Centralna Baza Orzeczeń Sądów Administracyjnych
|
drukuj zapisz |
647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Uchylono zaskarżoną decyzję i poprzedzającą ją decyzję, II SA/Wa 2821/11 - Wyrok WSA w Warszawie z 2012-03-08, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA
II SA/Wa 2821/11 - Wyrok WSA w Warszawie
|
|
|||
|
2011-12-28 | |||
|
Wojewódzki Sąd Administracyjny w Warszawie | |||
|
Agnieszka Góra-Błaszczykowska /przewodniczący sprawozdawca/ Andrzej Kołodziej Janusz Walawski |
|||
|
647 Sprawy związane z ochroną danych osobowych | |||
|
Ochrona danych osobowych | |||
|
I OSK 1666/12 - Wyrok NSA z 2013-08-21 | |||
|
Generalny Inspektor Ochrony Danych Osobowych | |||
|
Uchylono zaskarżoną decyzję i poprzedzającą ją decyzję | |||
|
Dz.U. 2002 nr 101 poz 926 art. 29 ust. 1 i ust. 2 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn. Dz.U. 2002 nr 144 poz 1204 art. 1 pkt 3, art. 16 ust. 1, art. 18 ust. 5 pkt 2, ust. 6 Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Dz.U. 1997 nr 89 poz 555 art. 25, art. 218 par. 1, art. 236 a Ustawa z dnia 6 czerwca 1997 r. - Kodeks postępowania karnego. Dz.U. 2002 nr 153 poz 1270 art. 145 par. 1 pkt 1 lit. c Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi. |
|||
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Agnieszka Góra-Błaszczykowska (spr.) Sędziowie WSA Andrzej Kołodziej Janusz Walawski Protokolant referent stażysta Marcin Borkowski po rozpoznaniu na rozprawie w dniu 8 marca 2012 r. sprawy ze skargi A. S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2011 r. nr [...] w przedmiocie nakazania udostępnienia danych osobowych 1. uchyla zaskarżoną decyzję i poprzedzającą ją decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2011 r. nr [...], 2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu, 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz A. S.A. z siedzibą w W. kwotę 457 zł (czterysta pięćdziesiąt siedem złotych) tytułem zwrotu kosztów postępowania w sprawie. |
||||
Uzasadnienie
Przedmiotem zaskarżenia w niniejszej sprawie była decyzja Generalnego Inspektora Ochrony Danych Osobowych (dalej powoływanego jako GIODO) z dnia [...] października 2011 roku, utrzymująca w mocy decyzję tegoż organu z dnia [...] lipca 2011 roku. Decyzja została wydana w następującym stanie faktycznym: P. Sp. z o.o. Sp. k. z siedzibą w L. złożyła wniosek o wydanie decyzji nakazującej A. SA z siedzibą w W. przy ul. [...](dalej - Spółka) udostępnienie danych osobowych użytkowników będących autorami 36 wpisów na forum internetowym, znajdującym się pod adresem http:[...], w zakresie adresu (numeru) IP, wykorzystywanego przez użytkowników w czasie umieszczania wypowiedzi naruszających prawa Spółki, daty i godziny logowania użytkowników w czasie umieszczania powyższych wypowiedzi, adresów (numerów) IP użytkowników, dotyczących poprzednich lub kolejnych logowań (wraz z datą i czasem logowań) za okres od [...] stycznia 2009 r. do [...] grudnia 2010 r., adresu e-mail użytkownika oraz innych danych identyfikacyjnych użytkownika, w szczególności imienia i nazwiska, adresu zamieszkania lub pobytu, numeru ewidencyjnego PESEL albo NIP oraz serii i numeru jego dowodu osobistego. Na uzasadnienie wniosku podano, że wskazane we wniosku wpisy naruszyły dobra osobiste Skarżącej, w tym w szczególności jej dobre imię (renomę) oraz wypełniają znamiona przestępstwa pomówienia, a uzyskanie przedmiotowych informacji o osobach, które były autorami wpisów pozwoli wnioskodawcy na dochodzenie swoich praw przed sądem. Po przeprowadzeniu postępowania administracyjnego w przedmiotowej sprawie GIODO w dniu [...] lipca 2011 r. wydał decyzję (znak: [...], mocą której: 1) nakazał A. SA udostępnienie wnioskodawcy (P.) danych osobowych: a) użytkownika o nicku "[...]" w zakresie adresu e-mail, adresów IP komputerów, z których użytkownik korzystał zamieszczając wypowiedzi, z którymi związany jest wniosek o udostępnienie danych z dnia 5 listopada 2010 r. oraz informacji o dacie i godzinie logowań tego użytkownika w październiku 2010 r. i adresach IP, z których logowania były dokonywane, b) użytkownika o nicku "[...]" w zakresie roku urodzenia, kodu pocztowego, adresu IP komputera, z którego korzystał użytkownik zamieszczając wypowiedź, z którą związany jest wniosek o udostępnienie danych z dnia 5 listopada 2010 r., daty i godziny logowania użytkownika w czasie zamieszczania powyższej wypowiedzi, oraz informacji o dacie i godzinie logowań tego użytkownika w okresie 6 miesięcy wstecz od dnia 9 listopada 2010 r. i adresach IP, z których te logowania były dokonywane, c) użytkownika o nicku "[...]" w zakresie adresu e-mail oraz adresu IP komputera, z którego użytkownik korzystał zamieszczając wypowiedź, z którą związany jest skierowany do Spółki wniosek o udostępnienie danych z dnia 5 listopada 2010 r., d) pozostałych użytkowników, których dotyczy skierowany do Spółki wniosek o udostępnienie danych z dnia 5 listopada 2010 r. w zakresie ich adresów IP, oraz w punkcie 2 decyzji odmówił uwzględnienia wniosku w części dotyczącej żądania nakazania udostępnienia danych osobowych: a) użytkownika o nicku "[...]" w zakresie informacji o dacie i godzinie logowań, dokonywanych od września 2009 r. do listopada 2010 r. oraz adresach IP, z których te logowania były dokonywane, wykraczających poza informacje wskazane w pkt 1 lit. b rozstrzygnięcia niniejszej decyzji, b) użytkownika o nicku "[...]" w zakresie informacji o dacie i godzinie logowań tego uzytkownika we wrześniu 2009 r. i adresach IP, z których te logowania były dokonywane. W pozostałej części (w punkcie 3 decyzji) GIODO umorzył postępowanie. Na uzasadnienie decyzji GIODO stwierdził, że pomimo uchylenia art. 29 ustawy o ochronie danych osobowych (dalej jako u.o.d.o.) przez art. 1 pkt 7 ustawy z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. Nr 229, poz. 1497), która weszła w życie w dniu 7 marca 2011 r., przepis ten ma zastosowanie do oceny stanu faktycznego niniejszej sprawy ze względu na treść art. 5 powyższej ustawy, który stanowi, iż do postępowań wszczętych i niezakończonych na podstawie ustawy, o której mowa w art. 1, przed dniem wejścia w życie niniejszej ustawy stosuje się przepisy dotychczasowe. W ocenie GIODO, nie można zasadnie przyjąć, że udostępnienie P. informacji, o które występowała w skierowanym do A. SA wniosku, wiąże się z naruszeniem dóbr osobistych osób, których dane dotyczą lub innych osób, ani - tym bardziej - że naruszenie to miałoby charakter istotny - a zatem, że zaistniała określona w art. 30 pkt 4 ustawy przeszkoda uzasadniająca odmowę udostępnienia danych. W świetle okoliczności faktycznych sprawy bowiem nic nie wskazuje, aby przedmiotowe naruszenie miało miejsce. Po ponownym rozpatrzeniu sprawy, decyzją z dnia [...] października 2011 r. GIODO utrzymał w mocy zaskarżoną decyzję własną z dnia [...] lipca 2011 r. W uzasadnieniu decyzji z dnia [...] października 2011 r. GIODO zważył, że pomimo uchylenia art. 29 u.o.d.o. przez art. 1 pkt 7 ustawy z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. Nr 229, poz. 1497), która weszła w życie w dniu 7 marca 2011 r., ma on zastosowanie do oceny stanu faktycznego niniejszej sprawy ze względu na treść art. 5 powyższej ustawy, który stanowi, iż do postępowań wszczętych i niezakończonych na podstawie ustawy, o której mowa w art. 1, przed dniem wejścia w życie niniejszej ustawy stosuje się przepisy dotychczasowe. Jednocześnie GIODO ponownie zaznaczył, iż stosownie do brzmienia art. 29 ust. 1 u.o.d.o. w przypadku udostępniania danych w celach innych niż włączenie do zbioru administrator danych udostępnia posiadane w zbiorze dane osobowe osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa. Dane osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1 u.o.d.o., mogą być także udostępnione w celach innych niż włączenie do zbioru innym osobom i podmiotom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą (art. 29 ust. 2 u.o.d.o.). Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że przepis innej ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie (art. 29 ust. 3 u.o.d.o.). GIODO odniósł się do zawartych we wniosku o ponowne rozpatrzenie sprawy zarzutów Spółki A. i stwierdził, iż nie można zasadnie przyjąć, że udostępnienie P. informacji, o które występowała w skierowanym do Spółki wniosku, wiąże się z naruszeniem dóbr osobistych osób, których dane dotyczą lub innych osób, ani – tym bardziej - że naruszenie to miałoby charakter istotny - a zatem, że zaistniała określona w art. 30 pkt 4 u.o.d.o. przeszkoda uzasadniająca odmowę udostępnienia danych. W świetle okoliczności faktycznych sprawy bowiem nic nie wskazuje, aby przedmiotowe naruszenie miało miejsce. Jednocześnie GIODO wskazał, iż A. nie przedstawiła również żadnych dowodów, z których wynikałoby w sposób bezsporny istnienie takiego naruszenia. Przedmiotowe naruszenie – zdaniem GIODO - ma jedynie charakter hipotetyczny, nie stanowiąc tym samym faktu popartego właściwymi dowodami. Odnosząc się do kwestii podniesionej przez Spółkę A. w ramach niniejszego zarzutu, iż w jej ocenie naruszenie dóbr osobistych osób, których dane dotyczą jest szczególnie widoczne i wymowne w zakresie w jakim GIODO nakazał wydanie danych w zakresie logowania tych użytkowników z chwil innych niż chwila opublikowania spornych wypowiedzi, GIODO wskazał, że ww. przesunięcie czasowe ma na celu umożliwienie weryfikacji danych konkretnych osób. Powyższe ma szczególne znaczenie w stosunku do adresów IP, które charakteryzują się dynamicznością, a prześledzenie ich "aktywności" w dłuższym okresie czasu może stanowić element istotny w procesie indywidualizacji danej osoby. Ta sama osoba może bowiem korzystać z różnych komputerów, a uzyskanie jak największej ilości informacji o poszczególnych adresach IP może przyczynić się do jednoznacznego ustalenia osoby, która dokonała danego wpisu. Odnosząc się do twierdzeń Spółki A., że w systemie prawa brak jest instrumentów pozwalających na jakąkolwiek kontrolę wykorzystania udostępnionych danych, co prowadzić może do ich użycia nie tylko w celu niezgodnym z tym, dla którego były udostępnione, ale wręcz do podejmowania działań niezgodnych z prawem, GIODO zauważył, iż brak przedmiotowych instrumentów nie jest jednoznaczny z wykorzystaniem udostępnionych danych niezgodnie z przeznaczeniem, dla którego je udostępniono. W chwili, gdy P. zbierze udostępnione jej przez Spółkę dane osobowe, stanie się ich administratorem w rozumieniu art. 7 pkt 4 u.o.d.o. W związku z powyższym, zdaniem GIODO, przetwarzanie przez P. tych danych będzie podlegało regułom, wyznaczonym przez przepisy ustawy, w szczególności zaś wynikającemu z art. 26 ust. 1 pkt 2 u.o.d.o. obowiązkowi nie poddawania zebranych danych dalszemu przetwarzaniu niezgodnemu z celami zebrania (tzw. zasada celowości), a kontrola zgodności przetwarzania tych danych z przepisami o ochronie danych osobowych będzie należała do kompetencji GIODO. Ponadto GIODO zauważył, że udostępnienie danych osobowych (w tym adresów IP komputerów usługobiorców usług takich jak internetowe fora dyskusyjne) w oparciu o art. 29 u.o.d.o. związane jest ściśle ze spełnieniem przez P. warunków, określonych w art. 29 ust. 3 u.o.d.o. Administrator danych, jako podmiot decydujący o celach i środkach przetwarzania danych osobowych, ma obowiązek dokonania oceny, czy wskazane warunki zostały spełnione w sposób należyty (tj. np. czy P. uzasadniła w sposób wiarygodny potrzebę posiadania danych). Do kompetencji GIODO natomiast należy w szczególności ich weryfikacja. Według GIODO brak jest podstaw do uznania, że w niniejszej sprawie zaistniała którakolwiek z wymienionych w art. 30 u.o.d.o. okoliczności wyłączających udostępnienie danych osobowych. Zdaniem GIODO oczywistym jest, że pozyskanie (przetwarzanie) danych osobowych w ww. celu w każdym przypadku zostanie uznane przez osoby, których dane te dotyczą, za sprzeczne z ich interesem. Okoliczność ta nie świadczy jednak o naruszeniu ich praw i wolności. Konieczne jest, według GIODO, zaznaczenie, iż przy stosowaniu prawa krajowego należy uwzględnić konieczność zapewnienia równowagi pomiędzy ochroną różnych praw podstawowych, tj. prawa do poszanowania życia prywatnego oraz prawa do skutecznego środka prawnego. Odnosząc się do zarzutu A., iż zastosowanie powinny mieć przepisy ustawy o świadczeniu usług drogą elektroniczną (dalej jako u.ś.u.d.e.), GIODO wskazał, że zgodnie z art. 18 ust. 6 u.ś.u.d.e. usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań. Na usługodawcy zatem ciąży obowiązek udzielania informacji o wszystkich kategoriach danych, wymienionych w art. 18 ust. 1-5 u.ś.u.d.e., organom państwa, na potrzeby prowadzonych przez nie postępowań. Nie ulega wątpliwości, jak twierdzi GIODO, że poprzez udzielanie informacji rozumieć należy również udostępnianie tych danych. Zdaniem GIODO przepis art. 18 ust. 6 u.ś.u.d.e. sformułowany jest w sposób ogólnikowy i nie wskazuje ani na rodzaje organów, które mogą wystąpić z żądaniem informacji, ani na rodzaje postępowań: karne, cywilne, administracyjne czy egzekucyjne. GIODO zaznaczył, iż przepis art. 18 ust. 6 u.ś.u.d.e. jedynie zobowiązuje usługodawcę do udostępniania informacji organom państwa i nie należy go interpretować rozszerzająco jako normy zakazującej udostępniania tych informacji innym podmiotom. Gdyby bowiem zamiarem ustawodawcy było ograniczenie możliwości udostępnienia informacji, o których mowa w art. 18 ust. 1-5 u.ś.u.d.e., tylko do organów określonych w art. 18 ust. 6 tej ustawy, wskazałby to wprost w treści przepisu, np. przy użyciu zwrotu "wyłącznie", który to sposób oznaczania zamkniętego kręgu podmiotów zastosowany został np. w art. 66g i art. 66j § 4 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (tekst jedn. Dz. U. 2005 r. Nr 229, poz. 1954 z późn. zm.), art. 72 ust. 1 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228) i art. 105 ust. 1 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (tekst jedn. Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.). GIODO zauważył, że ustawodawca w treści art. 218 k.p.k. nie użył zwrotu "wyłącznie" w stosunku do obowiązku wydania sądowi lub prokuratorowi, na żądanie zawarte w postanowieniu, korespondencji i przesyłek oraz danych, o których mowa w art. 180c i 180d ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800, z późn. zm.), a jedynie, odnosząc się do kwestii otwierania przedmiotowej korespondencji, przesyłek oraz danych lub zarządzenia ich otwarcia, ustawodawca wskazał, że może to uczynić tylko sąd lub prokurator. GIODO podkreślił też, że powyżej powołane przepisy k.p.k. w najmniejszym stopniu nie mają zastosowania w niniejszej sprawie. P. nie jest organem prowadzącym postępowanie w sprawie karnej, a udostępnione dane osobowe mają zostać wykorzystane przez nią do zainicjowania postępowania cywilnego, nie zaś w postępowaniu karnym. Wskazał, że P. może korzystać z procedury przewidzianej w art. 29 ustawy, a następnie cywilnej określonej w Kpc i to niezależnie od podejmowanych działań w trybie postępowania karnego. Skargę do tutejszego Sądu na decyzję GIODO złożyła A. SA, zaskarżając powyższą decyzję w części utrzymującej w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2011 roku ([...]) co do pkt. 1, tj. w części nakazującej A. SA udostępnienie P. Spółka z ograniczoną odpowiedzialnością Sp. k. danych osobowych podmiotów, wskazanych w treści decyzji. Zaskarżonej decyzji zarzucono naruszenie: 1) prawa materialnego, mające wpływ na wynik sprawy, tj. - art. 29 ust. 2 ustawy o ochronie danych osobowych ("u.o.d.o.") w zw. z art. 16 ust. 1 ustawy o świadczeniu usług drogą elektroniczną ("u.ś.u.d.e.") przez jego nieuzasadnione zastosowanie w sprawie, polegające na przyjęciu, że przepis ten stanowi podstawę wydania danych użytkowników internetowego forum dyskusyjnego, podczas gdy wobec istnienia odrębnych uregulowań w ustawie o świadczeniu usług drogą elektroniczną przepis ten nie znajduje zastosowania w niniejszej sprawie; - art. 18 ust. 6 u.ś.u.d.e. przez jego błędną wykładnię i przyjęcie, że przepis ten nie zakazuje udostępniania adresów IP podmiotom innym niż organy państwa, podczas gdy w przepisie tym jedynie organy państwa określone zostały jako odbiorca danych eksploatacyjnych, gromadzonych przez usługodawcę w rozumieniu u.ś.u.d.e., a wskazana ustawa nie zawiera innego przepisu, który stanowiłby podstawę wydawania danych podmiotom innym niż organy państwa; - art. 29 ust. 2 u.o.d.o. przez jego niewłaściwe zastosowanie i przyjęcie, że dochodzenie przez osobę trzecią ochrony swych praw przed sądem w sposób wystarczający uzasadnia potrzebę posiadania danych, podczas gdy sądy oraz inne organy ochrony prawnej dysponują odpowiednimi środkami prawnymi do uzyskania niezbędnych informacji; - art. 29 ust. 2 w zw. z art. 30 ust. 4 u.o.d.o. przez ich niewłaściwe zastosowanie i przyjęcie, że udostępnienie danych użytkowników forum portalu [...] nie naruszy ich praw i wolności i w konsekwencji, iż A. nie miała w niniejszej sprawie podstaw do odmowy udostępnienia danych, podczas gdy z okoliczności sprawy wynika, iż w razie udostępnienia żądanych danych P. Spółka z ograniczoną odpowiedzialnością Sp. k. do naruszenia takiego dojdzie; 2) naruszenie przepisów postępowania, mogące mieć istotny wpływ na wynik sprawy, tj. - art. 138 § 1 pkt 1 kodeksu postępowania administracyjnego (dalej "KPA") w zw. z art. 18 ust. 1 pkt 2 u.o.d.o. poprzez utrzymanie w mocy decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2011 roku co do pkt. 1 ([...]) wskutek uznania jej za decyzję prawidłową także co do pkt. 1 i przyjęcie, że w niniejszej sprawie Skarżąca naruszyła przepisy ustawy o ochronie danych osobowych i zachodzi podstawa do wydania decyzji nakazującej udostępnienie danych osobowych, podczas gdy, wobec braku podstaw do nakazania A. udostępnienia danych osobowych w niniejszej sprawie, decyzja z dnia [...] lipca 2011 roku powinna zostać uchylona w zaskarżonej części; Mając na względzie wskazane zarzuty, A. SA wniosła: - na podstawie art. 145 § 1 pkt 1 lit. a) i c) p.p.s.a. o uchylenie decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2011 roku ([...]) w części w jakiej utrzymała w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2011 roku ([...]) co do pkt. 1 oraz poprzedzającej ją decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2011 roku ([...]) co do pkt. 1, - na podstawie art. 200 p.p.s.a. o zwrot od Generalnego Inspektora Ochrony Danych Osobowych na rzecz strony skarżącej kosztów postępowania niezbędnych do celowego dochodzenia praw według norm przepisanych, - na podstawie art. 61 § 2 pkt 1 i § 3 p.p.s.a. o wstrzymanie wykonania decyzji w zaskarżonej części. W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał w całości swoje dotychczasowe stanowisko faktyczne oraz prawne. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje: Zgodnie z przepisem art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości m.in. przez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Skarga oceniana w świetle powyższych kryteriów zasługuje na uwzględnienie. Zdaniem Sądu orzekającego w sprawie niniejszej, wydając zaskarżoną decyzję Generalny Inspektor Ochrony Danych Osobowych oparł się o art. 29 ust. 1 u.o.d.o., bezpodstawnie pomijając regulacje przewidziane w u.ś.u.d.e. Tymczasem art. 1 pkt 3) u.ś.u.d.e. stwierdza, iż ustawa ta określa zasady ochrony danych osobowych osób fizycznych korzystających z usług świadczonych drogą elektroniczną. Zgodnie z art. 16 u.ś.u.d.e. do przetwarzania danych osobowych w rozumieniu u.o.d.o. w związku ze świadczeniem usług drogą elektroniczną stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej. Z kolei art. 18 ust. 6 u.ś.u.d.e. przewiduje, iż usługodawca udziela informacji o danych, o których mowa w ust. 1-5. organom państwa na potrzeby prowadzonych przez nie postępowań. Przepis art. 18 ust. 5 pkt 2) u.ś.u.d.e. zalicza do danych eksploatacyjnych oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca (Usługodawca może przetwarzać następujące dane charakteryzujące sposób korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną (dane eksploatacyjne): oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca). Należy więc przyjąć, iż u.ś.u.d.e. wprowadza w stosunku do udostępniania danych eksploatacyjnych odrębną regulację, a możliwość odpowiedniego stosowania u.o.d.o. przewiduje wyłącznie w stosunku do przetwarzania danych osobowych, którą to instytucję (art. 18 ust. 1) u.ś.u.d.e. wyraźnie odróżnia od danych eksploatacyjnych (art. 18. ust. 5), w zakresie których brak jest w ustawie o świadczeniu usług drogą elektroniczną odesłania do regulacji ustawy o ochronie dóbr osobistych. Sąd podziela stanowisko skarżącej, iż u.ś.u.d.e. wprowadza własne, odrębne uregulowania w zakresie udostępniania danych eksploatacyjnych (w tym adresy IP), które nie przewidują udzielania informacji o takich danych podmiotom innym niż organy państwa. GIODO w uzasadnieniu decyzji nietrafnie podnosi, iż art. 18 ust. 6 u.ś.u.d.e. nie ogranicza możliwości udostępnienia informacji, o których mowa w art. 18 ust. 1- 5, do organów państwa na potrzeby prowadzonych przez nie postępowań, albowiem nie zawiera wskazania "wyłącznie" w odniesieniu do wymienionych organów. Sąd przychyla się do poglądu skarżącej, że zgodnie z art. 18 ust. 6 u.ś.u.d.e. jedynym uprawnionym do uzyskania danych eksploatacyjnych, gromadzonych przez usługodawcę w rozumieniu u.ś.u.d.e., są organy państwa. Omawiana ustawa nie zawiera innego przepisu, który stanowiłby podstawę wydawania danych podmiotom innym niż organy państwa. Należy podzielić zapatrywanie skarżącej, że gdyby wolą ustawodawcy było nadanie uprawnienia do pozyskania danych eksploatacyjnych innym podmiotom niż organy państwa, zawarłby w ustawie wyraźną normę przewidującą takie uprawnienie. Zasadą jest bowiem podleganie danych eksploatacyjnych ochronie. Usługodawca może przetwarzać dane osobowe i eksploatacyjne tylko w zakresie i na zasadach szczegółowo określonych w u.ś.u.d.e. Dopiero w zakresie nieuregulowanym w u.ś.u.d.e. przetwarzanie tych danych może następować w oparciu o odpowiednie zastosowanie u.o.d.o. Udostępnianie danych podmiotom trzecim - takim jak P. - stanowi przełamanie tej ochrony i jako wyjątek od zasady nie może być interpretowane rozszerzająco. Zgodnie z uregulowaniami przepisów postępowania karnego, wydawanie informacji takich jak adres IP komputera może nastąpić wyłącznie na żądanie sądu lub prokuratora, zawarte w odpowiednim postanowieniu wydanym na podstawie art. 218 w związku z art. 236a k.p.k. Art. 236a k.p.k. przewiduje, iż do dysponenta i użytkownika urządzenia, zawierającego dane informatyczne lub systemu informatycznego, w zakresie danych przechowywanych w tym urządzeniu lub systemie, albo na nośniku znajdującym się w jego dyspozycji lub użytkowaniu, w tym korespondencji przesyłanej drogą elektroniczną, stosuje się odpowiednio przepisy rozdziału 25 k.p.k. Zgodnie zaś z art. 218 § 1 k.p.k., wydanie korespondencji i przesyłek oraz wykazów połączeń telekomunikacyjnych lub innych przekazów informacji, w tym korespondencji przesyłanej pocztą elektroniczną, z uwzględnieniem czasu ich dokonania i innych danych związanych z połączeniem lub przekazem, niestanowiących treści rozmowy telefonicznej lub innego przekazu informacji, może nastąpić tylko na żądanie prokuratora lub sądu, zawarte w postanowieniu. Pobieżna choćby analiza tych wyżej cytowanych przepisów k.p.k. prowadzi do wniosku o zasadności konkluzji skargi, że osoba niebędąca organem ochrony prawnej może żądać udostępnienia danych osobowych w sposób prostszy i bardziej skuteczny niż organ ścigania, którego ustawodawca wyposażył w środki mające na celu ochronę praworządności, a który jednocześnie, z racji działania na podstawie prawa i w jego granicach, daje w większym stopniu rękojmię ochrony uzyskanych danych i wykorzystania ich zgodnie z celem udostępnienia. Byłaby to konsekwencja przyjęcia stanowiska, iż art. 29 ust. 2 u.o.d.o. stanowi właściwą podstawę do udostępnienia danych w omawianej sprawie. Taka intepretacja wchodzących w grę przepisów nie może jednak mieć miejsca. Sąd zgadza się ze stanowiskiem A., że skoro ustawodawca przewidział w postępowaniu karnym regulację, w myśl której wydanie danych takich jak adresy IP użytkowników korzystających z sieci Internet może nastąpić wyłącznie na podstawie wydanego przez sąd lub prokuratora postanowienia, to przyjęcie, iż P. jako podmiot niebędący organem ochrony prawnej może żądać udostępnienia danych osobowych w sposób prostszy i bardziej skuteczny niż organ ścigania stoi w rażącej sprzeczności z obowiązującym przy dokonywaniu wykładni prawa założeniem ustawodawcy racjonalnego. Sąd podziela również zastrzeżenie skarżącej, że nawet gdyby przyjąć możliwość stosowania art. 29 ust. 2 u.o.d.o., to nie można uznać za wystarczającą motywację wniosku P. Sp. z o.o. Sp. k., dotyczącą samego zamiaru ochrony swych praw przed sądem. Na pewno nie jest to motywacja wystarczająco uzasadniająca potrzebę posiadania danych. Brak jest w obecnym stanie prawnym instrumentów prawnych, pozwalających na kontrolę celu w jakim osoba domagająca się wydawania danych w rzeczywistości dane te wykorzysta. W konsekwencji wydanie danych użytkowników internetowych forów dyskusyjnych w oparciu o art. 29 ust. 2 u.o.d.o. prowadziłoby do naruszenia ich praw i wolności. Rację ma skarżąca twierdząc, iż odmowa udostępnienia danych podmiotom innym niż organy państwa nie zamyka takim podmiotom jak P. drogi do dochodzenia ochrony swych praw na drodze postępowania karnego czy cywilnego. Zarówno prokuratorzy, jak i sądy nie odmawiają wszczęcia postępowań wobec braku danych domniemanego sprawcy, a przy użyciu dostępnych im środków prawnych ustalają niezbędne informacje. Jak trafnie zauważyła skarżąca, P. Sp. z o.o. Sp. k. znane są wyżej opisane procedury i możliwości wszczęcia postępowania, gdyż na jej wniosek sądy i prokuratury już wcześniej zwracały się do skarżącej o udostępnienie danych. Zasadna jest konkluzja skargi, iż P. zdaje sobie sprawę z tego, iż uzyskanie przez nią danych na podstawie u.o.d.o. bezpośrednio od Skarżącej nie jest konieczne do osiągnięcia zamierzonych celów. A. prezentuje również wątpliwość, czy w ogóle w przedmiotowej sprawie celem uzyskania danych rzeczywiście jest dochodzenie przez P. ochrony na drodze sądowej, skoro wcześniej dane te uzyskiwała wszczynając stosowne postępowania przez sądami i prokuraturami. Sąd podkreśla, że będąca przedmiotem sprawy sytuacja nie jest i nie może być postrzegana jako bezzasadna ochrona osób, dopuszczających się bezprawnej ingerencji w sferę prawnie chronionych interesów innych podmiotów, przed ewentualną odpowiedzialnością za ich działania. Sąd, stojąc na straży prawidłowego stosowania obowiązujących przepisów, ma obowiązek podkreślenia, że proces udostępniania danych osobowych musi być poddany stosownej kontroli organów państwa, dokonujących właściwej weryfikacji żądań. Nie jest możliwe przyjęcie odmiennego stanowiska, gdyż prowadziłoby ono do wydawania adresów IP komputerów użytkowników internetowych forów dyskusyjnych w oparciu o art. 29 ust. 2 u.o.d.o. każdemu podmiotowi, który wystąpi o udostępnienie mu danych, tylko na podstawie jego zapewnienia, iż są mu one potrzebne do dochodzenia roszczeń na drodze sądowej. Ustawa, której celem jest ochrona danych, na pewno w zamiarze ustawodawcy nie miała umożliwiać niekontrolowanego wypływu danych. Brak instrumentów, pozwalających na jakąkolwiek kontrolę wykorzystania udostępnionych danych, powoduje, że nie ma żadnych gwarancji, ani możliwości sprawdzenia, że udostępnione dane zostaną wykorzystane wyłącznie w (planowanym) postępowaniu sądowym. W hipotetycznej sytuacji podmioty mogłyby przecież wykorzystywać uzyskane w ten sposób informacje o użytkownikach forów internetowych w celach innych niż wszczęcie postępowań sądowych, w celach nie mających nic wspólnego z realizacją praw, wynikających z ochrony dóbr osobistych, naruszonych wpisami. Słusznie zauważyła też skarżąca, że w niniejszej sprawie wystepuje zależność pomiędzy P., a niektórymi autorami wpisów, którzy podpisali z tą spółką umowy i w związku z tym pozostają z nią w stosunku zależności. Całkowicie podzielić należy zarzut skargi, że naruszenie praw i wolności użytkowników forum portalu [...] jest szczególnie widoczne i wymowne w zakresie w jakim GIODO nakazał wydanie danych w zakresie logowania tych użytkowników z chwil innych, niż chwila opublikowania spornych wypowiedzi. Są to bowiem informacje pozostające bez związku z niniejszą sprawą i podnoszonymi przez P. zarzutami naruszenia jej praw i dóbr osobistych. Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit.c) ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł, jak w sentencji wyroku. Podczas ponownego rozpoznania sprawy GIODO rozważy treść cytowanych wyżej przepisów ustawy o świadczeniu usług drogą elektroniczną, a następnie - stosownie do ustaleń w tym zakresie - wyda odpowiednią decyzję. |