Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Bożena Popowska Sędziowie: Sędzia NSA Robert Sawuła Sędzia del. NSA Jacek Hyla (spr.) Protokolant: asystent sędziego Anna Siwonia-Rybak po rozpoznaniu w dniu 4 grudnia 2014 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 31 stycznia 2013 r. sygn. akt II SA/Wa 1112/12 w sprawie ze skargi "M." Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2012 r. nr [...] w przedmiocie udostępnienia danych osobowych 1. uchyla zaskarżony wyrok i przekazuje sprawę Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania, 2. zasądza od "M." Spółka z ograniczoną odpowiedzialnością z siedzibą Warszawie na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 220 (dwieście dwadzieścia) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wyrokiem z dnia 31 stycznia 2013 r., sygn. akt II SA/Wa 1112/12 Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2012 r., nr [...] oraz poprzedzającą ją decyzję z dnia [...] października 2011 r. w przedmiocie udostępnienia danych osobowych.

Wyrok wydany został w następujących okolicznościach sprawy:

K. B. i V. B. wystąpiły z wnioskiem o nakazanie "M." Sp. z o. o. z siedzibą w W. – Oddział w B., udostępnienia danych osobowych użytkowników komputerów w postaci numerów IP, z których dokonano wpisów na forum serwisu [...]. We wniosku dokładnie określono czas dokonania wpisów oraz pseudonimy ich autorów. Zdaniem K. B. i V. B. wpisy te naruszały ich dobre imię i dlatego postanowiły wystąpić przeciwko ich autorom ze stosownym pozwem do sądu powszechnego. Jednakże "M." Sp. z o. o. odmówiły udostępnienia danych IP komputerów autorów tych wpisów, powołując się na treść art. 18 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. nr 144, poz. 1204 ze zm.). Wpisy te Spółka usunęła. W ocenie K. B. i V. B. żądane dane IP powinny zostać im udostępnione przez Spółkę z uwagi na treść art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych w zw. z art. 23 i art. 24 Kc oraz art. 187 § 1 i art. 126 § 1 pkt 1 Kpc.

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] października 2011 r. nakazał "M." Sp. z o. o. z siedzibą w W. udostępnienie żądanych danych.

Spółka we wniosku o ponowne rozpatrzenie sprawy zakwestionowała zasadność powyższej decyzji. Wskazała na to, iż zgodnie z art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną usługodawca udziela informacji o danych, o których mowa w ust. 1 – 5 tego przepisu, organom państwa na potrzeby prowadzonych przez nie postępowań. Zatem zasady udostępniania numerów IP komputerów uregulowane zostały w sposób odmienny od zasad zawartych w ustawie o ochronie danych osobowych. Tym samym jedynie ten przepis powinien mieć zastosowanie w przypadku udostępniania numerów IP komputerów. Jednocześnie Spółka podniosła, że każda inna forma przetwarzania, niż udostępnienie danych osobowych innych, poza wskazanymi w art. 18 ust. 1 – 5 ustawy o świadczeniu usług drogą elektroniczną, uregulowana będzie przepisami ustawy o ochronie danych osobowych. W ocenie Spółki, w pozostałych przypadkach, tzn. gdy przetwarzanie jest jednoznaczne z udostępnianiem danych wskazanych w art. 18 ust. 1 – 5 ustawy o świadczeniu usług drogą elektroniczną, zastosowanie będzie miał art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną. Tym samym, zdaniem Spółki, wyłączone będą regulacje wskazywane przez organ, w szczególności art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Jednocześnie Spółka wskazała, że jedynym kryterium udostępnienia danych osobowych jest odpowiedni wniosek organów państwa. Ustawa o świadczeniu usług drogą elektroniczną wprowadza własne, odrębne uregulowania w zakresie udostępniania danych osobowych, które nie przewidują udzielania informacji o takich danych podmiotom innym niż organy państwa.

Generalny Inspektor Ochrony Danych Osobowych, ponownie rozpatrując sprawę, nie podzielił tej argumentacji i wskazał, że z treści art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną nie wynika niedopuszczalność udostępniania podmiotom innym niż organy państwa informacji, o których mowa w ust. 1 – 5 tego artykułu. W ocenie Generalnego Inspektora przepis ten – stanowiący, że usługodawca udziela informacji o danych, o których mowa w ust. 1 – 5, organom państwa na potrzeby prowadzonych przez nie postępowań – jedynie zobowiązuje usługodawcę do udostępniania informacji organom państwa i nie należy go interpretować rozszerzająco jako normy zakazującej udostępniania tych informacji innym podmiotom. Zdaniem Generalnego Inspektora, gdyby zamiarem ustawodawcy było ograniczenie możliwości udostępnienia informacji, o których mowa w art. 18 ust. 1-5 ustawy o świadczeniu usług drogą elektroniczną, tylko do organów określonych w art. 18 ust. 6 tej ustawy, wskazałby to wprost w treści przepisu, np. przy użyciu zwrotu "wyłącznie". Generalny Inspektor wskazał, że zasadne jest zastosowanie środka, o którym mowa w art. 18 ust. 1 pkt 2 ustawy i nakazanie Spółce udostępnienia skarżącym numerów IP komputerów, z których dokonano wpisów na forum serwisu [...] w przedmiotowej sprawie. Żądanie to jest usprawiedliwione przepisami art. 23, art. 24 § 1 oraz art. 448 k.c. a także przepisami art. 187 § 1 oraz 126 § 1 pkt. 1 i § 2 k.p.c. W celu umożliwienia K. B. i V. B. wniesienia pozwów przeciwko autorom naruszających ich cześć i dobre imię wpisów, niezbędne jest dysponowanie przez nie odpowiednimi danymi tych osób, umożliwiającymi wniesienie stosownego powództwa.

Skargę na powyższą decyzję wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie "M." Sp. z o. o. z siedzibą w W. W uzasadnieniu skargi Spółka wskazała, że przepisy art. 16 – 22 ustawy o świadczeniu usług drogą elektroniczną stanowią szczególną regulację (lex specialis) w stosunku do przepisów ustawy o ochronie danych osobowych. Zgodnie z art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną, usługodawca udziela informacji o danych, o których mowa w ust. 1 – 5, tj. m. in. o numerach IP komputerów, organom państwa na potrzeby prowadzonych przez nie postępowań. Z powyższego wynika, iż zasady udostępniania numerów IP komputerów uregulowane zostały w sposób odmienny od zasad zawartych w ustawie o ochronie danych osobowych. Tym samym jedynie ten przepis powinien mieć zastosowanie w przypadku udostępniania numerów IP komputerów. Każda inna forma przetwarzania danych niż wskazane w art. 16 – 22 ustawy o świadczeniu usług drogą elektroniczną i to danych osobowych innych niż wskazane w tych przepisach, uregulowana będzie przepisami ustawy o ochronie danych osobowych.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł oddalenie skargi, argumentując jak w uzasadnieniu zaskarżonej decyzji.

W uzasadnieniu wyroku uchylającego obie decyzje Głównego Inspektora Ochrony Danych Osobowych Sąd wskazał, że ustawa o świadczeniu usług drogą elektroniczną wprowadza w stosunku do zasad udostępniania danych eksploatacyjnych odrębną regulację, a możliwość odpowiedniego stosowania ustawy o ochronie danych osobowych przewiduje wyłącznie w stosunku do przetwarzania danych osobowych, którą to instytucję (art. 18 ust. 1) wyraźnie odróżnia od danych eksploatacyjnych (art. 18 ust. 5), w zakresie których brak jest w ustawie o świadczeniu usług drogą elektroniczną odesłania do regulacji ustawy o ochronie dóbr osobistych. Zasadne jest zatem stanowisko skarżącej Spółki, iż ustawa o świadczeniu usług drogą elektroniczną wprowadza własne, odrębne uregulowania w zakresie udostępniania danych eksploatacyjnych (w tym adresy IP), które nie przewidują udzielania informacji w tym zakresie innym podmiotom niż organy państwa.

Zatem do rozstrzygnięcia niniejszej sprawy właściwy jest wyłącznie przepis art. 18 ustawy o świadczeniu usług drogą elektroniczną i zastosowanie tu przepisu art. 23 ustawy o ochronie danych osobowych jest nieprawidłowe.

Nie jest trafny, zdaniem sądu I instancji, wyrażony przez Generalnego Inspektora Ochrony Danych Osobowych w uzasadnieniu decyzji pogląd, iż art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną nie ogranicza możliwości udostępnienia informacji, o których mowa w art. 18 ust. 1 – 5, do organów państwa na potrzeby prowadzonych przez nie postępowań, albowiem nie zawiera wskazania "wyłącznie" w odniesieniu do wymienionych organów.

Zgodnie z treścią art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną jedynymi uprawnionymi do uzyskania danych eksploatacyjnych, gromadzonych przez usługodawcę, w rozumieniu tej ustawy, są organy państwa. Omawiana ustawa nie zawiera innego przepisu, który stanowiłby podstawę wydawania danych podmiotom innym niż organy państwa. Należy podzielić zapatrywanie skarżącej Spółki, że gdyby wolą ustawodawcy było nadanie uprawnienia do pozyskania danych eksploatacyjnych innym podmiotom niż organy państwa, zawarłby w ustawie wyraźną normę przewidującą takie uprawnienie. Zasadą jest objęcie ochroną danych eksploatacyjnych. Usługodawca może przetwarzać dane osobowe i eksploatacyjne tylko w zakresie i na zasadach szczegółowo określonych w ustawie o świadczeniu usług drogą elektroniczną. Dopiero w zakresie nieuregulowanym w przepisach tej ustawy, przetwarzanie tych danych może następować w oparciu o odpowiednio zastosowane przepisy ustawy o ochronie danych osobowych. Uregulowanie zasad udostępnienia danych osobowych użytkowników komputerów w postaci numerów IP uregulowane w art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną ma charakter wyjątku od zasady ochrony takich danych. Zatem jako lex specialis (wyjątek od zasady) nie może być interpretowana w sposób rozszerzający.

Wnioskodawczynie – K. B. i V. B. w celu wytoczenia powództwa z art. 23 i art. 24 k.c. przeciwko autorom wpisów na forum serwisu "[...]" należącego do M. Sp. z o.o., muszą dysponować danymi adresowymi tych osób. Wynika to wprost z zasad procesowych – art. 187 § 1 i art. 126 § 2 k.p.c. Polska procedura cywilna przewiduje szereg uregulowań umożliwiających pozyskanie niezbędnych danych osobowych i wszczęcie procesu. Jednakże zainteresowane z nieznanych powodów możliwości tych nie wykorzystują.

Wnioskodawczynie oraz Generalny Inspektor Ochrony Danych Osobowych abstrahują w niniejszej sprawie od przepisów dotyczących zabezpieczenia dowodów na poczet przyszłych postępowań cywilnych – to jest art. 310 i nast. Kpc. Przepisy te umożliwiają zwrócenie się przez powoda do sądu cywilnego z wnioskiem o zabezpieczenie między innymi także i danych adresowych ewentualnego pozwanego, jeżeli dane te są znane osobie trzeciej (porównaj art. 312 i art. 313 w zw. z art. 248 k.p.c.).

W sprawach karnych o zniesławienie, albo w sprawach cywilnych o ochronę przewidzianą w art. 23 i art. 24 k.c., osoba zainteresowana może odpowiednio za pośrednictwem organów państwa: tu organów ścigania (Policja, Prokuratura) lub sądu karnego, albo sądu cywilnego, dochodzić ujawnienia danych osobowych oskarżonego albo pozwanego, które są niezbędne do wszczęcia danego procesu. To o tych właśnie organach jest mowa w art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną. Do tych organów winna się zgłosić osoba zainteresowana ze stosownym wnioskiem. Postępowanie takie toczy się bez udziału Generalnego Inspektora Ochrony Danych Osobowych i jest niezależne od jego decyzji.

Niezależnie od powyższych wywodów Sąd I instancji wskazał, że w orzecznictwie sądowo-administracyjnym, w zakresie spraw rozstrzyganych w oparciu o treść art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, utrwalił się pogląd, iż wyrażenie przez osobę zainteresowaną samej chęci wystąpienia na drogę sądową, bez wcześniejszego uzewnętrznienia tej woli w postaci stosownego pozwu albo wniosku o ściganie, czy prywatnego aktu oskarżenia, nie stanowi prawnie usprawiedliwionego celu przetwarzania danych osobowych w rozumieniu powyższego przepisu. W niniejszej sprawie żadna z wnioskodawczyń – ani K. B. ani V. B. nie wskazały, aby przedsięwzięły jakiekolwiek kroki na drodze procesu cywilnego w zakresie ewentualnego powództwa o ochronę praw osobistych. Wnioskodawczynie poprzestały tu jedynie na określeniu zamiaru wystąpienia z takim powództwem.

Zważywszy na powyższe, w ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, niezależnie od naruszenia art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną, Generalny Inspektor Ochrony Danych Osobowych naruszył także wykładnię przepisu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Wojewódzki Sąd Administracyjny w Warszawie podkreślił, że jego stanowisko nie może być postrzegana jako ochrona przed ewentualną odpowiedzialnością osób, dopuszczających się za pośrednictwem środków komunikacji elektronicznej, bezprawnej ingerencji w sferę prawnie chronionych interesów oraz praw innych podmiotów. Wyżej prezentowane wywody wskazują, iż ochrona osób pokrzywdzonych takimi bezprawnymi działaniami istnieje i osoba pokrzywdzona może dochodzić swoich praw zarówno na gruncie przepisów postępowania karnego, jak i postępowania cywilnego, zgodnie z zasadami przewidzianymi w ustawie o świadczeniu usług drogą elektroniczną.

Skargę kasacyjną od powyższego wyroku wniósł Generalny Inspektor Ochrony Danych Osobowych w Warszawie domagając się uchylenia zaskarżonego wyroku w całości i przekazania sprawy do ponownego rozpoznania przez Wojewódzki Sąd Administracyjny w Warszawie.

Zaskarżonemu wyrokowi zarzucił:

- naruszenie prawa materialnego, tj.

art. 18 ust. 1 i 5 ustawy o świadczeniu usług drogą elektroniczną, przez ich błędną wykładnię prowadzącą do przyjęcia, iż ustawa ta wprowadza w stosunku do udostępniania danych eksploatacyjnych odrębną regulację, a możliwość odpowiedniego stosowania ustawy o ochronie danych osobowych przewiduje wyłącznie w stosunku do przetwarzania danych osobowych, którą to instytucję (art. 18 ust. 1) u.ś.u.d.e. wyraźnie odróżnia od danych eksploatacyjnych (art. 18 ust. 5), w zakresie których brak jest w u.ś.u.d.e. odesłania do regulacji u.o.d.o.,

art. 18 ust. 6 u.ś.u.d.e. przez jego błędną wykładnię i w konsekwencji przyjęcie, że jedynym uprawnionym do uzyskania danych eksploatacyjnych, gromadzonych przez usługodawcę w rozumieniu u.ś.u.d.e., są organy państwa,

- naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 1 ustawy z dnia 25 lipca 2002 r. o ustroju sądów administracyjnych, w zw. z art. 145 § 1 pkt 1 lit. c i art. 3 § 2 pkt 1 p.p.s.a. poprzez sprawowanie niewłaściwej kontroli nad postępowaniem administracyjnym, skutkujące niezasadnym uchyleniem zaskarżonej decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2012r. (znak: [...]) i poprzedzającej ją decyzji z dnia [...] października 2011 r. (znak: [...]), wobec stwierdzenia, że cyt: "Generalny Inspektor Ochrony Danych Osobowych wydał zaskarżoną decyzję na podstawie art. 29 ust. 1 ustawy o ochronie danych osobowych, błędnie pomijając regulacje przewidziane w ustawie o świadczeniu usług drogą elektroniczną".

W uzasadnieniu wskazano, że Sąd błędnie przyjął, że u.ś.u.d.e. wprowadza w stosunku do udostępniania danych eksploatacyjnych odrębną regulację, a możliwość odpowiedniego stosowania u.o.d.o. przewiduje wyłącznie w stosunku do przetwarzania danych osobowych, którą to instytucję (art. 18 ust. 1) u.ś.u.d.e. wyraźnie odróżnia od danych eksploatacyjnych (art. 18 ust. 5), w zakresie których brak jest w u.ś.u.d.e. odesłania do regulacji u.o.d.o. W uchylonych decyzjach GIODO wyraźnie bowiem wskazał, że adres IP należący do danych eksploatacyjnych (w myśl art. 18 ust. 5 pkt 2 u.ś.u.d.e.) stanowi także dane osobowe i jako taki może być niewątpliwie przedmiotem przetwarzania, w tym udostępnienia.

Wnoszący skargę kasacyjną podkreślił, że nie można również zgodzić się ze stanowiskiem Sądu, iż stosownie do art. 18 ust. 6 u.ś.u.d.e. jedynym uprawnionym do uzyskania danych eksploatacyjnych gromadzonych przez usługodawcę w rozumieniu u.ś.u.d.e. są organy państwa. W ocenie GIODO, z treści art. 18 ust. 6 u.ś.u.d.e. nie wynika niedopuszczalność udostępniania podmiotom innym niż organy państwa informacji, o których mowa w ust. 1-5 tego artykułu. Zdaniem GIODO przepis ten - stanowiący, że usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań - ma charakter jedynie deklaratoryjny wobec uprawnień tych organów określonych szczegółowo w innych przepisach. Jednocześnie, w ocenie organu ochrony danych osobowych, przepisu art. 18 ust. 6 u.ś.u.d.e. nie należy interpretować jako normy zakazującej udostępniania tych informacji innym podmiotom, albowiem gdyby zamiarem ustawodawcy było ograniczenie możliwości udostępnienia informacji, o których mowa w art. 18 ust. 1-5 u.ś.u.d.e., tylko do organów określonych w art. 18 ust. 6 tej ustawy, wskazałby to wprost w treści przepisu, np. przy użyciu zwrotu "wyłącznie".

W ocenie organu ochrony danych osobowych, Sąd błędnie założył, iż nawet gdyby przyjąć możliwość stosowania art. 23 ust. 1 pkt 5 u.o.d.o., to nie można uznać za wystarczającą motywację wniosku skarżących, dotyczącą samego zamiaru ochrony swych praw przed sądem.

Zdaniem GIODO, zarówno dotychczasowe orzecznictwo, jak i doktryna przedmiotu uznają za uzasadnione żądanie udostępnienia danych osobowych w celu dochodzenia swoich praw przed sądem. Ważąc natomiast interesy obu stron (zarówno skarżących, jak i osób, których dane będące przedmiotem udostępnienia dotyczą) GIODO stoi na stanowisku, iż odmowa udostępnienia danych skarżącym poszukującym sądowej ochrony swoich dóbr osobistych naruszonych nieprawdziwymi i oczerniającymi

- ich zdaniem - publikacjami prowadzi do nieuzasadnionej ochrony osób, które zamierza pozwać do sądu, a które przecież w trakcie postępowania sądowego mogą w pełni korzystać ze swoich praw zagwarantowanych przepisami prawa i dowodzić niezasadności powództwa.

Za nieuzasadnione w świetle obowiązujących przepisów prawa należy natomiast uznać stanowisko Sądu, w którym Sąd, podkreślając, że proces udostępniania danych osobowych musi być poddany stosownej kontroli organów państwa dokonujących właściwej weryfikacji żądań, wskazał, że nie jest możliwe przyjęcie odmiennego stanowiska, gdyż prowadziłoby ono do wydawania adresów IP komputerów użytkowników internetowych forów dyskusyjnych w oparciu o art. 23 ust. 1 pkt 5 u.o.d.o. każdemu podmiotowi, który wystąpi o udostępnienie mu danych, tylko na podstawie jego zapewnienia, iż są mu one potrzebne do dochodzenia roszczeń na drodze sądowej. Należy bowiem w pierwszej kolejności zauważyć, że skarżące zwróciły się z wnioskiem o nakazanie udostępnienia danych osobowych do organu państwa (GIODO), który przed podjęciem czynności bada z urzędu zasadność takiego wniosku. GIODO stoi także na stanowisku, że w chwili, gdy skarżące zbiorą udostępnione im przez Spółkę dane osobowe staną się ich administratorem w rozumieniu art. 7 pkt 4 u.o.d.o. W związku z powyższym przetwarzanie przez nie tych danych będzie podlegało regułom wyznaczonym przez przepisy u.o.d.o., w szczególności zaś wynikającemu z art. 26 ust. 1 pkt 2 u.o.d.o. obowiązkowi nie poddawania zebranych danych dalszemu przetwarzaniu niezgodnemu z celami zebrania (tzw. zasada celowości), a kontrola zgodności przetwarzania tych danych z przepisami o ochronie danych osobowych będzie należała do kompetencji GIODO, będącego organem państwa ustawowo umocowanym do sprawowania ww. kontroli.

Naczelny Sąd Administracyjny zważył, co następuje:

Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t. j. Dz. U. z 2012 r., poz. 270 ze zm., dalej jako p.p.s.a.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują enumeratywnie wyliczone w art. 183 § 2 powołanej ustawy przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.

Nie był uzasadniony zawarty w skardze kasacyjnej zarzut naruszenia przepisów postępowania art. 1 ustawy z dnia 25 lipca 2002 r. o ustroju sądów administracyjnych (Dz. U. 153 poz. 1269 ze zm.), w zw. z art. 145 § 1 pkt 1 lit. c i art. 3 § 2 pkt 1 p.p.s.a. poprzez sprawowanie niewłaściwej kontroli nad postępowaniem administracyjnym. Tak sformułowany zarzut mógłby stanowić usprawiedliwioną podstawę skargi kasacyjnej jedynie w przypadku, gdyby sąd I instancji zaniechał poddania zaskarżonej decyzji kontroli, a nie w przypadku, w którym kontrolę przeprowadzono w trybie przewidzianym przepisami p.p.s.a. lecz strona nie uznaje za słuszny jej rezultatu.

W pełni zasadny był natomiast zarzut naruszenia przepisów prawa materialnego, a mianowicie art. 18 ust. 6 z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. nr 144, poz. 1204 ze zm.) powoływanej dalej jako u.ś.u.d.e. lub ustawa o świadczeniu usług drogą elektroniczną, przez jego błędną wykładnię i przyjęcie, że jedynym uprawnionym do uzyskania danych eksploatacyjnych, gromadzonych przez usługodawcę w rozumieniu tej ustawy są organy państwa.

Kwestia wzajemnych relacji pomiędzy przepisami ustawy o świadczeniu usług drogą elektroniczną i przepisami ustawy z 29 sierpnia 1997r. o ochronie danych osobowych (t.j. Dz. U. z 2002r. poz. 101 z późn. zm.) powoływanej dalej jako u.o.d.o. lub ustawa o ochronie danych osobowych, była już kilkakrotnie przedmiotem analizy Naczelnego Sądu Administracyjnego.

W wyroku z dnia 21 sierpnia 2013r. sygn. akt I OSK 1666/12 Naczelny Sąd Administracyjny wskazał, że art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną jest przeniesieniem na grunt prawa krajowego art. 4 Dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE. Sąd zwrócił uwagę na treść wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 19 kwietnia 2012r. Bonnier Audio i In. przeciwko Perfect Communication Sweden AB, sygn C – 461/ 10, w którym stwierdzono, że przepisy prawa unijnego, w tym art. 3-5 powołanej wcześniej dyrektywy, nie sprzeciwiają się normom krajowym umożliwiającym wydanie nakazu udostępniania danych osobowych abonenta usług internetowych ( w tym adresu IP ) na potrzeby sądowego postępowania cywilnego, jeżeli przy wydawaniu nakazu dokonane zostanie wyważenie przeciwstawnych interesów – stosownie do okoliczności każdego przypadku oraz przy należytym uwzględnieniu wymogów wynikających z zasady proporcjonalności. W omawianym wyroku wskazano, że z powyższego wyroku TSUE wynika, że przepisy Dyrektywy 2006/24/WE z 15 marca 2006 r. , a więc także oparty na nich art.18 ust.6 u.ś.u.d.e., nie wykluczają ujawnienia tożsamości abonenta naruszającego podstawowe prawa i wolności. Sąd wskazał, że stosownie do art. 16 u.ś.u.d.e., do przetwarzania danych osobowych w rozumieniu u.o.d.o. w związku ze świadczeniem usług drogą elektroniczną stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej. Z brzmienia art. 18 ust.6 u.ś.u.d.e. wynika jedynie obowiązek udzielenia informacji o danych, organom państwa na potrzeby prowadzonych przez nie postępowań. Nie wynika natomiast zakaz udostępniania tych danych osobom, których prawa zostały naruszone. Zarówno jednak organ nakazujący ujawnienie danych, jak i sąd administracyjny rozpoznający skargę na tego rodzaju decyzję, muszą każdorazowo, przy uwzględnieniu indywidualnych okoliczności danej sprawy dokonać wyważenia przeciwstawnych interesów jakimi są prawo do ochrony danych osobowych i prawo do ochrony czci, godności, dobrego imienia czy też wizerunku firmy. Należy przy tym w sposób należyty uwzględniać wymogi wynikające z zasady proporcjonalności, tak aby stosowane środki były adekwatne do zagrożenia dobra wymagającego w danej sprawie większej ochrony. Pogląd ten jest zgodny z normami konstytucyjnymi, a zwłaszcza z art. 31 ust. 2 i 3 Konstytucji RP z którego wynika, że każdy jest obowiązany szanować wolności i prawa innych, a ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane w ustawie i tylko wtedy gdy są konieczne m.in. dla ochrony wolności i praw innych osób. Przepisy ustawy o ochronie danych osobowych pozwalające na ujawnienie tych danych we wskazanych w ustawie przypadkach są właśnie takim wyjątkiem pozwalającym osobie, której prawa naruszono, dochodzić należnej jej w demokratycznym państwie ochrony. Natomiast osoba dokonująca tych naruszeń musi mieć świadomość, że nie może nadużywać swoich praw naruszając prawa innych. Wolność wyrażania swoich poglądów związana jest z ponoszeniem za poglądy te odpowiedzialności. Każdy kto wypowiada się publicznie poza Internetem, ma świadomość co do ewentualnych konsekwencji wypowiedzi, które naruszają podstawowe, ustawowo chronione prawa innych osób. Nieuzasadnione niczym jest natomiast twierdzenie, że ktoś wypowiadający się anonimowo, w sposób naruszający dobra innych podmiotów ma podlegać szczególnej ochronie i to jego dane osobowe są dobrem, które ustawodawca miał zamiar chronić w pierwszej kolejności. Obecnie obowiązujący stan prawny pozwala na wysnucie wniosku, iż w ramach obowiązującego prawa można domagać się ujawnienia danych, jakie zgromadził administrator serwisu internetowego poprzez stosowanie u.o.d.o., a konkretniej art. 23 tej ustawy pod pewnymi warunkami. Warunkami tymi są proporcjonalność środków i celów oraz równowaga pomiędzy ochroną różnych dóbr: wolności wypowiedzi i prawa do ochrony dóbr osobistych. Podmiot żądający udostępnienia danych osobowych musi swoje stanowisko uzasadnić. Wedle art. 23 ust. 1 pkt 5 muszą być to "prawnie usprawiedliwione cele". W przypadku odmowy udostępnienia danych przez podmiot, będący ich administratorem, strona może złożyć wniosek do Głównego Inspektora Ochrony Danych Osobowych (dalej: GIODO), który po przeprowadzeniu stosownego postępowania może w drodze decyzji nakazać udostępnienie danych osobowych. Istotna w tym zakresie jest ocena GIODO, która powinna być uzależniona od okoliczności konkretnej sprawy, bowiem zarówno u.ś.u.d.e., jak i u.o.d.o. będzie miała w tym zakresie zastosowanie.

Powyższe poglądy podzielił także Naczelny Sąd Administracyjny w wyroku z dnia 21 lutego 2014 r. sygn. akt I OSK 2324/12. W wyroku tym wskazano, że tajemnica komunikowania się w sieciach telekomunikacyjnych sięga tylko do granic kolizji z obowiązującym porządkiem prawnym, gdy zaś zachodzi podejrzenie sprzeczności z nim, reguła ta musi ulec przed wyższym dobrem.

Naczelny Sąd Administracyjny w składzie rozpoznającym niniejszą sprawę przedstawione wyżej poglądy akceptuje w pełni.

Należy podkreślić, że zakres pojęcia "dane eksploatacyjne" użytego w ustawie o świadczeniu usług drogą elektroniczną pokrywa się w istotnej części z zakresem pojęcia "dane osobowe" – definiowanym w ustawie o ochronie danych osobowych (art. 6 ust. 1 i 2) jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przy czym osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Skoro numer IP może stanowić informację dotyczącą możliwej do zidentyfikowania osoby fizycznej – to będąc jedną z "danych eksploatacyjnych" należy równocześnie do danych osobowych w rozumieniu ustawy o ochronie danych osobowych.

Brak podstaw, by zapis o obowiązku udostępniania danych eksploatacyjnych organom Państwa na potrzeby konkretnych postępowań traktować jako wyłączający możliwość udostępniania tych danych innym osobom, na podstawie przepisów ustawy o ochronie danych osobowych. Taką interpretację potwierdza cytowane wyżej orzeczenie TSUE z dnia 19 kwietnia 2012 r. w sprawie C – 461/ 10.

Jest ona zgodna także z zasadami wykładni gramatycznej i systemowej. Skoro bowiem ustawa o świadczeniu usług drogą elektroniczną zawiera jedynie unormowanie dotyczące udostępniania danych eksploatacyjnych organom Państwa i nie zawiera żadnej regulacji dotyczącej udostępniania innym podmiotom (zwłaszcza zakazującej takiego udostępniania), to uznać należy, że w tym zakresie stosować należy regulacje innych ustaw mogących odnosić się do tych danych. W świetle tego, co wskazano wyżej, że dane eksploatacyjne stanowić mogą dane osobowe, to do ustaw tych należy także ustawa o ochronie danych osobowych.

Za całkowicie błędny należy uznać także pogląd sądu I instancji wyrażony w uzasadnieniu zaskarżonego wyroku, zgodnie z którym dla uzasadnienia żądania udostępnienia danych osobowych na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych nie wystarczy wyrażenie przez osobę zainteresowaną samej chęci wystąpienia na drogę sądową, bez wcześniejszego uzewnętrznienia tej woli w postaci stosownego pozwu albo wniosku o ściganie, czy prywatnego aktu oskarżenia.

Akceptacja takiego poglądu prowadziłaby bowiem do sytuacji niedopuszczalnej na gruncie polskiej procedury cywilnej, a mianowicie do konieczności wniesienia przez osobę, której dobra osobiste naruszono anonimową wypowiedzią zamieszczoną na forum internetowym - pozwu o ochronę dóbr osobistych przeciwko osobie nieznanej z imienia, nazwiska i adresu. Pozew taki nie uzyskałby niewątpliwie biegu koniecznego do uzyskania merytorycznego rozstrzygnięcia przez sąd. Nie sposób uznać w aktualnym stanie prawnym za zasadne poglądów sądu I instancji co do poszukiwania osoby pozwanego w trybie zabezpieczenia dowodu (art. 310 i dalsze k.p.c.). Co więcej, należy zwrócić uwagę, że wystąpienie do sądu powszechnego z cywilnoprawnym roszczeniem – także o ochronę dóbr osobistych jest rozwiązaniem ostatecznym, które powinno być stosowane wówczas, gdy w istocie niemożliwe jest rozwiązanie sporu w drodze pozasądowej. Zatem ochrona dóbr osobistych może i powinna realizować się w pierwszym rzędzie w drodze żądania dokonania czynności określonych w art. 24 §1 i 2 k.c. skierowanego do osoby, która dopuściła się naruszenia tych dóbr. Zaspokojenie takiego żądania w całości lub w części może doprowadzić do tego, że sprawa nigdy nie będzie przedmiotem postępowania sądowego, bo nie będzie takiej potrzeby.

Wystarczające jest zatem, dla zrealizowania przesłanki określonej w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych wskazanie faktów, z których wynika dane roszczenie. Bez znaczenia jest natomiast to, czy jego realizacja wymagać będzie wniesienia pozwu do sądu cywilnego, czy też spór zostanie rozwiązany w drodze pozasądowej. W każdym przypadku jednak – zarówno w sytuacji wniesienia pozwu do sądu jak i w przypadku zwrócenia się z żądaniem pozasądowym oczywiście konieczne jest zidentyfikowanie adresata roszczeń.

W tym stanie sprawy Naczelny Sąd Administracyjny uznając skargę kasacyjną za opartą na usprawiedliwionej podstawie uchylił zaskarżony wyrok na mocy art. 185 § 1 p.p.s.a.

O kosztach postępowania orzeczono na podstawie art. 203 pkt 2 p.p.s.a. wobec uchylenia wyroku sądu I instancji uchylającego zaskarżoną decyzję.