Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Adam Lipiński, Sędzia WSA Jacek Fronczyk, Sędzia WSA Przemysław Szustakiewicz (spr.), Protokolant Łukasz Bazyluk, po rozpoznaniu na rozprawie w dniu 16 listopada 2007 r. sprawy ze skargi H. Spółka jawna na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2006 r. nr [...] w przedmiocie udostępnienia danych osobowych - oddala skargę -

II SA/Wa 71/07

UZASADNIENIE

Generalny Inspektor Ochrony Danych Osobowych działając na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.) art. 2 ust. 1, art. 12 pkt 2, art. 18 ust. 1 pkt 2, art. 22 oraz art. 29 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), decyzją nr [...] z dnia [...] listopada 2006 r. utrzymał w mocy swoją decyzję z dnia [...] września 2006 r. (znak: [...]), nakazującą H. Spółka jawna udostępnienie S. T. S.A. [...], danych osobowych osoby fizycznej, która zarejestrowała domenę internetową "[...]", w zakresie imienia, nazwiska, adresu zamieszkania, numeru telefonu oraz adresu poczty elektronicznej. W uzasadnieniu organ podniósł, że do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek adwokata L. Ś., Kancelaria Adwokacka, ul. [...], pełnomocnika S. T. S.A., z siedzibą w L., zwanej dalej również Skarżącą o nakazanie H. Spółka jawna z siedzibą w S. przy [...], zwanej dalej również Spółką, udostępnienia "(...) danych osobowych (imienia, nazwiska, względnie firmy, adresu, względnie siedziby oraz numeru telefonu i adresu e-mail) osoby, bądź jednostki organizacyjnej, która używając id abonenta hmns [...] (osoba fizyczna) zarejestrowała domenę internetową "[...]"". W uzasadnieniu ww. wniosku pełnomocnik S. T. S.A., wskazał, że Skarżąca rości sobie prawo do używania nazwy "[...]", a uzyskanie żądanych danych jest niezbędne dla dochodzenia przez wnioskodawcę przed Sądem Polubownym ds. Domen Internetowych przy Polskiej Izbie Informatyki i Telekomunikacji naruszenia praw Skarżącej w wyniku rejestracji ww. domeny internetowej. Spółka odmówiła udostępnienia Skarżącej ww. wskazując, iż "(...) stronami stosunku prawnego wynikającego z faktu rejestracji i utrzymywania domen internetowych jest Naukowa i Akademicka Sieć Komputerowa jednostka badawczo rozwojowa (...) oraz Abonent - w świetle zasad rejestracji i utrzymywania nazw domen internetowych NASK - wnioskodawca procesu rejestracyjnego".

W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie, w tym przeprowadzeniu czynności kontrolnych w siedzibie Spółki, Generalny Inspektor Ochrony Danych Osobowych ustalił następujący stan faktyczny:

1) Spółka jest administratorem danych osób, które zarejestrowały za jej pośrednictwem domeny internetowe w zbiorze abonentów domen internetowych, prowadzonym przez Naukową i Akademicką Sieć Komputerową z siedzibą w Warszawie przy ul. Wąwozowej 18, zwaną dalej NASK, zajmującą się przydzielaniem domen internetowych z rozszerzeniem "pl",

2) Spółka prowadzi odrębny zbiór danych dotyczących abonentów domen internetowych, którzy zarejestrowali swoje domeny za jej pośrednictwem w zbiorze NASK,

3) na mocy porozumienia z dnia 15 grudnia 2004 r. "W sprawie współpracy dotyczącej rejestracji utrzymywania domen internetowych oraz udostępniania opcji na rejestrację nazwy domeny" zawartego pomiędzy NASK, a Spółką, NASK zajmuje się rejestracją i utrzymywaniem nazw domen internetowych, natomiast Spółka pośredniczy w rejestracji i utrzymywaniu nazw domen internetowych, reprezentując osobę ubiegającą się o rejestrację internetową,

4) poprzez rejestrowanie przez zainteresowanego nazwy domeny za pośrednictwem Spółki, dochodzi do nawiązania stosunku prawnego pomiędzy tą osobą, a Spółką, który polega na zleceniu pośredniczenia w rejestracji i utrzymywaniu domeny internetowej,

1) nazwę domeny "[...]" zarejestrowała osoba fizyczna.

Po przeprowadzeniu w przedmiotowej sprawie postępowania administracyjnego Generalny Inspektor Ochrony Danych Osobowych wydał w dniu [...] września 2006 r. decyzję administracyjną (znak: [...]), w której nakazał H. Spółka jawna udostępnienie S. T. S.A. danych osobowych osoby fizycznej, która zarejestrowała domenę internetową "[...]", w zakresie imienia, nazwiska, adresu zamieszkania, numeru telefonu oraz adresu poczty elektronicznej. Od powyższej decyzji wniosek o ponowne rozpatrzenie sprawy złożyła H. Spółka jawna.

Generalny Inspektor Ochrony Danych Osobowych rozpatrując ponownie sprawę wskazał na treść art. 7 pkt 4 ustawy o ochronie danych osobowych, przez którego przepis ten rozumie organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych, H. Spółka jawna należy uznać za administratora danych, o pozyskanie których wnosi S. T. S.A. Spółka wykonuje bowiem operacje na danych, w tym będących przedmiotem ww. wniosku, samodzielnie decydując o celach i środkach ich przetwarzania, czego sama Spółka zresztą nie kwestionuje we wniosku o ponowne rozpatrzenie sprawy. Okoliczność, że NASK przetwarza również dane osobowe w tym samym zakresie co Spółka nie pozbawia jej statusu administratora danych, jak wskazuje się bowiem w doktrynie, nie ma przeszkód, aby z danym zbiorem "związanych było" dwóch lub nawet więcej administratorów danych. Organ odnosząc się natomiast do zarzutów strony dotyczących przyjęcia przez Generalnego Inspektora w zaskarżonej decyzji błędnej interpretacji art. 29 ust. 2 ustawy stwierdził, że nie budzi wątpliwości, iż administrator danych w określonym w powołanym przepisie przypadku może, ale nie musi udostępnić wskazane we wniosku dane osobowe. Zgodnie bowiem ze wskazanym przepisem, dane osobowe z wyłączeniem danych, o których mowa w art. 27 ust. 1, mogą być także udostępnione w celach innych niż włączenie do zbioru, innym osobom i podmiotom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą. To administrator ocenia, co wynika wprost z treści wyżej powołanego przepisu, czy występujący o takie udostępnienie wykazał w sposób wiarygodny uzasadnioną potrzebę posiadania tych danych, a ich udostępnienie nie naruszyło praw i wolności osoby, której dane dotyczą. Jednakże, zdaniem organu, nie można się zgodzić z zarzutem Spółki, że odmowa udostępnienia przez administratora danych na podstawie tego przepisu nie podlega kontroli GIODO. Zarówno bowiem w sytuacji uregulowanej w art. 29 ust. 1 ustawy jak też w przypadku określonym w art. 29 ust. 2 ustawy decyzje administratora danych, w szczególności odmawiające udostępnienia danych nie posiadają samowolnego, autorytarnego charakteru i podlegają weryfikacji Generalnego Inspektora. Generalny Inspektor podkreślił, że Spółka na podstawie art. 29 ust. 2 ustawy powinna udostępnić Skarżącej wnioskowane przez nią dane, spełnione bowiem zostały przesłanki wymienione w tym przepisie. Organ podkreślił, że nieuprawniony jest zarzut Spółki, że wniosek strony nie spełniał kryteriów określonych w art. 29 ust. 3 ustawy, w myśl którego dane osobowe udostępnia się na pisemny, umotywowany wniosek chyba, że przepis innej ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie. Zawiera on wszelkie elementy jakie winien zawierać taki wniosek.

W dniu 8 grudnia 2006 r. skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie na powyższą decyzję złożyła H. Spółka jawna. Skarżący zarzucił obu decyzjom wydanym przez Generalnego Inspektora Ochrony Danych Osobowych:

- naruszenie przepisów postępowania poprzez uchybienie doręczenia stronom postępowania postanowienia o wszczęciu postępowania w sprawie wniosku S. T. S.A. tj. art. 64 § 4 k.p.a.;

- niepowiadomienie o toczącym się postępowaniu Naukowej i Akademickiej Sieci Komputerowej w Warszawie, która była właściwą stroną postępowania tj. art. 10, 21 k.p.a.;

- naruszenie art. 29 ustawy o ochronie danych osobowych poprzez przyjęcie, iż skarżący był zobowiązany do udostępnienia danych osobowych osoby posiadającej prawo do domeny [...];

- nadto skarżący podkreślił, iż jego wątpliwości budzi upoważnienie pełnomocnika S. T. S.A. do reprezentowania ww. przedsiębiorstwa w sprawie toczącej się przed Generalnym Inspektorem Ochrony Danych Osobowych.

W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał argumenty zawarte w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje;

Stosownie do treści art. 13 § 2 Prawa o postępowaniu przed sądami administracyjnymi do rozpoznania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości na siedzibę organ administracji publicznej, którego działalność została zaskarżona.

Natomiast zgodnie z treścią art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.

Dokonując kontroli zgodności z prawem zaskarżonej decyzji stwierdzić należy, że nie narusza ona prawa.

Podstawą materialnoprawną zaskarżonej decyzji jest art. 29 ust. 2 w związku z art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Przepis art. 29 ust. 1 i ust. 2 stanowi podstawę do żądania udostępnienia danych osobowych przez osoby trzecie w celach innych niż włączenie do zbioru. Wskazać należy, że przepis ten w brzmieniu obowiązującym do dnia 1 maja 2004 r. nie dawał podstaw do żądania udostępnienia danych, jeżeli administratorem danych były podmioty z sektora prywatnego. Sytuacja uległa zasadniczej zmianie po nowelizacji ust. 2 tego artykułu ustawą z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, poz. 285), która to nowelizacja daje obecnie prawo do żądania udostępnienia danych osobowych przez osoby trzecie w celach innych niż włączenie do zbioru również, jeżeli administratorem danych są podmioty z sektora prywatnego. Art. 29 powołanej ustawy stanowi, iż w przypadku udostępniania danych osobowych w celu innym niż włączenie do zbioru, administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa (ust. 1). Dane osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1 mogą być także udostępniane w celach innych niż włączenie do zbioru, innym osobom i podmiotom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą (ust. 2). Dane osobowe udostępnia się na pisemny wniosek chyba, że przepis ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie (ust. 3). Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione (ust. 4). Wskazać należy, że zarzuty skarżącej spółki w stosunku do decyzji sprowadzają się w istocie do zastosowania przez Generalnego Inspektora Ochrony Danych Osobowych niewłaściwej wykładni art. 29 ust. 2 powołanej ustawy o ochronie danych osobowych. Strona skarżąca uważa bowiem, że administrator danych może, lecz nie musi udostępniać danych wymienionych we wniosku nawet w sytuacji uwiarygodnienia tego wniosku podczas, gdy organ wydając decyzję nakazującą udostępnienie danych z uprawnienia administratora uczynił obowiązek. Z takim stanowiskiem Skarżącej nie sposób się zgodzić. Wskazać należy bowiem, że wniosek o udostępnienie danych osobowych może złożyć dowolny podmiot (osoba fizyczna, dowolna jednostka organizacyjna, zarówno publiczna jak i prywatna). Ważne jest, aby posiadanie danych osobowych było konieczne dla osiągnięcia zamierzonych celów, a wniosek o udostępnienie danych był wiarygodny i uzasadniony. Złożenie takiego wniosku nie zobowiązuje administratora do udostępnienia danych osobowych, ponieważ musi on ocenić czy zostały spełnione przesłanki udostępnienia danych osobowych zawarte w art. 29 powołanej ustawy. Uznaniowość administratora nie może jednak oznaczać dowolności. W przypadku bezzasadnej odmowy udostępnienia danych osobowych stosownie do wniosku z art. 29 ust. 2 ustawy, Generalny Inspektor Ochrony Danych Osobowych ma prawo - zgodnie z art. 18 ust. 1 pkt 2 ustawy - nakazać udostępnienie danych osobowych. Wskazać w tym miejscu należy, że pogląd ten jest niekwestionowany i znalazł też swoje odbicie w doktrynie (A. Drozd, Ustawa o ochronie danych osobowych, Komentarz, Wzory pism i przepisy "Wydawnictwo prawnicze Lexis Nexis", Warszawa 2004, s. 185).

Niewątpliwie wniosek o udostępnienie danych winien być wiarygodny i uzasadniony. A zatem jeżeli taki wniosek jest wiarygodny i udzieleniu tych danych nie sprzeciwia się przepis art. 27 to administrator winien je udzielić. Pozostaje zatem do rozpatrzenia kwestia, czy wniosek S. T. S.A spełniał przesłanki z art. 29 powołanej ustawy o ochronie danych osobowych. Wykazał bowiem, że uzyskanie danych osobowych osoby, która zarejestrowała domenę [...] jest niezbędne do dochodzenia przez ww. praw związanych z postępowaniem przed Sądem Polubownym ds. Domen Internetowych przy Polskiej Izbie Informatyki i Telekomunikacji. Postępowanie przed sądem polubownym toczy się zgodnie z art. 1188 § 1 kpc. Postępowanie przed sądem polubownym rozpoczyna się od wniesienia pozwu, co oznacza, że pismo procesowe w sprawie winno spełniać warunki określone w art. 187 § 1 Kodeksu postępowania cywilnego. Zgodnie z tym przepisem pozew powinien czynić zadość warunkom pisma procesowego, a nadto zawierać: dokładnie określone żądanie, a w sprawach o prawa majątkowe także oznaczenie wartości przedmiotu sporu chyba, że przedmiotem sprawy jest oznaczona kwota pieniężna; przytoczenie okoliczności faktycznych uzasadniających żądanie, a w miarę potrzeby uzasadniających również właściwość sądu. Natomiast, w myśl art. 126 § 1 pkt 1 tej ustawy, każde pismo procesowe powinno zawierać m.in. oznaczenie sądu, do którego jest skierowane, imię i nazwisko lub nazwę stron, ich przedstawicieli ustawowych i pełnomocników. Z powyższego wynika zatem, iż niezbędnym elementem pozwu o naruszenie dóbr osobistych jest oznaczenie w nim osoby, przeciwko której żądanie określone w pozwie jest skierowane (tj. przyszłej strony procesowej w sporze z tytułu naruszenia dóbr osobistych) w zakresie jej adresu zamieszkania. Tak więc żądanie strony było całkowicie uzasadnione.

Wskazać należy, że wbrew twierdzeniom skarżącego jest on w rozumieniu art. 7 pkt 4 administratorem danych, gdyż wedle treści porozumienia zawartego pomiędzy skarżącym, a NASK, H. Spółka jawna decyduje o środkach i celach związanych z danymi osobowymi osób, które zarejestrowały domeny. Tak więc stroną postępowania w sprawie jest Skarżący, a nie NASK.

Wskazać należy, że w postępowaniu administracyjnym pełnomocnictwo nie jest tak sformalizowane jak w innych postępowaniach. Jak zauważył Naczelny Sąd Administracyjny w wyroku z dnia 13 czerwca 2007 r. sygn. akt I OSK 1433/06: "podjęcie postępowania administracyjnego i zakończenie decyzją administracyjną, wymaga rozważenia z uwzględnieniem okoliczności potwierdzenia przez stronę czynności procesowej dokonanej przez nienależycie umocowanego pełnomocnika. Potwierdzenie przez stronę czynności procesowej nienależycie umocowanego pełnomocnika nie daje podstaw do przyjęcia rażącego naruszenia prawa". Naczelny Sąd Administracyjny uznał zatem, że w przypadku braku należytego pełnomocnictwa jeśli dana czynność procesowa jest potwierdzona przez mocodawcę jest ona wykonana w sposób prawidłowy. Taka sytuacja miała miejsce w niniejszej sprawie. Choć pełnomocnictwo adw. L. Ś. obejmuje czynności dotyczące postępowania przed Sądem Polubownym ds. Domen Internetowych przy Polskiej Izbie Informatyki i Telekomunikacji, to jednak jak wynika z dokumentacji dołączonej do akt sprawy, mocodawca był na bieżąco informowany o podejmowanych czynnościach przez pełnomocnika i nie tylko o nich wiedział, ale je popierał. Stąd należy przyjąć, że czynności dokonane przez adw. L. Ś. na rzecz S. T. S.A w postępowaniu przed GIODO były prawidłowe.

Mając powyższe na względzie Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 w związku z art. 132 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi orzekł, jak w sentencji