (sprawozdawca) Janusz Walawski Protokolant starszy sekretarz sądowy Sylwia Rosińska-Czaykowska po rozpoznaniu na rozprawie w dniu 15 stycznia 2014 r. sprawy ze skargi A. S. A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2013 r. nr [...] w przedmiocie nakazu udostępnienia danych osobowych 1. uchyla zaskarżoną decyzję w części dotyczącej umorzenia postępowania w zakresie przetwarzania przez A. S.A. danych osobowych użytkownika prowadzącego blog [...] oraz użytkownika o nicku [...], który zamieścił komentarze dnia [...] marca 2010 r. godz. [...], [...], [...], dnia [...] marca 2010 r. godz.[...], oraz [...] w postaci kodu pocztowego oraz odpowiednio nakazującą udostępnienie na rzecz Muzeum [...] w W. danych osobowych w postaci kodów pocztowych wyżej opisanych użytkowników nadto w pozostałym zakresie utrzymująca w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2012 r. oraz poprzedzającą ją decyzję z dnia [...] października 2013 r. w części objętej wnioskami o ponowne rozpatrzenie sprawy; 2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w zaskarżonej części; 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz A. S. A. z siedzibą w W. kwotę 457 (słownie: czterysta pięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania.

Skargą z dnia [...] marca 2012 r. Muzeum Narodowe w W., za pośrednictwem swojego pełnomocnika, zwróciło się do Generalnego Inspektora Ochrony Danych Osobowych o nakazanie A. S.A. z siedzibą w W. udostępnienia w formie pisemnej następujących informacji dotyczących autorów wpisów opublikowanych w dziennikach internetowych prowadzonych w serwisie [...] należącym do A. S.A. tj.:

1. danych dotyczących osoby, która prowadziła blog [...] i dokonała wskazanych niżej wpisów w tym dzienniku, w tym zwłaszcza jej imienia i nazwiska, adresu, adresu mailowego lub innych danych pozwalających na identyfikację tej osoby tj. adresów IP z których załogowano się do blogu i dokonano następujących wpisów.

– "[...]" z dnia [...] czerwca 2011 roku, godzina [...],

– "[...]" z dnia [...] lipca 2011 roku, godzina [...],

– "[...]" z dnia [...] września 2011, godzina [...],

– "[...]", z dnia [...] września 2011, godzina [...],

– "[...]", z dnia [...] listopada 2011, godzina [...],

– "[...]", z dnia [...] grudnia 2011, godzina [...].

2. danych dotyczących prowadzącego dziennik internetowy pod adresem [...], w tym zwłaszcza jego imienia i nazwiska, adresu, adresu mailowego lub innych danych pozwalających na identyfikację tej osoby tj. adresów IP z których załogowano się do blogu i dokonano następujących wpisów posługując się loginem [...] :

– [...] października 2010, godzina [...], wpis "[...]",

– [...] lipca 2010, godzina [...], wpis "[...]".

3. danych dotyczących autorów komentarzy umieszczanych pod wpisami na blogu [...], w tym zwłaszcza imion i nazwisk, adresów, adresów mailowych lub innych danych pozwalających na identyfikację tych osób tj. adresów IP z których załogowano się i dokonano następujących wpisów:

– komentarz z dnia [...] marca 2010 roku godzina [...] i [...], login autora wpisu [...], komentarz pod wpisem "[...]" z dnia [...] marca 2010 roku,

– komentarz z dnia [...] marca 2010 roku godzina [...], login autora wpisu [...], komentarz pod wpisem "[...]" z dnia [...] marca 2010 roku,

– komentarz z dnia [...] marca 2010 roku godzina [...], login autora wpisu [...], komentarz pod wpisem "[...]" z dnia [...] marca 2010 roku,

– komentarz z dnia [...] marca 2010 roku godzina [...], login autora wpisu [...], komentarz pod wpisem "[...]" z dnia [...] marca 2010 roku,

– komentarz z dnia [...] marca 2010 roku godzina [...], login autora wpisu [...]. komentarz pod wpisem "[...]" z dnia [...] marca 2010 roku,

– komentarz z dnia [...] marca 2010 roku godzina [...], login autora wpisu [...], komentarz pod wpisem "[...]" z dnia [...] marca 2010 roku,

– komentarz z dnia [...] lipca 2010 roku godzina [...], login autora wpisu [...], komentarze umieszczony pod wpisem "[...]" z dnia [...] lipca 2010,

– komentarz z dnia [...] sierpnia 2010 roku godzina [...], login autora wpisu [...], komentarz pod wpisem "[...]" z dnia [...] lipca 2010 roku.

Według wnoszącego skargę, w ramach prowadzenia powyższych dzienników internetowych pojawiły się wpisy oraz komentarze, których treść narusza przepisy powszechnie obowiązującego prawa i dobra osobiste Muzeum Narodowego w W.. Zawierały one sugestie, że w instytucji dochodziło do nieprawidłowości związanych z prowadzoną działalnością, w tym niewłaściwego dbania o zbiory, niegospodarności, protekcji i mobbingu wobec pracowników tej instytucji, co zdaniem wnioskodawców rażąco naruszyło dobre imię Muzeum Narodowego w W. i naraziło na szwank opinię Muzeum Narodowego w W., jako godnego zaufania. Publikowane treści zniesławiły także konkretne osoby pracujące w Muzeum Narodowym w W., w tym osoby ze ścisłego kierownictwa tej instytucji, co także wywarło negatywny wpływ na postrzeganie samej instytucji i projektów, w które się angażowała.

Wobec powyższego, Muzeum Narodowe ma zamiar podjąć kroki prawne poprzez wszczęcie postępowania sądowego o ochronę dóbr osobistych tej instytucji. W tym celu zwrócono się do A. S.A. o udostępnienie danych osobowych osób zamieszczających obraźliwe wpisy. Jednakże A. S.A. odmówiła udostępnienia tych danych motywując to brakiem podstawy prawnej zobowiązującej do ujawniania takich danych, a także wskazując, że ustawa o świadczeniu usług drogą elektroniczną, która w zakresie udostępnienia danych użytkowników stanowi lex specialis względem ustawy o ochronie danych osobowych, przewiduje jedynie obowiązek udzielenia danych o użytkownikach organom państwa.

Wobec takiego stanowiska spółki Muzeum Narodowe uznało za uzasadnione zwrócenie się do GIODO o nakazanie udostępnienia żądanych danych osobowych, bez których nie będzie możliwe wszczęcie postępowania sądowego o ochronę dóbr osobistych.

Po przeprowadzeniu postępowania GIODO decyzją z dnia [...] października 2012 r. o nr [...], wydaną na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2000 r. Nr 98, poz. 1071 ze zm.) oraz art. 12 pkt 2, art. 22, art. 18 ust. 1 pkt 2 w zw. z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. ustawy o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) nakazał A. S.A., z siedzibą w W. udostępnienie Muzeum Narodowemu w W. danych osobowych w zakresie adresów IP komputerów niżej wskazanych użytkowników:

– użytkownika prowadzącego blog [...],

– użytkownika prowadzącego blog [...],

– użytkownika o nicku [...], który zamieścił w serwisie [...] komentarze dnia [...] marca 2010 r. o godz. [...],[...], [...], dnia [...] marca 2010 r. o godz. [...], [...] ,

– użytkownika o nicku [...], który zamieścił w serwisie [...] komentarze dnia [...] marca 2010 r. o godz. [...],

– użytkownika o nicku [...], który zamieścił w serwisie [...] komentarze dnia [...] marca 2010 r. o godz. [...], dnia [...] lipca 2010 r. o godz. [...] oraz dnia [...] sierpnia 2010 r. o godz. [...],

natomiast w pozostałym zakresie umorzył postępowanie.

GIODO w ramach przeprowadzonego postępowania ustalił, że A. S.A. z siedzibą w W. przetwarza wszelkie dane użytkowników zamieszczających wypowiedzi na forum portalu [...], w celu świadczenia usługi polegającej na umożliwieniu użytkownikom Internetu publikowania wypowiedzi na stronach forum portalu [...]. Dane te są gromadzone w zbiorze danych osobowych o nazwie "Użytkownicy internetowego wydania [...] i portalu A. S.A.". Spółka potwierdziła, że otrzymała od Muzeum Narodowego w W. pismo z dnia [...] stycznia 2012 r. zawierające wezwanie do udostępnienia danych osobowych w związku z naruszeniem dóbr osobistych. Podjęte zostały w związku z tym zawiadomieniem działania w postaci zablokowania dostępu do spornych treści, odmówiono jednak udostępnienia żądanych danych. Spółka poinformowała jednocześnie, że w zbiorze danych posiada informacje dotyczące wskazanych we wniosku osób w postaci:

– adresu IP blogera prowadzącego blog [...];

– adresu IP i kodu pocztowego blogera prowadzącego blog [...];

– adresu IP i kodu pocztowego użytkownika o nicku [...];

– adresu IP użytkownika o nicku [...];

– adresu IP użytkownika o [...].

Uzasadniając swoją decyzję, GIODO wskazał, że ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych osobowych (art. 2 ust. 1 ustawy). Stosownie do brzmienia art. 7 pkt 2 ustawy, pod pojęciem przetwarzania danych rozumieć należy jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Każda ze wskazanych w art. 7 pkt 2 ustawy form przetwarzania danych osobowych powinna znaleźć oparcie w jednej z przesłanek warunkujących legalność procesu przetwarzania danych osobowych, enumeratywnie wymienionych w art. 23 ust. 1 ustawy. Jedną z tych przesłanek jest także to, aby przetwarzanie było niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 ustawy).

Zdaniem GIODO, żądanie Muzeum Narodowego o udostępnienie mu ww. danych osobowych ww. użytkowników wypełnia dyspozycję cytowanego art. 23 ust. 1 pkt 5 ustawy. Muzeum wskazało bowiem, że ww. dane są mu niezbędne do wytoczenia powództwa przeciwko ww. osobom z zakresu ochrony dóbr osobistych w związku z zamieszczonymi przez ww. osoby komentarzami w serwisie [...], bowiem dla skutecznego wytoczenia powództwa przeciwko ww. osobom niezbędne jest wniesienie pozwu, który spełniać będzie warunki określone w art. 187 § 1 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. Nr 43, poz. 296 ze zm.), czyli powinno zawierać m. in. oznaczenie miejsca zamieszkania lub siedziby stron, ich przedstawicieli ustawowych i pełnomocników oraz przedmiotu sporu. Jakkolwiek A. S.A. nie posiada danych osobowych w zakresie imienia, nazwiska, adresu zamieszkania, GIODO zauważył, że pozyskanie przez Muzeum danych w zakresie adresów IP komputerów ww. użytkowników, może okazać się niezbędne dla realizacji celu Muzeum w postaci wniesienia powództwa, bowiem może umożliwić identyfikację tych osób. Wskazał, iż informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej wprost, jak i taka, która odnosi się bezpośrednio do przedmiotów czy urządzeń, ale poprzez możliwość powiązania tych przedmiotów czy urządzeń z określoną osobą pośrednio stanowi informację także o niej samej.

Ponadto, zdaniem GIODO, brak jest podstaw do twierdzenia, że Muzeum Narodowe wykorzysta pozyskane dane w inny sposób, aniżeli w celu zidentyfikowania osób, przeciwko którym chcą skierować postępowanie sądowe o ochronę dóbr osobistych.

Jednocześnie GIODO nie zgodził się z argumentacją podniesioną w trakcie postępowania przez A. S.A., jakoby w niniejszej sprawie ustawa o ochronie danych osobowych nie znajduje zastosowania, bowiem jej stosowanie wyłączone jest przez przepisy ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.).

Nie zgodził się również ze zdaniem, że danych tych nie można udostępnić w związku z ochroną danych osobowych użytkowników dzienników internetowych. Zdaniem GIODO, takie założenie prowadziłoby do nieuzasadnionej obrony takich osób przed konsekwencjami swojej działalności i uniemożliwiałoby skuteczną obronę osób pokrzywdzonych obraźliwymi treściami. W jego ocenie, z art. 18 ust. 6 pow. ustawy nie wynika niedopuszczalność udostępniania podmiotom innym niż organy państwa informacji, o których mowa w ust. 1-5 tego przepisu, w tym danych eksploatacyjnych w postaci adresu IP. Zdaniem Generalnego Inspektora Ochrony Danych Osobowych przepis ten - stanowiący, że usługodawca udziela informacji o danych, o których mowa w ust. 1-5 organom państwa na potrzeby prowadzonych przez nie postępowań - ma charakter jedynie deklaratoryjny wobec uprawnień tych organów określonych szczegółowo w innych przepisach. Brak również wyraźnie wskazanego zakazu udostępniania takich danych innych podmiotom niż organy państwa.

Wobec wszystkich powyższych okoliczności GIODO uznał za zasadne nakazanie udostępnienia Muzeum Narodowemu posiadanych przez A. S.A. danych w postaci adresów IP. Natomiast wobec ustalenia, że A. S.A. nie przetwarza danych osobowych w postaci imienia, nazwiska, adresów zamieszkania i adresów e-mail, o ujawnienie których wnioskowało Muzeum, GIODO uznał, że postępowanie w tym przedmiocie stało się bezprzedmiotowe i zgodnie z treścią art. 105 § 1 k.p.a. powinno zostać umorzone.

Od powyższej decyzji zostały złożone dwa wnioski o ponowne rozpatrzenie sprawy.

W dniu [...] października 2012 r. wniosek złożył pełnomocnik Muzeum Narodowego w W., domagając się ponownego rozpatrzenia sprawy w zakresie pkt 2 wydanej decyzji, zarzucając GIODO naruszenie art. 105 § 1 k.p.a. oraz art. 7 i 77 oraz 7, 77 i 107 k.p.a., poprzez uznanie za bezprzedmiotowe postępowania w zakresie zobowiązania A. S.A. o udzielenie informacji o kodach pocztowych ww. użytkowników, w sytuacji gdy wnioskodawca wnosił o udzielenie informacji o adresach użytkowników, a z materiału dowodowego sprawy wynika, że A. S.A. jest w posiadaniu kodów pocztowych. W związku z powyższym, pełnomocnik wniósł o zobowiązanie spółki do udostępnienia Muzeum Narodowemu również tej informacji.

W dniu [...] listopada 2012 r. wniosek o ponowne rozpatrzenie sprawy wniósł pełnomocnik A. S.A. z siedzibą w W., domagając się uchylenia decyzji z dnia [...] października 2012 r. w zakresie nakazania spółce udostępnienia posiadanych danych osobowych w postaci numerów IP.

Uzasadniając powyższy wniosek, w pierwszej kolejności pełnomocnik spółki wskazał na uchylenie art. 29 ustawy o ochronie danych osobowych, wobec czego brak jest w obecnym stanie prawnym podstawy do nakazania przez GIODO innemu podmiotowi udostępnienia danych osobowych, poza sytuacją, w której administrator danych byłby do tego zobowiązany prawem. Nie stanowi takiej podstawy art. 23 ust. 1 pkt 5 ustawy, który mówi, zdaniem pełnomocnika odwołującej się, jedynie o przetwarzaniu danych, a nie ustanawia obowiązku ich udostępniania. Wobec tego brak było podstawy dla GIODO do nakazania udostępnienia danych osobowych, o które wnioskowało Muzeum Narodowe w W. za pośrednictwem swojego pełnomocnika.

Ponadto pełnomocnik spółki podtrzymał wyrażone w trakcie postępowania zdanie, zgodnie z którym pierwszeństwo zastosowania w niniejszej sprawie powinny mieć przepisy ustawy o świadczeniu usług drogą elektroniczną. Przytoczył treść art. 18 ust. 6 pow. ustawy, zgodnie z którą, o świadczeniu usług drogą elektroniczną usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań. Art. 18 ust. 5 pkt 2 z kolei zalicza do danych eksploatacyjnych oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca. Powyższe, według pełnomocnika świadczy o tym, że ustawa o świadczeniu usług drogą elektroniczną wprowadza własne, bardziej rygorystyczne niż ustawa o ochronie danych osobowych, zasady ich udostępniania. Nie zgodził się przy tym ze zdaniem GIODO, wyrażonym w uzasadnieniu decyzji, jakoby art. 18 ust. 6 ustawy dopuszczał udostępnianie danych eksploatacyjnych podmiotom innym niż organy państwa. Treść przepisu jest w tym zakresie dla pełnomocnika spółki jasna, co więcej, wskazuje on, że w całej ustawie nie znajduje się żaden przepis uprawniający inne podmioty do skutecznego domagania się tych danych. Uprawnienie organów państwa do pozyskiwania danych eksploatacyjnych od usługodawców stanowi wyjątek od generalnej zasady ochrony tych danych i jako taki wyjątek, nie może być traktowany rozszerzająco.

Pełnomocnik spółki nie zgodził się również z argumentacją GIODO, jakoby udostępnienie danych użytkownika zamieszczającego wpisy i komentarze w dziennikach internetowych w celu wszczęcia przeciwko niemu postępowania sądowego, nie było naruszeniem jego praw i wolności. Podniósł, że dane te są zbierane niejako przy okazji świadczenia usługi i bez świadomości użytkownika. Ponadto brak jest możliwości kontroli przez administratora danych celu, w jakim zostaną faktycznie wykorzystane dane, których udostępnienia na podstawie ustawy o ochronie danych osobowych domaga się podmiot. Jednakże nie prowadzi to – wbrew temu, co twierdzi GIODO – do bezpodstawnej ochrony osób naruszających dobra osobiste. Podmioty pokrzywdzone mogą dochodzić swoich praw za pomocą powołanych do tego organów – prokuratur i sądów – co umożliwi kontrolę celów, dla jakich są wykorzystywane pozyskane dane. Interpretacja zaprezentowana przez GIODO, zdaniem spółki, doprowadziłaby do sytuacji, w której każdy podmiot mógłby się domagać udostępnienia danych osobowych dotyczących innego podmiotu w oparciu o przepisy ustawy, która ma zapobiegać niekontrolowanemu ich przepływowi i wykorzystywaniu. W niniejszej sprawie, zdaniem pełnomocnika spółki, Muzeum Narodowe ma inną drogę podjęcia kroków prawnych przeciwko osobom naruszającym ich dobra osobiste.

W kontekście powyższego, odwołująca się stwierdziła, że nie wystąpiło naruszenie prawa, a zatem brak jest podstaw do wydania decyzji nakazującej udostępnienie danych osobowych, co powinno skutkować uchyleniem decyzji, o co wnioskowała spółka.

W odpowiedzi na powyższe wnioski GIODO w dniu [...] marca 2013 r. wydał, na podstawie art. 138 § 1 pkt 2 k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 2, art. 22, art. 23 ust. 1 pkt 5 ustawy o ochronie danych decyzję nr [...], którą:

1. uchylił zaskarżoną decyzję w części dotyczącej umorzenia postępowania w zakresie przetwarzania przez A. S.A., z siedzibą w W. przy ul. C. [...], danych osobowych użytkownika prowadzącego blog [...] oraz użytkownika o nicku [...], który zamieścił w serwisie [...] pod wpisami na blogu [...] komentarze z dnia [...] marca 2010 r. o godz. [...], [...], [...], dnia [...] marca 2010 r. o godz. [...], [...] w zakresie kodu pocztowego;

2. nakazał A. S.A. z siedzibą w W. przy ul. C. [...], udostępnienie na rzecz Muzeum Narodowego w W., z siedzibą w W. przy A. [...], danych osobowych w zakresie kodów pocztowych:

– użytkownika prowadzącego blog [...],

– użytkownika o nicku [...], który zamieścił w serwisie [...] pod wpisami na blogu [...] komentarze z dnia [...] marca 2010 r. o godz. [...],[...],[...], dnia [...] marca 2010 r. o godz. [...],[...];

3. w pozostałym zakresie utrzymał decyzję w mocy.

Uzasadniając powyższą decyzję GIODO podtrzymał dotychczasową argumentację dotyczącą możliwości udostępnienia danych osobowych wnioskującemu podmiotowi w oparciu o art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, albowiem w jego ocenie użyte w nim sformułowanie "uzasadnione cele" stanowi klauzulę generalną i przesądza o pewnego rodzaju "luzie decyzyjnym", który posiada Generalny Inspektor przy ocenie konkretnych sytuacji w danym postępowaniu. Zdaniem Generalnego Inspektora odmowa udostępnienia danych osobowych przez Spółkę, pomimo zaistnienia przesłanki określonej w art. 23 ust. 1 pkt 5 ustawy, narusza ten przepis, w związku z czym konieczne jest przywrócenie stanu zgodnego z prawem – teza ta stanowi odpowiedź na zarzut naruszenia art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych poprzez wskazanie go jako podstawy decyzji. GIODO podtrzymał również twierdzenie, że art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną nie ustanawia zakazu udostępniania danych, a jedynie nakaz udostępniania ich organom państwa w związku z prowadzonymi przez nie postępowaniami, a interpretacja przedstawiana przez spółkę stanowi nieuprawnione rozszerzenie jego znaczenia. Generalny Inspektor przyjął, że gdyby należało odczytywać normę zawartą w omawianym przepisie tak, jak czyni to A. S.A., to w jego treści powinien znajdować się zwrot "wyłącznie", tak, jak to dzieje się w innych ustawach, np. Prawie bankowym czy ustawie o postępowaniu egzekucyjnym w administracji.

W związku z powyższym, GIODO nie zmienił zdania, iż w niniejszej sprawie doszło do konieczności zastosowania art. 18 ust. 1 pkt 2 tj. nakazania w drodze decyzji przywrócenia stanu zgodnego z prawem, albowiem spółka niezasadnie odmówiła Muzeum Narodowemu w W. udostępnienia danych niezbędnych do zgodnego z prawem dochodzenia swoich racji w oparciu o art. 24 Kodeksu cywilnego oraz stosownych przepisów Kodeksu postępowania cywilnego. Zdaniem GIODO chęć pociągnięcia do odpowiedzialności cywilnej i karnej autorów nieprzychylnych wpisów w dziennikach internetowych stanowi usprawiedliwiony cel, o którym mowa w ustawie o ochronie danych osobowych. Nie ma przy tym znaczenia oczywista sprzeczność chęci pozyskania ich danych z ich żywotnym interesem, albowiem – co ponownie zostało podkreślone – prowadziłoby to do nieuzasadnionej ochrony tych osób przed poniesieniem konsekwencji swych działań. Natomiast osoby, których dane zostały ujawnione i wykorzystane następnie w celu wszczęcia przeciwko nim postępowań sądowych, posiadają stosowne uprawnienia przewidziane w procedurach, pozwalające im na obronę.

GIODO nie uznał również za uzasadnione obaw A. S.A., dotyczących ewentualnego wykorzystania udostępnionych danych niezgodnie z celem, który był podstawą ich uzyskania, zaznaczając, że w momencie ich zdobycia, Muzeum Narodowe samo stanie się administratorem danych osobowych, ze wszystkimi obowiązkami i konsekwencjami z tego wynikającymi.

Odnosząc się do wniosku Muzeum o ponowne rozpatrzenie sprawy w zakresie umorzenia niniejszego postępowania odnośnie przetwarzania danych osobowych użytkownika prowadzącego blog [...] oraz użytkownika o nicku [...] w zakresie kodu pocztowego, Generalny Inspektor Ochrony Danych Osobowych przyznał, że z akt sprawy wynika, iż spółka przetwarza przedmiotowe dane osobowe. W związku z powyższym przychylił się do wniosku Muzeum i nakazał udostępnienie tych danych.

W pozostałym zakresie, wobec ustalenia, że A. S.A. nie dysponuje danymi w postaci imion, nazwisk oraz pełnych adresów zamieszkania oraz adresów mailowych, Generalny Inspektor umorzył postępowanie wobec stwierdzenia jego bezprzedmiotowości.

Powyższa decyzja stała się przedmiotem skargi A. S.A. z siedzibą w W. do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której wniesiono o jej uchylenie oraz uchylenie decyzji ją poprzedzającej, a także o wstrzymanie jej wykonania, zarzucając:

1. naruszenie prawa materialnego mające wpływ na wynik sprawy tj.:

– art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych w zw. z art. 16 ust. 1 ustawy o świadczeniu usług drogą elektroniczną przez jego nieuzasadnione zastosowanie w sprawie polegające na przyjęciu, że przepis ten stanowi podstawę wydania danych użytkowników serwisu internetowego, podczas gdy wobec istnienia odrębnych uregulowań w ustawie o świadczeniu usług drogą elektroniczną przepis ten nie znajduje zastosowania w niniejszej sprawie,

– art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną przez jego błędną wykładnię i przyjęcie, że przepis ten nie zakazuje udostępniania adresów IP podmiotom innym niż organy państwa, podczas gdy w przepisie tym jedynie organy państwa określone zostały jako odbiorca danych eksploatacyjnych gromadzonych przez usługodawcę w rozumieniu ustawy, a wskazana ustawa nie zawiera innego przepisu, który stanowiłby podstawę wydawania danych podmiotom innym niż organy państwa,

– art. 23 ust. 1 pkt 5 o ochronie danych osobowych poprzez:

a) przyjęcie, że z przepisu tego wynika zobowiązanie administratora danych osobowych do udostępnienia danych użytkowników serwisu internetowego, podczas gdy norma ta stanowi jedynie podstawę dopuszczalności przetwarzania danych,

b) przyjęcie, że udostępnienie danych użytkownika serwisu internetowego [...] osobie trzeciej jest niezbędne dla wypełnienia celu jakim jest ochrona praw tej osoby przed sądem, podczas gdy sądy oraz inne organy ochrony prawnej dysponują odpowiednimi środkami prawnymi do uzyskania niezbędnych informacji,

c) przyjęcie, że udostępnienie danych użytkownika serwisu internetowego [...] nie naruszy jego praw i wolności i w konsekwencji, iż skarżąca nie miała w niniejszej sprawie podstaw do odmowy udostępnienia danych, podczas gdy z okoliczności sprawy wynika, iż w razie udostępnienia żądanych danych Muzeum Narodowemu w W. do naruszenia takiego dojdzie;

2. naruszenie przepisów postępowania, mogące mieć istotny wpływ na wynik sprawy tj.:

– art. 138 § 1 pkt 2 kodeksu postępowania administracyjnego w zw. z art. 18 ust. 1 pkt 2 ustawy o ochronie danych osobowych poprzez uchylenie decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2012 roku ([...]) w części, dotyczącej umorzenia postępowania w zakresie przetwarzania przez skarżącą danych osobowych wskazanych w decyzji użytkowników serwisu internetowego w postaci kodu pocztowego oraz odpowiednio nakazanie skarżącej ich udostępnienia na rzecz Muzeum Narodowego w W. i przyjęcie, że w niniejszej sprawie skarżąca naruszyła przepisy ustawy o ochronie danych osobowych i zachodzi podstawa do wydania decyzji nakazującej udostępnienie danych osobowych, podczas gdy wobec braku podstaw do nakazania skarżącej udostępnienia danych osobowych w niniejszej sprawie decyzja z dnia [...] października 2012 roku ([...]) powinna zostać uchylona w części nakazującej A. S.A. udostępnienie Muzeum Narodowemu w W. danych użytkowników serwisu [...];

– art. 138 § 1 pkt 1 KPA w zw. z art. 18 ust. 1 pkt 2 ustawy o ochronie danych poprzez utrzymanie w mocy w pozostałym zakresie decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2012 roku ([...]) i przyjęcie, że w niniejszej sprawie Skarżąca naruszyła przepisy ustawy o ochronie danych osobowych i zachodzi podstawa do wydania decyzji nakazującej udostępnienie danych osobowych, podczas gdy wobec braku podstaw do nakazania skarżącej udostępnienia danych osobowych w niniejszej sprawie decyzja z dnia [...] października 2012 r. ([...]) powinna zostać uchylona w części nakazującej A. S.A. udostępnienie Muzeum Narodowemu w W. danych użytkowników serwisu [...];

Uzasadniając zarzuty skargi, pełnomocnik spółki w pierwszej kolejności wskazał na bezpodstawne pominięcie przez Generalnego Inspektora przy podejmowaniu decyzji w niniejszej sprawie przepisów ustawy o świadczeniu usług drogą elektroniczną, pomimo tego, iż ustawa ta w art. 1 pkt 3 stwierdza, iż określa ona zasady ochrony danych osobowych osób fizycznych korzystających z usług świadczonych drogą elektroniczną. Natomiast art. 16 stanowi, że do przetwarzania danych osobowych w rozumieniu ustawy o ochronie danych osobowych, z związku ze świadczeniem usług drogą elektroniczną, stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej. Ustanowione zostały zatem przepisy szczególne. W art. 18 ust. 6 omawianej ustawy postanowiono, że usługodawca udziela informacji o danych, o których mowa w ust. 1-5, w tym dane eksploatacyjne, do których zalicza się adres IP, organom państwa na potrzeby prowadzonych przez nie postępowań. Opierając się na treści tego przepisu pełnomocnik skarżącej wnioskuje, że tylko organy państwa mają możliwość skutecznego żądania udostępnienia danych eksploatacyjnych od podmiotów świadczących usługi drogą elektroniczną, ustanawiając lex specialis w tym zakresie w stosunku do ustawy o ochronie danych osobowych. Wobec powyższego błędna jest interpretacja GIODO przedstawiana dotychczas w sprawie i prowadzi ona, zdaniem strony skarżącej, do nieuprawnionego rozszerzania wyjątku przewidzianego w ustawie. Kolejnym skutkiem rozumowania opartego na uznaniu art. 23 ust. 5 ustawy o ochronie danych osobowych za podstawę wydania danych byłoby uznanie, że dowolny podmiot może żądać wydania interesujących go danych osobowych w sposób prostszy i skuteczniejszy, niż środki przysługujące w tym zakresie sądom oraz prokuraturom, czyli organom które z założenia dają większą rękojmię wykorzystania danych zgodnie z celami pozyskania oraz w duchu praworządności.

Ponadto, wbrew zdaniu GIODO, w niniejszej sprawie nie doszło do naruszenia przepisów wymagającego wydania decyzji zgodnie z dyspozycją art. 18 ust. 2 ustawy o ochronie danych osobowych, albowiem nie ma w obecnie obowiązującym stanie prawnym przepisu ustanawiającego obowiązek udostępnienia danych osobowych przez administratora. Nie jest takim przepisem art. 23 ust. 5 ustawy, gdyż ustanawia on jedynie uprawnienie, a nie zobowiązanie do przetwarzania danych osobowych. Nie można postawić zarzutu z niekorzystania z uprawnienia. A zatem brak jest podstaw do stwierdzenia naruszenia obowiązków.

Następnie strona skarżąca podniosła, iż odmowa udostępnienia danych osobowych nie zamyka drogi obrony swoich praw podmiotom pokrzywdzonym przez działalność w postaci np. anonimowych wpisów w Internecie. Powołuje przy tym własne doświadczenia, z których wynika, że sądy oraz prokuratury zwracają się do administratorów danych eksploatacyjnych o udostępnienie niezbędnych dla prowadzenia postępowań informacji. Wobec powyższego upada – zdaniem A. S.A. – argument o niezbędności udostępnienia danych użytkowników serwisu internetowego [...] w celu ochrony praw wnioskującego podmiotu, albowiem organy państwa dysponują stosownymi środkami w celu pozyskania takich informacji i ułatwienia drogi do obrony swoich praw. Eliminuje to również kolejny problem wskazany przez skarżącą, związany z ujawnieniem danych osobowych użytkowników usług świadczonych przez spółkę. Podnosi ona, że właśnie wobec treści art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych jest zobowiązana do odmowy udostępnienia danych osobowych żądanych przez podmiot trzeci, nawet jeśli ten podmiot argumentuje to koniecznością ochrony swoich dóbr, albowiem takie udostępnienie byłoby z kolei naruszeniem praw użytkowników usług oferowanych przez spółkę. Wobec powyżej wskazanego argumentu o działalności organów państwa, niesłusznym jest również twierdzenie, jakoby użytkownicy byli w ten sposób niesłusznie chronieni przed ponoszeniem konsekwencji swoich czynów. Natomiast istotnym problemem dla spółki jest fakt, iż nie ma ona żadnych możliwości kontroli, w jaki sposób podmiot trzeci, który uzyskałby żądane dane, faktycznie z nich skorzysta. Wyrażona została obawa o wykorzystanie pozyskanych danych w inny sposób niż do postępowania przed sądem, szczególnie, iż z charakteru wpisów wywnioskować można, że osoby będące autorami przedmiotowych wpisów w sprawie są bezpośrednio związane z Muzeum Narodowym w W.. Prezentowana przez spółkę koncepcja, zgodnie z którą należy interpretować normę art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną jako zakaz udostępniania danych innym podmiotom niż organy państwa, eliminuje tę kwestię, gdyż organy te mogą wykorzystać te dane jedynie w celach prawnie uzasadnionych.

Strona skarżąca umotywowała swój wniosek o wstrzymanie wykonania decyzji, argumentując to spełnieniem przesłanek wskazanych w art. 61 ust. 3 ustawy Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2012 poz. 270). W ocenie skarżącej, wykonanie decyzji pociągnie za sobą skutki nie tyle trudne do odwrócenia, co w ogóle nieodwracalne, albowiem nawet w przypadku uznania, że nakazanie udostępnienia danych przez GIODO nie było zgodne z prawem, to Muzeum już zdąży się z tymi danymi zapoznać. Zniweczy to zatem cały sens postępowania sądowoadministracyjnego wszczętego skargą.

W odpowiedzi na skargę Generalny Inspektor Danych Osobowych wniósł o jej oddalenie, podtrzymując w całości dotychczasowe stanowisko w sprawie.

W dniu 24 lipca 2013 r. wydane zostało postanowienie, którym wstrzymano wykonanie zaskarżonej decyzji. Sąd uznał za słuszne argumenty przedstawione przez stronę skarżącą, dotyczące nieodwracalności skutków przekazania żądanych przez Muzeum Narodowe danych, co do nakazania udostępnienia których dopiero ma wypowiedzieć się Sąd.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Stosownie do treści art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.

Skarga analizowana pod tym kątem zasługuje na uwzględnienie w zakresie wskazanym w sentencji orzeczenia.

W niniejszej sprawie przedmiotem rozpoznania jest skarga A. S.A z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2013 r., którą to decyzją organ nakazał skarżącej udostępnienie na rzecz Muzeum Narodowego w W. danych osobowych w zakresie adresów IP komputerów oraz w zakresie kodów pocztowych niżej wskazanych użytkowników:

– użytkownika prowadzącego [...],

– użytkownika o nicku [...], który zamieścił w serwisie [...] komentarze dnia [...] marca 2010 r. o godz. [...], [...], [...], dnia [...] marca 2010 r. o godz. [...], [...].

W stosunku zaś do następujących użytkowników Generalny Inspektor nakazał udostępnić dane osobowe w zakresie adresów IP komputerów:

– użytkownika prowadzącego blog [...],

– użytkownika o nicku [...], który zamieścił w serwisie [...] komentarze dnia [...] marca 2010 r. o godz. [...],

– użytkownika o nicku [...], który zamieścił w serwisie [...] komentarze dnia [...] marca 2010 r. o godz. [...], dnia [...] lipca 2010 r. o godz. [...] oraz dnia [...] sierpnia 2010 r. o godz. [...].

Decyzją tą organ utrzymał również w mocy tę część swojej decyzji z dnia [...] października 2012 r., którą umorzył postępowanie w pozostałym zakresie, co do danych żądanych przez Muzeum Narodowe.

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych osobowych (art. 2 ust. 1 ustawy).

Stosownie do brzmienia art. 7 pkt 2 ustawy, pod pojęciem przetwarzania danych rozumieć należy jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Każda ze wskazanych w art. 7 pkt 2 ustawy form przetwarzania danych osobowych powinna znaleźć oparcie w jednej z przesłanek warunkujących legalność procesu przetwarzania danych osobowych, enumeratywnie wymienionych w art. 23 ust. 1 ustawy.

Jedną z takich przesłanek normuje art. 23 ust. 1 pkt 5 pow. ustawy o ochronie danych osobowych, będący podstawą materialnoprawną zaskarżonej decyzji. Przepis ten stwarza prawną możliwość przetwarzania danych osobowych, w tym ich udostępnienia, jeżeli jest to niezbędne dla wypełnienia prawnie usprawiedliwionego celu realizowanego przez administratora danych albo odbiorcę danych, przy jednoczesnym zastrzeżeniu, że udostępnienie danych nie naruszy praw i wolności osób, których dane dotyczą.

W rozpoznawanej sprawie Generalny Inspektor Ochrony Danych Osobowych, nakazując A. S.A udostępnienie Muzeum Narodowemu w W. danych osobowych, w tym w stosunku do części użytkowników tylko w zakresie adresu IP komputera, a w części również kodu pocztowego, uznał, że żądanie Muzeum Narodowego w W. wypełnia dyspozycję cytowanego przepisu art. 23 ust. 1 pkt 5 ustawy, bowiem jest mu to niezbędne do wytoczenia powództwa przeciwko osobom z zakresu ochrony dóbr osobistych, w związku z zamieszczonymi przez te osoby komentarzami w serwisie [...]. Uznał również, że w sprawie nie ma zastosowania przepis art. 18 ust. 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.), zgodnie z którym "usługodawca udziela informacji o danych, o których mowa w ust. 1 – 5 organom państwa na potrzeby prowadzonych przez nie postępowań."

A zatem, rozpoznając niniejszą sprawę odpowiedzieć należy na pytanie, czy przy tego typu żądaniu możliwe jest zastosowanie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, czy też art. 18 ust. 6 u.ś.u.d.e. wyłącza udostępnianie danych podmiotom innym niż wskazane w tym przepisie. W tym miejscu wskazać należy, że problem stosowania art. 18 ust. 6 u.ś.u.d.e. w kontekście możliwości zastosowania art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, był przedmiotem rozważań Naczelnego Sądu Administracyjnego w wyroku z dnia 21 sierpnia 2013 r. o sygn. akt I OSK 1666/12. W orzeczeniu tym Sąd badał wprawdzie ten problem w sytuacji, gdy obowiązywał jeszcze art. 29 ust. 2 pow. ustawy o ochronie danych osobowych, jednakże stanowisko w nim zawarte jest aktualne, a Sąd rozpoznający niniejszą sprawę w pełni je podziela i traktuje za własne, stąd obszernie cytuje jego fragmenty.

Wskazać należy, że przepis art. 18 ust. 6 u.ś.u.d.e. jest przeniesieniem na grunt prawa krajowego art. 4 Dyrektywy 2006/24/WE Parlamentu europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE.

Takiemu rozumieniu norm prawa europejskiego - a w konsekwencji również prawa krajowego - sprzeciwia się Europejski Trybunał Sprawiedliwości w wyroku z dnia 19 kwietnia 2012 r. Bonnier Audio i In. przeciwko Perfect Communication Sweden AB, sygn C – 461/ 10, który stwierdza, że przepisy prawa unijnego, w tym art. 3-5 powołanej wcześniej dyrektywy, nie sprzeciwiają się normom krajowym umożliwiającym wydanie nakazu udostępniania danych osobowych abonenta usług internetowych (w tym adresu IP) na potrzeby sądowego postępowania cywilnego, jeżeli przy wydawaniu nakazu dokonane zostanie wyważenie przeciwstawnych interesów – stosownie do okoliczności każdego przypadku oraz przy należytym uwzględnieniu wymogów wynikających z zasady proporcjonalności.

W sprawie toczącej się przed Trybunałem przedmiotem ochrony było prawo własności intelektualnej. Dobrami równie chronionymi przez prawo unijne są prawo do ochrony dobrego imienia, wizerunku czy wiarygodności przedsiębiorcy.

Z zaprezentowanego wyroku ETS wynika, że przepisy Dyrektywy 2006/24/WE z 15 marca 2006 r., a więc także oparty na nich art.18 ust.6 u.ś.u.d.e., nie wykluczają ujawnienia tożsamości abonenta naruszającego podstawowe prawa i wolności.

Stosownie bowiem do art. 16 u.ś.u.d.e., do przetwarzania danych osobowych w rozumieniu u.o.d.o. w związku ze świadczeniem usług drogą elektroniczną stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej. Z brzmienia art. 18 ust.6 u.ś.u.d.e. wynika zatem jedynie obowiązek udzielenia informacji o danych, organom państwa na potrzeby prowadzonych przez nie postępowań. Nie wynika natomiast zakaz udostępniania tych danych osobom, których prawa zostały naruszone.

Jednakże organ nakazujący ujawnienie takich danych, musi każdorazowo, przy uwzględnieniu indywidualnych okoliczności danej sprawy dokonać wyważenia przeciwstawnych interesów jakimi są prawo do ochrony danych osobowych i prawo do ochrony czci, godności, dobrego imienia czy też wizerunku firmy. Należy przy tym w sposób należyty uwzględniać wymogi wynikające z zasady proporcjonalności, tak aby stosowane środki były adekwatne do zagrożenia dobra wymagającego w danej sprawie większej ochrony.

Pogląd taki jest zgodny z normami konstytucyjnymi, a zwłaszcza z art. 31 ust. 2 i 3 Konstytucji RP, z którego wynika, że każdy jest obowiązany szanować wolności i prawa innych, a ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane w ustawie i tylko wtedy, gdy są konieczne m. in. dla ochrony wolności i praw innych osób. Przepisy ustawy o ochronie danych osobowych pozwalające na ujawnienie tych danych we wskazanych w ustawie przypadkach są właśnie takim wyjątkiem pozwalającym osobie, której prawa naruszono, dochodzić należnej jej w demokratycznym państwie ochrony.

Natomiast osoba dokonująca tych naruszeń musi mieć świadomość, że nie może nadużywać swoich praw naruszając prawa innych. Nie ma to nic wspólnego z ograniczaniem zasady wolności słowa. Wolność wyrażania swoich poglądów związana jest z ponoszeniem za poglądy te odpowiedzialności. Każdy kto wypowiada się publicznie, poza Internetem, ma świadomość co do ewentualnych konsekwencji wypowiedzi, które naruszają podstawowe, ustawowo chronione prawa innych osób.

Nieuzasadnione niczym jest natomiast twierdzenie, że ktoś wypowiadający się anonimowo, w sposób naruszający dobra innych podmiotów ma podlegać szczególnej ochronie i to jego dane osobowe są dobrem, które ustawodawca miał zamiar chronić w pierwszej kolejności.

Jak wyżej było powiedziane, udostępnianie danych osobowych jest jedną z operacji wykonywanych na danych osobowych w ramach ich przetwarzania (art. 7 pkt 2 u.o.d.o.). Przed dokonaną nowelizacją ustawy o ochronie danych osobowych (do 7 marca 2011 r.) ustawodawca przewidywał udostępnienie danych osobowych osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa (np. Policji lub Agencji Bezpieczeństwa Wewnętrznego) oraz innym osobom i podmiotom (na pisemny i umotywowany wniosek), ale musiały one w sposób wiarygodny uzasadnić potrzebę ich posiadania (art. 29 u.o.d.o.). Udostępnienie danych nie mogło jednak naruszać praw i wolności osoby, której dane dotyczyły.

W wyniku wejścia w życie nowych przepisów (ustawa z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw – Dz. U. z 2010 r. Nr 229, poz. 1497), które uchyliły art. 29 ustawy o ochronie danych osobowych, nie ma obecnie przepisu, który jednoznacznie wskazywałby na możliwość uzyskania danych osobowych, co spowodowało powstanie luki prawnej w zakresie zasad udostępniania danych osobowych, w tym określenia podstawy udostępnienia danych.

Podkreślenia wymaga, że celem zmiany u.o.d.o. poprzez wykreślenie art. 29 było dostosowanie polskiego ustawodawstwa do przepisów prawa UE. Wiarygodne uzasadnienie potrzeby posiadania danych osobowych nie powinno zdaniem ustawodawcy stanowić samoistnej przesłanki udostępnienia danych osobie trzeciej. Uchylenie art. 29 ustawy miało również mieć charakter porządkujący. Nieuzasadnione było poddanie odrębnemu reżimowi wyłącznie procesu udostępniania danych osobowych w celach innych niż włączenie do zbioru, w sytuacji, gdy istnieją generalne zasady - określone w art. 23 ust. 1 i art. 27 ust. 2 ustawy - regulujące legalność przetwarzania, a zatem również udostępniania danych. Obecnie obowiązujący stan prawny pozwala na wysnucie wniosku, iż w ramach obowiązującego prawa można domagać się ujawnienia danych, jakie zgromadził administrator serwisu internetowego poprzez stosowanie mniej restrykcyjnej ustawy niż u.ś.u.d.e., czyli u.o.d.o., a konkretniej art. 23 tej ustawy (poprzez przetwarzanie danych, w tym ich udostępnianie), ale pod pewnymi warunkami.

Warunkami tymi są proporcjonalność środków i celów oraz równowaga pomiędzy ochroną różnych dóbr: wolności wypowiedzi i prawa do ochrony dóbr osobistych. Podmiot żądający udostępnienia danych osobowych musi swoje stanowisko uzasadnić. Wedle art. 23 ust. 1 pkt 5, muszą być to "prawnie usprawiedliwione cele". W przypadku odmowy udostępnienia danych przez podmiot, będący ich administratorem, strona może złożyć wniosek do GIODO, który po przeprowadzeniu stosownego postępowania może w drodze decyzji nakazać udostępnienie danych osobowych. Istotna w tym zakresie jest ocena GIODO, która powinna być uzależniona od okoliczności konkretnej sprawy, bowiem zarówno u.ś.u.d.e., jak i u.o.d.o. będzie miała w tym zakresie zastosowanie.

Podejmując decyzję, GIODO musi w każdej indywidualnej sprawie ocenić, które dobra chronione przez prawo są ważniejsze – dane osobowe czy interes gospodarczy przedsiębiorstwa. Organ stwierdzi więc, czy żądane przez wnioskodawcę dane rzeczywiście są mu potrzebne po to, aby wszcząć postępowanie sądowe, czy też tylko po to, by dowiedzieć się, kto jest autorem wpisu zamieszczonego w Internecie. Administrator może przekazać dane wyłącznie, gdy zgłaszający oświadczy, że ma uzasadniony interes prawny.

Zasadność żądania danych powinna być jednak oceniana każdorazowo czy to przez dysponenta danych, czy ewentualnie przez GIODO. Stronie niezadowolonej z rozstrzygnięcia organu przysługuje w takim wypadku uprawnienie do wniesienia skargi do sądu administracyjnego.

W konsekwencji należy stwierdzić, że na gruncie prawa polskiego, udostępnienie danych dla potrzeb postępowania sądowego ma podstawę, co potwierdza omówiony wcześniej wyrok Europejskiego Trybunału Sprawiedliwości z 19 kwietnia 2012 r. Bonnier Audio i in. przeciwko Perfect Communication Sweden AB, C-461/10, (por. A. Jakubowski, glosa do wyroku NSA z 19.05.2011 r., I OSK 1079/10, MP nr 18, 2012 r., s 997).

Wracając jednak do stanowiska Generalnego Inspektora Ochrony Danych osobowych, wyrażonego w zaskarżonej decyzji, to stwierdzić należy, że skarga złożona w niniejszej sprawie przez A. S.A. zasługuje jednak na uwzględnienie, ponieważ organ nie wyważył interesów stron postępowania – podmiotu żądającego ujawnienia danych osobowych oraz administratora tych danych i osób, których dane te dotyczą.

Zdaniem Sądu, uczestnik postępowania – Muzeum Narodowe w W. nie wykazał prawnie usprawiedliwionego celu, dla którego realizacji konieczne byłoby pozyskanie żądanych danych tj. adresu IP komputera oraz w dwóch przypadkach dodatkowo kodu pocztowego. Wskazać należy, że pow. ustawa o ochronie danych osobowych wprawdzie nie precyzuje co oznacza "niezbędne do wypełnienia prawnie usprawiedliwionych celów" ani nie zawiera dyrektyw, jak należy ten zwrot interpretować, nie zwalnia to jednakże żądających ujawnienia takich danych od uzasadnienia swojego stanowiska w taki sposób, ażeby wynikało w sposób niebudzący wątpliwości, że uzyskane dane są mu niezbędne dla wypełnienia realizowanego celu. Samo zaś powołanie się na takie cele, zdaniem Sądu, jest niewystarczające dla prawidłowej realizacji przesłanki z art. 23 ust. 1 pkt 5 pow. ustawy o ochronie danych osobowych.

W rozpoznawanej sprawie uczestnik postępowania, uzasadniając swój wniosek o udostępnienie wskazanych przez niego danych osobowych, podał jedynie, że zamierza skorzystać z drogi postępowania cywilnego, nie wykazując, że podjął w tym kierunku jakiekolwiek działania, które napotkały na przeszkody natury formalnej. Ocena taka wymaga też wyważenia racji i interesów z jednej strony wnioskodawcy, a z drugiej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes, aby jej dane nie były przetwarzane bez jej zgody. Wyważenie tych interesów jest warunkiem koniecznym przy stosowaniu powołanego przepisu, z uwzględnieniem rangi tych interesów w realiach konkretnej sprawy. A zatem analiza ta winna być przeprowadzona z uwzględnieniem dyrektywy kierunkowej przewidzianej w art. 7 k.p.a, czyli "mając na względzie interes społeczny i słuszny interes obywateli". Wskazać należy, że niewskazanie danych pozwanego wprawdzie nie wyklucza dopuszczalności złożenia pozwu, ale uniemożliwia nadanie mu prawidłowego biegu, a tym samym może skutkować podjęciem przez przewodniczącego czynności przewidzianych w art. 130 § 2 kpc. W toku zaś wszczętego procesu przedmiotowy brak może stanowić przesłankę do zawieszenia postępowania na podstawie art. 177 § 1 pkt 6 kpc. Dlatego należy przyjąć, że niezbędne dla wypełnienia prawnie usprawiedliwionych celów pozyskanie danych, których żąda uczestnik postępowania mogłoby zachodzić, ale dopiero po wszczęciu przez osobę żądającą procesu przeciwko naruszającym jego dobra osobiste. Sama zaś deklaracja dotycząca zainicjowania w przyszłości procesu omawianej przesłanki nie spełnia. Zamiar taki może bowiem nie być w ogóle zrealizowany.

Tak więc Generalny Inspektor Ochrony Danych Osobowych, nakazując A. S.A. udostępnienie wskazanych wyżej danych, nie wyważył racji i interesów z jednej strony wnioskodawcy, a z drugiej strony osób, których dane dotyczą, mających objęty ochroną prawną interes, aby ich dane nie były przetwarzane bez ich zgody. Wyważenie tych interesów jest warunkiem koniecznym przy stosowaniu powołanego przepisu, z uwzględnieniem rangi tych interesów w realiach konkretnej sprawy.

Organ zatem ponownie rozpoznając wniosek uczestnika postępowania weźmie pod uwagę stanowisko Sądu, wyrażone w uzasadnieniu tego orzeczenia, ze szczególnym uwzględnieniem art. 7 kpa i wynikającej z niego zasady równoważenia interesu społecznego i słusznego interesu obywateli.

Z tych względów, uznając skargę za uzasadnioną, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. "a" i "c" ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t. j.: Dz. U. z 2012 r., poz. 270 ze zm.), orzekł jak w sentencji.

W oparciu o art. 152 ww. ustawy, Sąd wstrzymał wykonanie zaskarżonej decyzji w całości.

O kosztach orzeczono na podstawie art. 200 i art. 209 ww. ustawy – Prawo o postępowaniu przed sądami administracyjnymi.