Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA – Jacek Fronczyk (sprawozdawca) Sędzia WSA – Ewa Marcinkowska Sędzia WSA – Iwona Dąbrowska Protokolant – specjalista Marek Kozłowski po rozpoznaniu na rozprawie w dniu 25 października 2013 r. sprawy ze skargi A. S. A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2013 r. nr [...] w przedmiocie nakazu udostępnienia danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] sierpnia 2012 r. w zakresie nakazującym A. S. A. z siedzibą w W. udostępnienie danych osobowych; 2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości; 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącej A. S. A. z siedzibą w W. kwotę 457 (słownie: czterysta pięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania.

Wnioskiem z dnia [...] listopada 2011 r. K. zwróciła się do A. o udostępnienie jej danych osobowych użytkowników portalu G., tj. osób, które:

[...]

na forum internetowym zamieściły określone wpisy na temat K. – w zakresie obejmującym ich imiona, nazwiska, adresy zamieszkania, adresy e-mail oraz numery IP urządzeń, przy wykorzystaniu których zamieszczono ww. wpisy. Spółka K. uzasadniła wniosek niezbędnością posiadania danych ze względu na konieczność dochodzenia na drodze sądowej w stosunku do autorów kwestionowanych wpisów roszczeń z tytułu naruszenia dóbr osobistych, jak również w celu złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa, natomiast jako podstawę prawną tego żądania wskazała art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Spółka A. odmówiła uwzględnienia wniosku.

W tej sytuacji Spółka K. w dniu [...] stycznia 2012 r. zwróciła się do Generalnego Inspektora Ochrony Danych Osobowych z żądaniem nakazania Spółce A. udostępnienia ww. danych osobowych. Zdaniem Spółki K., na skutek zamieszczenia na forum G. ww. wpisów doszło do naruszenia jej dóbr osobistych, a także do popełnienia na jej szkodę czynu zabronionego, stypizowanego w art. 212 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (Dz. U. Nr 88, poz. 553 ze zm.), co stwarza podstawy do dochodzenia roszczeń w ramach istniejących procedur i czyni niezbędnym uzyskanie wnioskowanych danych osobowych.

W toku postępowania przed Generalnym Inspektorem Ochrony Danych Osobowych Spółka K. przedstawiła treść kwestionowanych wpisów (zacytowała je), wskazując, że ukazały się one w temacie założonym na forum G. o nazwie "W.", co nie pozostawia wątpliwości, o jakiej Spółce piszą użytkownicy. Zaznaczyła, że obecnie nie można kwestionowanych wpisów znaleźć, gdyż zostały usunięte przez administratorów serwisu G., po wezwaniu Spółki A. do usunięcia skutków naruszeń dóbr osobistych w piśmie z dnia [...] listopada 2011 r. W ocenie Spółki K., Spółka A. odniosła się pozytywnie do wezwania, usuwając kwestionowane wpisy, które przedstawiały K. w negatywnym świetle, co świadczy, że wpisy te występowały, a co więcej – że naruszały dobra osobiste K., jej wspólników i członków organów.

W piśmie z dnia [...] kwietnia 2012 r. Spółka K. poinformowała, że Spółka A. posiada jedynie adres e-mail oraz adres IP komputera użytkownika o nicku "[...]", który zamieścił na forum portalu G. wypowiedź dnia [...] kwietnia 2010 r. o godzinie 18:40, nie odnaleziono zaś wpisu użytkownika o nicku "[...]" z dnia [...] września 2007 r. o godzinie 19:53. W odniesieniu do pozostałych użytkowników objętych wnioskiem, Spółka A. posiada jedynie adresy IP komputera, z którego korzystali użytkownicy, zamieszczając na forum portalu G. przedmiotowe wypowiedzi. Spółka A. wnioskowane informacje przetwarza jako podmiot świadczący na rzecz użytkowników portalu G. usługę drogą elektroniczną, w rozumieniu przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.), polegającą na umożliwianiu im zamieszczania na ww. forum wypowiedzi i wyłącznie dla realizacji ww. celu.

Spółka A. w toku postępowania przyznała, że odmówiła udostępnienia Spółce K. żądanych przez nią danych osobowych (w zakresie, w jakim danymi tymi dysponuje), uznając, że przepisy obowiązującego prawa nie kształtują po jej stronie takiego obowiązku. W szczególności, zdaniem Spółki, przywołany przez Spółkę K. art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych stanowi jedynie podstawę przetwarzania danych, natomiast w żadnym razie nie zobowiązuje administratora do udostępnienia danych. Ponadto, w ocenie Spółki A., udostępnieniu żądanych danych sprzeciwia się art. 18 ust. 6 ww. ustawy o świadczeniu usług drogą elektroniczną, wyznaczający krąg podmiotów, na rzecz których usługodawca świadczący usługi drogą elektroniczną obowiązany jest udostępnić informacje o danych, o których mowa w art. 18 ust. 1-5 (w tym adresy elektroniczne usługobiorcy oraz oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca – art. 18 ust. 1 pkt 6, art. 18 ust. 5 pkt 2 ww. ustawy o świadczeniu usług drogą elektroniczną).

W toku przedmiotowego postępowania, na żadnym jego etapie, Spółka A. nie zakwestionowała ani faktu opublikowania na forum G. wskazanych przez Spółkę K. wpisów (poza wpisem z dnia [...] września 2007 r. o godz.: 19:53, opatrzonym pseudonimem "[...]", którego Spółka nie odnalazła), ani ich treści (tj. tego, że odnosiły się do Spółki K., jak również, że przedstawiały ją w negatywnym świetle).

W oparciu o poczynione w sprawie ustalenia Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] sierpnia 2012 r. nr [...] nakazał Spółce A. udostępnienie na rzecz K. danych osobowych osób, które:

[...]

na forum internetowym G. zamieściły określone wpisy na temat K. – w zakresie obejmującym numery IP urządzeń, przy wykorzystaniu których zamieszczono ww. wpisy, a w przypadku wpisu zamieszczonego w dniu [...] kwietnia 2010 r. o godz.: 18:40 przez użytkownika posługującego się pseudonimem "[...]" – również jego adresu e-mail. Natomiast w pozostałym zakresie organ postępowanie umorzył.

Powyższe rozstrzygnięcie Spółka A. uczyniła przedmiotem wniosku o ponowne rozpatrzenie sprawy, wnosząc o uchylenie decyzji z dnia [...] sierpnia 2012 r. w części dotyczącej nakazania udostępnienia danych osobowych. Podniosła, że nie zgadza się z dokonaną przez GIODO oceną, gdyż wobec uchylenia obowiązywania art. 29 ww. ustawy o ochronie danych osobowych, w aktualnym stanie prawnym brak jest podstaw do wydania przez organ ochrony danych osobowych decyzji nakazującej udostępnienie danych. Wydanie takiej decyzji mogłoby nastąpić w przypadku niewypełnienia przez administratora obowiązku wydania danych. Jej zdaniem, nie ma takiego przepisu, który na administratora obowiązek taki by nakładał. Podkreśliła, że art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych stanowi jedynie podstawę przetwarzania danych, a więc zezwala, uprawnia do przetwarzania danych, gdy jest to niezbędne dla prawnie usprawiedliwionych celów realizowanych przez odbiorcę danych, ale w żadnym razie nie zobowiązuje administratora do udostępnienia danych. Nie można natomiast stawiać podmiotowi uprawnionemu zarzutu, że z uprawnienia nie korzysta. Ponadto, Spółka A. wskazała, że podtrzymuje stanowisko, zgodnie z którym w omawianej sprawie znajdują zastosowanie przepisy ww. ustawy o świadczeniu usług drogą elektroniczną, w oparciu o którą świadczy ona usługi m.in. w postaci forum dyskusyjnego portalu G. Zgodnie zaś z art. 18 ust. 6 ww. ustawy o świadczeniu usług droga elektroniczną, usługodawca udziela informacji o danych, o których mowa w ust. 1–5, organom Państwa na potrzeby prowadzonych przez nie postępowań. Powyższe prowadzi, w ocenie Spółki A., do wniosku, że ustawa o świadczeniu usług drogą elektroniczną wprowadza własne, odrębne uregulowania w zakresie udostępniania danych osobowych, które nie przewidują udzielania informacji o takich danych podmiotom innym, niż organy Państwa.

Jednocześnie Spółka A. podniosła, że każda inna forma przetwarzania, niż udostępnienie danych osobowych – innych, niż wskazane w art. 18 ust. 1-5 ww. ustawy o świadczeniu usług drogą elektroniczną, uregulowana będzie przepisami ww. ustawy o ochronie danych osobowych. W ocenie Spółki, w pozostałych przypadkach, tzn. gdy przetwarzanie jest jednoznaczne z udostępnianiem danych wskazanych w art. 18 ust. 1-5 ww. ustawy o świadczeniu usług drogą elektroniczną, zastosowanie będzie miał art. 18 ust. 6 ww. ustawy o świadczeniu usług drogą elektroniczną. Tym samym, zdaniem Spółki A., wyłączone będą regulacje wskazywane przez organ, w szczególności art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych. Z treści powyższych przepisów Spółka A. wyprowadziła wniosek, że ustawa o świadczeniu usług drogą elektroniczną wprowadza własne, odrębne uregulowania w zakresie udostępniania danych osobowych, które nie przewidują udzielania informacji o takich danych podmiotom innym, niż organy Państwa, co wskazuje, że sam zamiar wytoczenia powództwa przeciwko autorom przedmiotowych wpisów nie uzasadnia obowiązku udostępnienia danych.

Po ponownym rozpatrzeniu sprawy, Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] stycznia 2013 r. nr [...] utrzymał w mocy zaskarżoną decyzję.

W motywach decyzji organ wyjaśnił, że ocenę stanu faktycznego sprawy należy przeprowadzić w oparciu o art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych. W myśl art. 7 pkt 2 ww. ustawy, ilekroć jest w niej mowa o przetwarzaniu danych, rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, w tym ich udostępnianie. Każda forma przetwarzania danych osobowych powinna znaleźć oparcie w jednej z przesłanek warunkujących legalność tego procesu, enumeratywnie wymienionych w art. 23 ust. 1 ww. ustawy. Niezależnie od zgody osoby, której dane dotyczą (art. 23 ust. 1 pkt 1), przetwarzanie danych jest dopuszczalne wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5). Zdaniem organu, odmowa udostępnienia danych osobowych przez Spółkę A., pomimo zaistnienia przesłanki określonej w art. 23 ust. 1 pkt 5 ww. ustawy, narusza ten przepis, w związku z czym konieczne jest przywrócenie stanu zgodnego z prawem.

Odnosząc się do zarzutów Spółki dotyczących niezastosowania w niniejszej sprawie przepisów ustawy o świadczeniu usług drogą elektroniczną, organ wyjaśnił, że z treści art. 18 ust. 6 tej ustawy nie wynika niedopuszczalność udostępniania podmiotom innym, niż organy Państwa, informacji, o których mowa w ust. 1-5 tego artykułu. W ocenie organu, przepis ten – stanowiący, że usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom Państwa na potrzeby prowadzonych przez nie postępowań – jedynie zobowiązuje usługodawcę do udostępniania informacji organom Państwa i nie należy go interpretować rozszerzająco jako normy zakazującej udostępniania tych informacji innym podmiotom. Zdaniem Generalnego Inspektora Ochrony Danych Osobowych, gdyby zamiarem ustawodawcy było ograniczenie możliwości udostępnienia informacji, o których mowa w art. 18 ust. 1-5 ww. ustawy o świadczeniu usług drogą elektroniczną, tylko do organów określonych w art. 18 ust. 6 tej ustawy, wskazałby to wprost w treści przepisu, np. przy użyciu zwrotu "wyłącznie". Ten sposób wyznaczania zamkniętego kręgu podmiotów zastosowany został – jak wskazał organ – np. w art. 66g i art. 66j § 4 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (t. j.: Dz. U. z 2005 r. Nr 229, poz. 1954 ze zm.), art. 72 ust. 1 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228) i art. 105 ust. 1 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (t. j.: Dz. U. z 2002 r. Nr 72, poz. 665 ze zm.). Zasadne jest zatem, w ocenie GIODO, zastosowanie środka, o którym mowa w art. 18 ust. 1 pkt 2 ww. ustawy o ochronie danych osobowych, zgodnie z którym w przypadku naruszenia przepisów o ochronie danych osobowych organ z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych – a co za tym idzie, wydaje nakaz, jak w niniejszej sprawie, zobowiązujący Spółkę A. do udostępnienia Spółce K. żądanych przez nią danych osobowych.

GIODO zaznaczył, że zgodnie z art. 23 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm.), dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego, niezależnie od ochrony przewidzianej w innych przepisach. Stosownie do art. 24 § 1 kc, ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności, ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w Kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. Zgodnie z art. 24 § 2 kc, jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych. Jednocześnie, w myśl art. 448 kc, w razie naruszenia dobra osobistego sąd może przyznać temu, czyje dobro zostało naruszone, odpowiednią sumę, tytułem zadośćuczynienia za doznaną krzywdę lub na jego żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez niego cel społeczny, niezależnie od innych środków potrzebnych do usunięcia skutków naruszenia. Sporządzenie pozwu do sądu cywilnego w związku z naruszeniem dóbr osobistych wymaga podania danych osobowych osoby pozwanej. Dla skutecznego wytoczenia powództwa niezbędne jest więc wniesienie do sądu pisma, które spełniać będzie warunki określone w art. 187 § 1 ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz. U. Nr 43, poz. 296 ze zm.). Zgodnie z tym przepisem, pozew powinien czynić zadość warunkom pisma procesowego. Natomiast, w myśl art. 126 § 1 pkt 1 kpc, każde pismo procesowe powinno zawierać oznaczenie sądu, do którego jest skierowane, imię i nazwisko lub nazwę stron, ich przedstawicieli ustawowych i pełnomocników. Ponadto, zgodnie z art. 126 § 2 kpc, gdy pismo procesowe jest pierwszym pismem w sprawie, powinno ponadto zawierać oznaczenie miejsca zamieszkania lub siedziby stron, ich przedstawicieli ustawowych i pełnomocników oraz przedmiotu sporu, pisma zaś dalsze – sygnaturę akt. Jednocześnie należy wskazać, że zgodnie z art. 212 § 1 Kodeksu karnego, kto pomawia inną osobę, grupę osób, instytucję, osobę prawną lub jednostkę organizacyjną, która nie ma osobowości prawnej, o takie postępowanie lub właściwości, które mogą poniżyć ją w opinii publicznej lub narazić na utratę zaufania potrzebnego dla danego stanowiska, zawodu lub rodzaju działalności, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Jeżeli sprawca dopuszcza się czynu określonego w § 1 za pomocą środków masowego komunikowania, zagrożenie karą pozbawienia wolności wzrasta do 2 lat (art. 212 § 2 kk). W razie skazania za przestępstwo określone w § 1 lub 2, sąd może orzec nawiązkę na rzecz pokrzywdzonego, Polskiego Czerwonego Krzyża albo na inny cel społeczny wskazany przez pokrzywdzonego (art. 212 § 3 kk). Ściganie przestępstwa określonego w § 1 lub 2 odbywa się z oskarżenia prywatnego (art. 212 § 4 kk). Dla właściwego sformułowania prywatnego aktu oskarżenia niezbędne są dane osobowe oskarżonego w zakresie jego imienia i nazwiska oraz adresu zamieszkania. Zgodnie z regulującym tę kwestię art. 487 ustawy z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego (Dz. U. Nr 89, poz. 555 ze zm.), akt oskarżenia w postępowaniu w sprawach z oskarżenia prywatnego może ograniczyć się do oznaczenia osoby oskarżonego, zarzucanego mu czynu oraz wskazania dowodów, na których opiera się oskarżenie. Na tym tle organ zaznaczył, że niezbędnym elementem pozwu, tak o naruszenie dóbr osobistych, jak i prywatnego aktu oskarżenia, jest oznaczenie imienia, nazwiska i miejsca zamieszkania osoby, w stosunku do której żądanie bądź zarzut są skierowane.

W ocenie GIODO, niezbędność dysponowania przez Spółkę K. informacjami indywidualizującymi osoby, przeciwko którym zamierza ona skierować prywatny akt oskarżenia oraz powództwo w związku z zarzutem nieuprawnionej ingerencji w sferę jej dóbr osobistych, nie budzi wątpliwości. W sytuacji, gdy nie dysponuje ona zasadniczo żadnymi informacjami o osobach, które w określonych datach i godzinach, posługując się określonymi pseudonimami bądź występując całkowicie anonimowo, zamieściły na forum internetowym G. kwestionowane wpisy na jej temat – poza tymi, które wynikały z ich opublikowania (tj. – oprócz dat, godzin i treści publikacji – pseudonimami, którymi posłużyły się te osoby w celu ukrycia swojej tożsamości), zasadnym jest przyjęcie, że podejmowanie przez nią działań służących ustaleniu tożsamości tych osób, w celu pociągnięcia ich do odpowiedzialności cywilnej i karnej w związku z treścią tych publikacji, mieści się w pojęciu jej prawnie usprawiedliwionych celów. Oczywiste jest, w ocenie organu, że pozyskanie (przetwarzanie) danych osobowych w ww. celu w każdym przypadku zostanie uznane przez osoby, których dane te dotyczą, za sprzeczne z ich interesem. Okoliczność ta – zwłaszcza mając na uwadze prawne gwarancje obrony przed roszczeniami strony przeciwnej – nie świadczy, zdaniem Generalnego Inspektora Ochrony Danych Osobowych, o naruszeniu ich praw i wolności. Przyjęcie przeciwnego stanowiska skutkowałoby, w jego opinii, bezzasadną ochroną tego, kto mógł dopuścić się bezprawnej ingerencji w sferę prawnie chronionych interesów innej osoby (zwłaszcza przekonany o anonimowości, jaką gwarantuje mu sieć Internet) przed ewentualną odpowiedzialnością za jego działania. Organ wskazał, że – w jego ocenie – niezasadne są obawy odnośnie zagrożenia dóbr osób, których dane zostają udostępnione, spowodowanego przedwczesnym wnioskiem o udostępnienie danych osobowych. W chwili, gdy Spółka K. zbierze udostępnione jej przez Spółkę A. dane osobowe, stanie się wówczas ich administratorem, w rozumieniu przepisów ustawy o ochronie danych osobowych. W związku z tym przetwarzanie przez nią tych danych będzie podlegało regułom wyznaczonym przez przepisy ustawy, w szczególności zaś wynikającemu z jej art. 26 ust. 1 pkt 2 obowiązkowi niepoddawania zebranych danych dalszemu przetwarzaniu niezgodnemu z celami zebrania (zasada celowości), a kontrola zgodności przetwarzania tych danych z przepisami o ochronie danych osobowych będzie należała do kompetencji GIODO.

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na powyższą decyzję Spółka A. podtrzymała swoje zarzuty i twierdzenia zawarte we wniosku o ponowne rozpatrzenie sprawy, zarzucając naruszenie art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych, a także art. 16 ust. 1 i art. 18 ust. 6 ww. ustawy o świadczeniu usług drogą elektroniczną, a także art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.) w związku z art. 18 ust. 1 pkt 2 ww. ustawy o ochronie danych osobowych, poprzez wydanie decyzji nakazującej udostępnienie danych osobowych użytkowników portalu G. w sytuacji braku ku temu podstaw. Spółka A. wniosła o uchylenie zaskarżonej decyzji oraz decyzji ją poprzedzającej w zakresie nakazującym udostępnienie danych osobowych, o zasądzenie kosztów postępowania według norm przepisanych, a także o wstrzymanie wykonania zaskarżonej decyzji.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, argumentując tak, jak to czynił w uzasadnieniu zaskarżonej decyzji.

Postanowieniem z dnia 9 kwietnia 2013 r. o sygn. akt II SA/Wa 605/13 Wojewódzki Sąd Administracyjny w Warszawie wstrzymał wykonanie zaskarżonej decyzji.

Przy piśmie procesowym z dnia [...] lipca 2013 r. Spółka A. nadesłała postanowienie Prokuratora Prokuratury Rejonowej w C. z dnia [...] lipca 2013 r. o sygn. akt [...], mocą którego Prokurator zażądał od niej danych adresów IP, których udostępnienie było przedmiotem postępowania przed GIODO w niniejszej sprawie. W jej ocenie, potwierdza to możliwość dochodzenia przez Spółkę K. roszczeń za pośrednictwem organów władzy państwowej, a zatem przy zastosowaniu art. 18 ust. 6 ww. ustawy o świadczeniu usług drogą elektroniczną.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Stosownie do treści art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.

Skarga analizowana pod tym kątem zasługuje na uwzględnienie.

W rozpoznawanej sprawie jej przedmiotem jest nakaz udostępnienia danych osobowych użytkowników portalu internetowego G., wszak tylko ta część decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2012 r. nr [...] została poddana kontroli instancyjnej, włącznie za skargą do Sądu. Podstawę prawną rozstrzygnięcia w tym zakresie stanowi art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), który stwarza prawną możliwość przetwarzania danych osobowych, w tym ich udostępnienia, jeżeli jest to niezbędne dla wypełnienia prawnie usprawiedliwionego celu realizowanego przez administratora danych albo odbiorcę danych, przy jednoczesnym zastrzeżeniu, że udostępnienie danych nie naruszy praw i wolności osób, których dane dotyczą. Na tle tego przepisu należy zaznaczyć kilka kwestii. Po pierwsze, dotyczy on administratorów danych. Po drugie, przetwarzanie na podstawie omawianego przepisu musi być konieczne do osiągania prawnie usprawiedliwionych celów. Po trzecie, w przypadku udostępniania danych osobowych stwierdzenie istnienia usprawiedliwionych celów powinno dotyczyć administratora udostępniającego lub podmiotu, który jest zainteresowany otrzymaniem danych (któremu są one przekazywane). Po czwarte, przetwarzanie danych do tych celów musi być "niezbędne". Po piąte, przetwarzanie danych nie może naruszać praw i wolności osoby, której dane dotyczą (J. Barta, P. Fajgielski, R. Markiewicz, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2011).

Cel, jaki realizuje podmiot wnoszący o nakazanie udostępnienia danych osobowych w niniejszej sprawie, wiąże się z dochodzeniem zarówno roszczeń w płaszczyźnie prawnokarnej, jak i cywilnoprawnej. Generalny Inspektor Ochrony Danych Osobowych uznał za usprawiedliwioną realizację tego celu, nakazując skarżącej udostępnienie określonych w decyzji danych użytkowników portalu internetowego G. Co do zasady – należy zgodzić się z organem ochrony danych osobowych, że realizacja roszczeń prawnokarnych i cywilnoprawnych stanowi prawnie usprawiedliwiony cel – w tym przypadku – podmiotu, który jest zainteresowany pozyskaniem danych, a więc odbiorcy danych, wszak dochodzenie prawnej ochrony na drodze sądowej jest celem prawnie usprawiedliwionym, zważywszy na zagwarantowane w art. 45 ust. 1 w związku z art. 77 ust. 2 Konstytucji Rzeczypospolitej Polskiej prawo do sądu. Należy jednak zaznaczyć, że samo ustalenie, że administrator danych osobowych (odbiorca danych) realizuje cel prawnie usprawiedliwiony, nie może przesądzić o dopuszczalności przetwarzania danych osobowych (udostępnienia danych) bez zgody osoby, której dane dotyczą. Stosownie bowiem do cytowanego przepisu art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych, przetwarzanie danych w oparciu o niego jest tylko wtedy dopuszczalne, gdy jest niezbędne i nie narusza ono praw i wolności osób, których dane dotyczą. Konieczne jest zatem każdorazowe dokonanie przez administratora danych, bądź organ ochrony danych osobowych, oceny, czy udostępnienie danych, względnie – nakazanie udostępnienia danych, jest niezbędne dla realizacji tego celu, i co istotne – dokonanie wyważenia interesów administratora danych (odbiorcy danych), zwłaszcza w aspekcie prawa do dochodzenia roszczeń, w szczególności prawnych możliwości w tym aspekcie, i interesów osoby (osób), której dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności. Z jej art. 1 wynika, że każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 ustawy, dopuszczalne jest tylko ze względu na określone dobra i tylko w zakresie i trybie określonym ustawą. Nakazanie udostępnienia danych nie może zatem opierać się jedynie na przesłance prawnie usprawiedliwionego celu realizowanego przez odbiorcę danych, wymagane jest bowiem, by udostępnienie było podyktowane niezbędnością i nie naruszało praw i wolności osoby, której dane dotyczą. Zatem ocena ta ma służyć wyważeniu racji i interesów, z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes, aby jej dane osobowe nie były przetwarzane bez jej zgody, a z drugiej strony – administratora danych czy odbiorcy danych, który ma także objęty ochroną prawną interes polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia.

Ustawa o ochronie danych osobowych służy ochronie danych osobowych. Jeśli zasadą jest, że dane osobowe mogą być przetwarzane za zgodą osoby, której dotyczą, to wszelkie wyjątki od niej muszą być – co warto podkreślić – interpretowane ściśle, o czym w dalszej części rozważań. Ustawa wprowadza wiele rozwiązań, które umożliwiają swobodne i zarazem dopuszczalne przetwarzanie danych osobowych w różnych sytuacjach. Z drugiej zaś strony, dokonując wykładni przepisów ustawy o ochronie danych osobowych, należy również wziąć pod uwagę cele i podstawowe jej założenia, określone w art. 1 ust. 2, gdzie wskazano, iż przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich. Mając na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony własnej prywatności, ma swoje źródło w przepisach art. 47, art. 49, art. 50 i art. 51 Konstytucji Rzeczypospolitej Polskiej. W praktyce prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie.

Zgodnie z art. 47 Konstytucji RP, każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. W myśl art. 49 ustawy zasadniczej, zapewnia się wolność i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony. Z kolei w świetle art. 51 ust. 1-5 Konstytucji RP, nikt nie może być obowiązany inaczej, niż na podstawie ustawy, do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach, niż niezbędne w demokratycznym Państwie prawnym. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa. Natomiast według treści art. 54 ustawy zasadniczej, każdemu zapewnia się wolność wyrażania swoich poglądów oraz pozyskiwania i rozpowszechniania informacji.

Kryteria ważenia kolidujących ze sobą powyższych wartości konstytucyjnych podlegają ocenie z punktu widzenia mechanizmu proporcjonalności. Stosownie bowiem do art. 31 ust. 3 Konstytucji Rzeczypospolitej Polskiej, ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym Państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i moralności publicznej, albo wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw. Z przepisu tego wynika, że każdy obywatel może korzystać z konstytucyjnych wolności i praw w granicach zakreślonych przez ustawę, albowiem chroniąc sferę wolności obywatelskich, Konstytucja dopuszcza także ograniczenia w zakresie korzystania z konstytucyjnych praw i wolności, stanowiąc, że "mogą być ustanawiane tylko w ustawie". Istotne przy tym jest, że ograniczenia w zakresie korzystania z praw i wolności mogą być wprowadzane tylko wówczas, gdy są konieczne w demokratycznym Państwie w celu zapewnienia jego bezpieczeństwa lub porządku publicznego, ochrony środowiska, zdrowia i moralności publicznej, ochrony wolności i praw innych osób. Określając konstytucyjne wolności i prawa obywatela, prawodawca dostrzega więc potrzebę wprowadzania ograniczeń tych dóbr. Przedkłada jedno dobro konstytucyjne nad drugie, wytyczając tym samym granice korzystania z wolności i praw, tworząc swoistą hierarchię dóbr, mieszczącą się w ich konstytucyjnych relacjach. Ograniczając pewną sferę wolności konstytucyjnej obywatela, przepis ustawy musi czynić to w sposób, który przede wszystkim nie naruszy jej istoty i nie spowoduje zachwiania relacji konstytucyjnego dobra, które jest ograniczane, do celu, jaki temu przyświeca, który to cel musi być także kwalifikowany w kategoriach wartości konstytucyjnej. Innymi słowy, konieczne jest zapewnienie konstytucyjnej równowagi między prawnie chronionymi dobrami i wartościami, co w konsekwencji pozwoli na realizację roszczeń w celu ochrony dobrego imienia, gwarantując przy tym ochronę prywatności przed nieuprawnionym dostępem do niej osób trzecich, z jednoczesnym poszanowaniem interesu jednostki, jak i interesu Państwa, którego należy upatrywać w obowiązku zapewnienia ładu i porządku prawnego, a także bezpieczeństwa jego obywateli. Chodzi zatem o prawidłowe wyważenie proporcji, jakie muszą być zachowane, by przyjąć, że dane ograniczenie wolności obywatelskiej nie narusza konstytucyjnej hierarchii dóbr (zasada proporcjonalności).

Na gruncie rozpoznawanej sprawy test proporcjonalności musi więc uwzględniać nie tylko prawnie usprawiedliwiony cel realizowany przez odbiorcę danych, ale także przesłankę niezbędności udostępnienia danych osobowych użytkowników portalu internetowego dla zrealizowania tego celu. Wnioskodawca ma wykazać potrzebę, rozumianą w kategoriach niezbędności, o której stanowi art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych, ta bowiem ma wypełniać (determinować) konieczność realizacji usprawiedliwionego celu przez odbiorcę danych, a tym samym uzasadniać stosowanie w takiej sytuacji przepisów o ochronie danych osobowych. Innymi słowy, jeżeli zobowiązanie administratora danych (nakazanie) do ich udostępnienia jest jedynym sposobem na zrealizowanie prawnie usprawiedliwionego celu przez odbiorcę danych, to nie powinno wówczas budzić wątpliwości, że przesłanka niezbędności zostaje spełniona. Jeśli natomiast prawodawca zastrzega inny tryb dostępu do danych osobowych użytkowników przestrzeni internetowej, wówczas o niezbędności pozyskania danych osobowych w trybie tego przepisu przez zainteresowany podmiot dla zrealizowania jego prawnie usprawiedliwionego celu nie może być mowy. Przesłanka ta musi zatem być badana nie tylko w kontekście samych praw i wolności konstytucyjnych wnioskodawcy, ale także w aspekcie wynikających z art. 31 ust. 3 Konstytucji RP ograniczeń wolności i praw obywatelskich. W tym zakresie ocena zasadności wniosku o nakazanie udostępnienia danych osobowych musi uwzględniać także uwarunkowania wynikające z innych regulacji prawnych funkcjonujących w systemie prawa, jako że art. 31 ust. 3 ustawy zasadniczej wskazuje właśnie na ustawowe podstawy owych ograniczeń.

Gdyby przyjąć za prawidłowe stanowisko GIODO, to do wykazania niezbędności realizacji usprawiedliwionego celu przez odbiorcę danych w trybie ustawy o ochronie danych osobowych dochodziłoby w każdej sytuacji, w której wnioskodawca wskazywałby na cel związany z dochodzeniem roszczeń przed sądem, co pozwalałoby jednocześnie uznać, że interes odbiorcy danych każdorazowo wyprzedza prawa wynikające z ochrony interesu prawnego osób, których dane dotyczą, czyli, że interes ten góruje nad prawem do prywatności tych osób. Spełnienie więc przesłanki niezbędności świadczyłoby zarazem o istnieniu podstaw do udostępnienia danych osób i to bez ich udziału w postępowaniu prowadzonym przez organ administracji publicznej w trybie procedury administracyjnej, ta zaś wymaga, by w postępowaniu administracyjnym brały udział wszystkie zainteresowane podmioty, które mają w tym interes prawny. Ustrojodawca, wprowadzając w art. 2 Konstytucji RP zasadę Państwa prawnego, ma nie tylko na względzie zapewnienie prawidłowego funkcjonowania struktur demokratycznego Państwa, ale także stworzenie w ramach tych struktur mechanizmów i gwarancji służących urzeczywistnianiu sprawiedliwości proceduralnej. Nie powinno budzić wątpliwości, że osoby, których dane mają być udostępnione, mają interes prawny w tym, by uczestniczyć w takim postępowaniu, gdyż postępowanie to dotyczy ich konstytucyjnych wolności i praw, a przecież przesłanka niezbędności udostępnienia danych winna być ważona także w kontekście ich ewentualnych naruszeń. W tym aspekcie Sąd zwraca uwagę na szczególną rolę Generalnego Inspektora Ochrony Danych Osobowych w omawianym typie spraw, jak niniejsza. Mianowicie, przedmiotem ich jest ustalenie tożsamości osób. Z tego względu nie może nastąpić ich konkretyzacja w toku postępowania jako jego stron, co uniemożliwia im obronę i ochronę ich interesu prawnego w trakcie postępowania administracyjnego. Tym samym ciężar w tym zakresie, a więc ustalenie i uwzględnienie interesu prawnego tych podmiotów, spoczywa na organie. Ma on obowiązek brać pod uwagę nie tylko interes jednostki wnioskującej o udostępnienie danych osobowych, ale także wszystkich tych, których dane osobowe mają zostać udostępnione. Konstatacja ta ma pełne oparcie w zasadach postępowania administracyjnego, ujętych w art. 7, art. 8, art. 9 w związku z art. 28 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2013 r., poz. 267).

Widoczny jest więc oczywisty paradoks tej sytuacji, świadczący w istocie o istnieniu innego trybu dostępu do danych osób zamieszczających w przestrzeni Internetu wypowiedzi krzywdzące i obraźliwe, a wynikający z uregulowań szczególnych, pozwalający na realizację roszczeń z tego tytułu. Biorąc bowiem pod uwagę, że prawodawca działa racjonalnie i tworzony przezeń system prawa ma służyć spójności jego norm, dla uruchomienia trybu realizacji roszczeń prawnokarnych i cywilnoprawnych związanych z publikowaniem w Internecie treści naruszających dobra osobiste przewidział w tym zakresie kontrolę organów Państwa. Omawiana przesłanka niezbędności pozyskania danych (przetwarzania danych) przez odbiorcę danych zostaje wówczas wyłączona, gdyż przepisy szczególne wprowadzają uregulowania, które zapewniają dostęp do żądanych danych jedynie ściśle określonym podmiotom. W praktyce oznacza to, że osoba chcąca realizować swoje uprawnienia przeciwko nieznanym osobom naruszającym jej dobra osobiste może domagać się ochrony, jaką w tym względzie zapewniają prokurator i sąd. Ma to swoje uzasadnienie prawne, bowiem – po pierwsze – prokurator, jako organ Państwa, zobowiązany jest stać na straży Konstytucji Rzeczypospolitej Polskiej i prawa, strzegąc praworządności, wszak jego rola nie sprowadza się tylko do strzeżenia interesu publicznego, w ścisłym rozumieniu tego pojęcia, ale także winna – w imię praworządności – obejmować ocenę bezprawności zachowań osób zamieszczających w Internecie treści obraźliwe, znieważające czy też w inny sposób naruszające dobra osobiste innych podmiotów, nawet gdy brak jest podstaw do wystąpienia z publicznym aktem oskarżenia, ale waga naruszeń uzasadnia spersonalizowanie danych osoby (osób), przeciwko której podmiot dotknięty publikowanymi przez nią wypowiedziami w przestrzeni internetowej będzie mógł dochodzić ochrony w trybie oskarżenia prywatnego, względnie – realizować w tym zakresie roszczenia cywilnoprawne. Po drugie – jedynie w przypadku, gdy dane osobowe udostępniane są organom Państwa, interes osób, których dane dotyczą, nie zostaje naruszony (prawo do prywatności, wolność w wyrażaniu poglądów i dopuszczalnych ocen, wolność w pozyskiwaniu i rozpowszechnianiu informacji). Po trzecie – zapewnienie dostępu do tego rodzaju danych tylko organom Państwa nie narusza także istoty prawa do sądu, a więc możliwości realizacji roszczeń prawnokarnych i cywilnoprawnych. Po czwarte – w ten sposób zostaje również zachowany nałożony na administratora danych (usługodawcę) obowiązek ochrony danych eksploatacyjnych i zachowania anonimowości użytkowników przestrzeni internetowej, z których to obowiązków może zwolnić jedynie sąd lub prokurator. Poprzez takie rozwiązanie prawne ukształtowana konstytucyjnie hierarchia dóbr nie zostaje wówczas w żaden sposób naruszona, co wskazuje zarazem, że art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych nie może mieć zastosowania jako prawna podstawa nakazu udostępnienia danych osobowych w sprawach realizacji roszczeń podmiotów dotkniętych zamieszczanymi w przestrzeni Internetu wypowiedziami jego użytkowników. O ewentualnej zasadności wniosku innego podmiotu, niż organ Państwa, rozpatrywanego w oparciu o art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych, można byłoby mówić tylko wtedy, gdyby przepisy szczególne nie poruczały organom Państwa kontroli w tym względzie, ewentualnie, gdyby pozwalały na udostępnianie tego rodzaju danych także innym podmiotom. W rozpoznawanej sprawie tak jednak nie jest.

Stosownie do art. 5 ww. ustawy o ochronie danych osobowych, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. W sprawie, która dotyczy udostępnienia danych osobowych użytkowników publikujących swoje wypowiedzi w Internecie, organ ochrony danych osobowych powinien uwzględnić reżim ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.), gdyż ta w rzeczy samej przewiduje dalej idącą ochronę danych osobowych. Zgodnie z art. 16 ust. 1 tej ustawy, do przetwarzania danych osobowych, w rozumieniu ww. ustawy o ochronie danych osobowych, w związku ze świadczeniem usług drogą elektroniczną, stosuje się przepisy tej ustawy, o ile przepisy rozdziału czwartego nie stanowią inaczej. Tymczasem przepisy rozdziału czwartego w istocie stanowią inaczej. W myśl art. 18 ust. 6 ww. ustawy o świadczeniu usług drogą elektroniczną, regułą jest, iż dane o usługobiorcach usług świadczonych drogą elektroniczną (internetowych) udostępnia się organom Państwa na potrzeby prowadzonych przez nie postępowań, a contrario więc – dane te nie mogą być udostępniane innym podmiotom w trybie ustawy o ochronie danych osobowych. Tak więc ograniczenie dostępu do danych osobowych innym podmiotom, niż organy Państwa, w trybie ustawy o ochronie danych osobowych w celu dochodzenia roszczeń sądowych (prawnie usprawiedliwiony cel), mające swoje źródło w art. 31 ust. 3 Konstytucji RP, znajduje odbicie właśnie w art. 18 ust. 6 ww. ustawy. Ustawa o świadczeniu usług drogą elektroniczną niewątpliwie stanowi lex specialis w stosunku do przepisów ustawy o ochronie danych osobowych. Przepis ten wprowadza bowiem silniejszą ochronę danych osób korzystających z przestrzeni Internetu, zastrzegając, kto jest uprawniony do otrzymania ich danych. Tym samym regulacja ta wyłącza przesłankę niezbędności udostępnienia (przetwarzania), o której mówi art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych, przez co również możliwość nakazania administratorowi danych ich udostępnienia podmiotowi innemu, niż organ Państwa, w oparciu o ten przepis, choćby cel pozyskania (przetwarzania) danych przez inny podmiot był prawnie usprawiedliwiony.

Legalność przetwarzania danych osobowych przez usługodawcę internetowego musi zatem uwzględniać regulacje szczególne, a ich nierespektowanie prowadziłoby w prosty sposób do obchodzenia prawa i pozyskiwania danych przez każdy podmiot, który powołałby się na realizację roszczeń prawnokarnych i cywilnoprawnych. GIODO stałby się wtedy rzecznikiem jedynie interesów wnioskodawców, co – z punktu widzenia interesu prawnego osób, których dane dotyczą, a także samego brzmienia art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych – należy uznać za niedopuszczalne. Jeśli wolą ustawodawcy jest, by dane usługobiorców stanowiły przedmiot obrotu tylko między usługodawcą a organami Państwa, to nie można przyjąć, że art. 23 ust. 1 pkt 5 ww. ustawy o ochronie danych osobowych stwarza prawną możliwość nakazania usługodawcy udostępnienia tego rodzaju danych każdemu podmiotowi, który wykaże swój prawnie usprawiedliwiony cel w postaci realizowania roszczeń w płaszczyźnie prawnokarnej czy cywilnoprawnej. Mechanizm działania zasady proporcjonalności nakazuje także, by realizacja roszczeń w celu ochrony dobrego imienia odbywała się z poszanowaniem generalnych zasad konstytucyjnych, czyli zasady Państwa prawnego (art. 2 Konstytucji RP) i zasady legalizmu, wywodzonej z art. 7 ustawy zasadniczej. Z zasady demokratycznego Państwa prawnego wynika ogólny wymóg, aby wszelkie postępowania w sprawach indywidualnych podmiotów prowadzone były przez organy władzy publicznej i odpowiadały standardom sprawiedliwości proceduralnej. Nie jest natomiast zgodne z zasadami konstytucyjnymi takie postępowanie organów administracji, w którym wnioski obywateli załatwiane są poza taką procedurą, powoduje to bowiem stan niepewności prawnej i ogranicza prawa obywateli do ochrony swych uprawnień przed organami administracji publicznej i przed sądami. Prawodawca, tworząc system prawa, wprowadza uregulowania, które mają zapewniać i gwarantować równość w stosowaniu jego norm względem wszystkich obywateli (art. 32 Konstytucji RP), dlatego też usprawiedliwione jest, że dostęp do przedmiotowych danych mają tylko organy Państwa, gdyż tylko wtedy interes prawny osób, których dane mają być udostępnione, nie zostaje naruszony, wszak zapewnienie ładu i porządku prawnego oraz bezpieczeństwa obywateli jest interesem nadrzędnym Państwa, realizowanym przez jego organy ochrony prawnej (prokurator, sąd). Biorąc bowiem pod uwagę kwestię oceny bezprawności zachowań osób korzystających z przestrzeni internetowej, czy to w płaszczyźnie prawnokarnej, czy cywilnoprawnej, to z pewnością oceny tej nie może dokonywać ani organ ochrony danych osobowych, ani podmiot domagający się udostępnienia danych. Z tego względu w pełni zasadne jest, że jedynymi podmiotami uprawnionymi do otrzymania danych są organy Państwa. Administrator danych (usługodawca), a także Generalny Inspektor Ochrony Danych Osobowych powinien przy tym wziąć pod uwagę art. 22 ust. 2 ww. ustawy o świadczeniu usług drogą elektroniczną, z którego wywodzi się prawo użytkownika Internetu do zachowania jego anonimowości, a które wymaga poszanowania. Prawo to należy wiązać z wymagającym uwzględnienia art. 54 Konstytucji RP, który każdemu zapewnia wolność wyrażania swoich poglądów oraz pozyskiwania i rozpowszechniania informacji.

Wynikające z art. 18 ust. 6 ww. ustawy o świadczeniu usług drogą elektroniczną uprawnienie, przyznane jedynie organom Państwa, koresponduje z regulacjami, które w całości dopełniają intencje prawodawcy w tym zakresie. Zgodnie z brzmieniem art. 180 § 1 ustawy z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego (Dz. U. Nr 89, poz. 555 ze zm.), osoby obowiązane do zachowania w tajemnicy informacji niejawnych o klauzuli tajności "zastrzeżone" lub "poufne" lub tajemnicy związanej z wykonywaniem zawodu lub funkcji mogą odmówić zeznań co do okoliczności, na które rozciąga się ten obowiązek, chyba że sąd lub prokurator zwolni te osoby od obowiązku zachowania tajemnicy, jeżeli ustawy szczególne nie stanowią inaczej. W myśl art. 218 § 1 kpk, urzędy, instytucje i podmioty prowadzące działalność w dziedzinie poczty lub działalność telekomunikacyjną, urzędy celne oraz instytucje i przedsiębiorstwa transportowe obowiązane są wydać sądowi lub prokuratorowi, na żądanie zawarte w postanowieniu, korespondencję i przesyłki oraz dane, o których mowa w art. 180c i 180d ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 ze zm.), jeżeli mają znaczenie dla toczącego się postępowania. Tylko sąd lub prokurator mają prawo je otwierać lub zarządzić ich otwarcie. Stosownie do art. 180c ust. 1 ww. ustawy – Prawo telekomunikacyjne, obowiązkiem, o którym mowa w art. 180a ust. 1, objęte są dane niezbędne do:

1) ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego

a) inicjującego połączenie,

b) do którego kierowane jest połączenie;

2) określenia:

a) daty i godziny połączenia oraz czasu jego trwania,

b) rodzaju połączenia,

c) lokalizacji telekomunikacyjnego urządzenia końcowego.

Z kolei z art. 236a kpk wynika, że powyżej cytowane przepisy Kodeksu postępowania karnego stosuje się odpowiednio do dysponenta i użytkownika urządzenia zawierającego dane informatyczne lub systemu informatycznego, w zakresie danych przechowywanych w tym urządzeniu lub systemie albo na nośniku znajdującym się w jego dyspozycji lub użytkowaniu, w tym korespondencji przesyłanej pocztą elektroniczną.

Z przepisów tych wprost wynika, że dostęp do danych użytkowników przestrzeni internetowej jest ograniczony, a zatem ingerowanie w sferę ochronną i żądanie udostępnienia danych musi uwzględniać ich brzmienie. Tym samym udostępnianie danych użytkowników przestrzeni internetowej innym podmiotom, niż sąd lub prokurator (organy Państwa), stanowiłoby przełamanie ochrony wynikającej z nich i z ww. ustawy o świadczeniu usług drogą elektroniczną. Godzi się przy tym zauważyć, że uznanie, iż każdorazowo wola wszczęcia przez jednostkę postępowania przed sądem powszechnym uzasadnia udostępnienie w trybie przepisów ww. ustawy o ochronie danych osobowych jej danych osób, przeciw którym postępowanie to ma się toczyć, w sposób nieuzasadniony uprzywilejowałoby podmioty prywatne przed podmiotami publicznymi. Jeśli bowiem – z woli ustawodawcy – podmiotami uprawnionymi do pozyskiwania danych od usługodawców świadczących usługi drogą elektroniczną są organy Państwa, to podmiot niebędący organem ochrony prawnej nie może pozyskać danych w trybie decyzji nakazowej GIODO. Oznacza to, że organ ochrony danych osobowych nie jest uprawniony do uwzględnienia wniosku podmiotu domagającego się udostępnienia danych osobowych użytkowników przestrzeni internetowej i podjęcia decyzji nakazującej administratorowi danych ich udostępnienie z uwagi na realizowany przez wnioskodawcę prawnie usprawiedliwiony cel w postaci dochodzenia roszczeń sądowych. Takie działanie stanowiłoby skądinąd zachwianie zasady podziału władz (art. 10 ust. 1 Konstytucji RP) między władzą wykonawczą a sądowniczą.

Podmiot upatrujący bezprawności w wypowiedziach kierowanych pod jego adresem w przestrzeni internetowej może bowiem domagać się ochrony od organu Państwa, jakim jest prokurator, nawet wówczas, gdy ten nie znajdzie podstaw do wystąpienia z publicznym aktem oskarżenia, ale ochrona naruszonego interesu prywatnego wymagać będzie jego interwencji w celu ustalenia danych osobowych sprawców czynu bezprawnego, ściganego z oskarżenia prywatnego, stypizowanego w art. 212 § 2 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (Dz. U. Nr 88, poz. 553 ze zm.), czy też w celu realizacji roszczeń cywilnoprawnych, związanych z pomówieniami i ochroną dobrego imienia.

W rozpoznawanej sprawie postanowieniem z dnia [...] lipca 2013 r. o sygn. akt [...] Prokurator Prokuratury Rejonowej w C., po zapoznaniu się z materiałami dochodzenia w sprawie pomówienia K., a więc o takie postępowanie, które może poniżyć Spółkę w oczach opinii publicznej za pośrednictwem środków masowego komunikowania się na forum internetowym G., tj. o przestępstwo z art. 212 § 2 kk, nadzorując postępowanie przygotowawcze, w trybie art. 180 § 1, art. 218 § 1 i art. 236a kpk, uznał konieczność uzyskania informacji objętych tajemnicą służbową i zwalniając z obowiązku jej zachowania, jako administratora danych, zażądał od A. adresów IP, z których dokonano wpisów na forum internetowym oraz posiadanych danych osobowych autorów tych wpisów, na podstawie załączonych adresów linków stron internetowych. Tak więc żądanie Spółki K. zostało zrealizowane przez organ Państwa, wprawdzie już po wydaniu zaskarżonej decyzji, ale – jak podaje skarżąca – dane na żądanie Prokuratora zostały udostępnione, co potwierdza, że realizacja konstytucyjnych uprawnień każdej jednostki winna następować z zachowaniem właściwego trybu. W niniejszej zaś sprawie trybem tym nie może być tryb wynikający z ww. ustawy o ochronie danych osobowych, jako że przewidujący dalej idącą ochronę danych osobowych użytkowników przestrzeni internetowej przepis art. 18 ust. 6 ww. ustawy o świadczeniu usług drogą elektroniczną stanowi prawną podstawę udostępniania tego rodzaju danych jedynie organom Państwa.

Z tych względów, uznając skargę za uzasadnioną, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. "a" i "c" w związku z art. 135 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t. j.: Dz. U. z 2012 r., poz. 270 ze zm.), wyeliminował z obrotu prawnego zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia 27 sierpnia 2012 r. w zakresie nakazującym skarżącej udostępnienie danych osobowych, orzekając tym samym, jak w punkcie pierwszym sentencji wyroku. W oparciu o art. 152 ww. ustawy, Sąd wstrzymał wykonanie zaskarżonej decyzji w całości.

Obowiązkiem organu ponownie rozpoznającego sprawę będzie zastosowanie się do stanowiska wyrażonego w niniejszym wyroku.

O kosztach orzeczono na podstawie art. 200, art. 205 § 1 i 2 i art. 209 ww. ustawy – Prawo o postępowaniu przed sądami administracyjnymi. Sąd zasądził od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącej Spółki kwotę 457 zł, w tym 200 zł, stanowiącą wartość uiszczonego wpisu, kwotę 17 zł, poniesioną tytułem opłaty skarbowej od udzielonego pełnomocnictwa, oraz kwotę 240 zł, tytułem wynagrodzenia pełnomocnika, zgodnie z § 14 ust. 2 pkt 1 lit. "c" rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności radców prawnych oraz ponoszenia przez Skarb Państwa kosztów pomocy prawnej udzielonej przez radcę prawnego ustanowionego z urzędu (Dz. U. Nr 163, poz. 1349 ze zm.).