Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Olga Żurawska - Matusiak Sędziowie WSA Ewa Grochowska - Jung (spr.) Jacek Fronczyk Protokolant starszy sekretarz sądowy Dorota Kwiatkowska po rozpoznaniu na rozprawie w dniu 17 czerwca 2013 r. sprawy ze skargi A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2012 r. nr [...] w przedmiocie ochrony danych osobowych – oddala skargę –

Wnioskiem z dnia [...] lutego 2012 r. J. S. zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych (dalej GIODO) o nakazanie A. S.A. z siedzibą w W. (dalej skarżąca) o udostępnienie danych osobowych w zakresie imienia, nazwiska, adresu zamieszkania, adresu e-mail oraz numeru IP komputera, z którego dokonano wpisów, dotyczących użytkownika posługującego się loginem [...] , który w dniach: [...] września 2011 r. o godz. [...] , [...] listopada 2011 r. o godz. [...] , [...] listopada 2011 r. o godz. [...] , [...] grudnia 2011 r. o godz. [...] , [...] stycznia 2012 r. o godz. [...] zamieścił wpisy w rubryce komentarze pod felietonami wnioskodawcy na stronie internetowej [...], której administratorem jest A. S.A. Wnioskodawca podniósł, że w dniu [...] grudnia 2011 r. zwrócił się do administratora forum [...] – A. S.A. – na którym zamieszczono komentarze naruszające jego dobra osobiste – m.in. o udostępnienie danych osobowych autora tych komentarzy. Wnioskodawca wskazał, że pismem z dnia [...] grudnia 2011 r. odmówiono mu udostępnienia tych danych. Wnioskodawca podkreślił, że zwrócił się z kolejnym pismem do A. S.A. w dniu [...] grudnia 2011 r. z uzasadnieniem konieczności identyfikacji osoby posługującej się pseudonimem [...] . W dniu [...] stycznia 2012 r. wnioskodawca w piśmie do A. S.A. podniósł, iż ww. osoba w dalszym ciągu narusza jego dobra osobiste, a w jego ocenie w przedmiotowej sprawie ma zastosowanie art. 23 ust. 1 pkt 2 w związku z art. 27 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), zwanej dalej ustawą.

W wyjaśnieniach udzielonych organowi w piśmie z dnia [...] kwietnia 2012 r. A. S.A. wskazała, iż przetwarza jedynie informację o adresie IP komputera, z którego korzystał użytkownik będący autorem wpisów, których dotyczy niniejsze postępowanie. Informacja ta przetwarzana jest w zbiorze danych osobowych o nazwie "Użytkownicy internetowego wydania »[...]« i portalu A. S.A.", w związku ze świadczeniem przez A. S.A. usługi polegającej na umożliwianiu użytkownikom sieci Internet zamieszczanie wypowiedzi na stronach forum portalu [...]

A. S.A. podkreśliła, że od dnia 7 marca 2011 r. nie obowiązuje art. 29 ustawy z dnia sierpnia 1997 r. o ochronie danych osobowych – tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm. (dalej o.d.o.), uchylony ustawą z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. Nr 229, poz. 1497). Zgodnie z art. 5 ustawy nowelizującej o.d.o., do postępowań wszczętych i niezakończonych przed dniem wejścia w życie niniejszej ustawy, stosuje się przepisy dotychczasowe. Wszczynający postępowanie administracyjne wniosek J. S. wpłynął do organu w dniu [...] lutego 2012 r., a więc w zmienionym stanie prawnym.

Zdaniem A. S.A. w niniejszej sprawie znajdują zastosowanie przepisy ustawy o świadczeniu usług drogą elektroniczną; w obowiązującym stanie prawnym brak jest podstaw do wydania przez organ decyzji nakazującej udostępnienie danych. Powołując się na art. 18 ust. 6 ww. ustawy, Spółka wywiodła, iż ustawa ta wprowadza własne odrębne uregulowania w zakresie udostępniania danych osobowych oraz danych eksploatacyjnych, które nie przewidują udzielania informacji o takich danych podmiotom innym niż organy państwa. Nadto wskazała na przepisy art. 218 i art. 236a Kodeksu postępowania karnego (przewidujące wydanie korespondencji, przesyłek i danych, o których mowa w art. 180c i art. 180d ustawy Prawo telekomunikacyjne, wyłącznie na żądanie prokuratora lub sądu zawarte w postanowieniu) jako mające chrakter lex specialis w stosunku do przepisów o.d.o.

Zdaniem Spółki dane eksploatacyjne (w tym adresy IP) powinny być poddane bardziej restrykcyjnym środkom ochrony. Nie ma bowiem gwarancji, że żądający udostępnienia danych będzie tylko jedynym ich dysponentem i wykorzysta je wyłącznie w procesie sądowym. W konsekwencji A. S.A. uznała, że udostępnienie danych osobowych użytkowników portalu może prowadzić do naruszenia ich praw i wolności.

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] lipca 2012 r. nr [...], wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 196 r. Kodeks postępowania administracyjnego – tekst jednolity: Dz. U. z 2000 r. nr 98, poz. 1071 ze zm. (dalej K.p.a ), art. 12 pkt 2, art. 18 ust. 1 pkt 2, art. 22 w zw. z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), nakazał A. S.A. udostępnienie J. S. numeru IP komputera użytkownika forum internetowego na portalu [...] zarejestrowanego jako Gość: [...] - autora komentarzy opublikowanego w dniach: [...] września 2011 r. o godz. [...],[...] listopada 2011 r. o godz. [...],[...] listopada 2011 r. o godz. [...],[...]grudnia 2011 r. o godz. [...],[...] stycznia 2012 r. o godz. [...], który zamieścił komentarze pod felietonami skarżącego na stronie internetowej [...], a w pozostałym zakresie umorzył postępowanie.

W uzasadnieniu organ wskazał, iż w myśl art. 7 pkt 2 ustawy, ilekroć w ustawie jest mowa o przetwarzaniu danych, rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, w tym ich udostępnianie. Każda forma przetwarzania danych osobowych powinna znaleźć oparcie w jednej z przesłanek warunkujących legalność tego procesu, enumeratywnie wymienionych w art. 23 ust. 1 ustawy. Niezależnie od zgody osoby, której dane dotyczą (art. 23 ust. 1 pkt 1), przetwarzanie danych jest dopuszczalne wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5).

W ocenie Generalnego Inspektora Ochrony Danych Osobowych, wbrew twierdzeniom A. S.A., żądanie wnioskodawcy o udostępnienie ww. danych osobowych jest uzasadnione i wypełnia dyspozycję art. 23 ust. 1 pkt 5 ustawy. Wnioskodawca we wniosku skierowanym do A. S.A. określił zakres żądanych danych oraz podał informacje umożliwiające wyszukanie tych danych (konkretny adres internetowy oraz nazwę profilu). Ponadto w niniejszym postępowaniu wnioskodawca wiarygodnie uzasadnił potrzebę pozyskania danych koniecznością podjęcia kroków mających na celu ochronę dóbr osobistych skarżącego.

GIODO wskazał na art. 23 Kodeksu cywilnego, który stanowi, że dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.

Dochodzenie przez J. S. praw przed sądem z tytułu naruszenia jego dóbr osobistych stanowi realizację jego prawnie usprawiedliwionego celu i uprawnienia wynikającego z przepisu prawa, tj. art. 24 § 1 Kc. ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. Zgodnie z art. 24 § 2 Kc., jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych. Jednocześnie, w myśl art. 448 powyższej ustawy, w razie naruszenia dobra osobistego sąd może przyznać temu, czyje dobro zostało naruszone odpowiednią sumę tytułem zadośćuczynienia za doznaną krzywdę lub na jego żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez niego ceł społeczny, niezależnie od innych środków potrzebnych do usunięcia skutków naruszenia. W myśl art. 43 Kc. przepisy o ochronie dóbr osobistych osób fizycznych stosuje się odpowiednio do osób prawnych.

Organ wyjaśnił, że sporządzenie pozwu do sądu cywilnego w związku z naruszeniem dóbr osobistych wymaga podania danych osobowych osoby pozwanej. Dla skutecznego wytoczenia powództwa niezbędne jest wniesienie do sądu pisma, które spełniać będzie warunki określone w art. 187 § 1 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. Nr 43, poz. 296 z późn. zm.), zwanej dalej Kpc. Zgodnie z tym przepisem, pozew powinien czynić zadość warunkom pisma procesowego. Natomiast, w myśl art. 126 § 1 pkt 1 Kpc., każde pismo procesowe powinno zawierać oznaczenie sądu, do którego jest skierowane, imię i nazwisko lub nazwę stron, ich przedstawicieli ustawowych i pełnomocników. Ponadto, zgodnie z art. 126 § 2 Kpc., gdy pismo procesowe jest pierwszym pismem w sprawie, powinno zawierać oznaczenie miejsca zamieszkania lub siedziby stron, ich przedstawicieli ustawowych i pełnomocników oraz przedmiotu sporu, pisma zaś dalsze – sygnaturę akt.

Z powyższego wynika zatem, iż niezbędnym elementem pozwu, w tym również o naruszenie dóbr osobistych, jest oznaczenie imienia, nazwiska i miejsca zamieszkania osoby, w stosunku do której żądanie określone w pozwie jest skierowane (tj. przyszłej strony procesowej w sporze z tytułu naruszenia dóbr osobistych).

Z uzasadnienia skierowanego do Generalnego Inspektora Ochrony Danych Osobowych wniosku wynika, że w ocenie wnioskodawcy doszło do naruszenia jego dóbr osobistych. Uzasadnionym jest zatem dochodzenie przez wnioskodawcę ochrony tych dóbr poprzez wystąpienie do sądu z powództwem wobec autora wpisów na forum internetowym prowadzonym przez A. S.A. Niewątpliwie jest to prawnie usprawiedliwiony cel wnioskodawcy, o którym mowa w art. 23 ust. 1 pkt 5 ustawy. Ponadto, przyjęcie, że przetwarzanie (udostępnienie) – w celu zainicjowania postępowania sądowego - danych osoby, wobec której zachodzi domniemanie, że to ona dokonała wpisu (mającego godzić w dobra osobiste wnioskodawcy) miałoby naruszać jej prawa i wolności, prowadziłoby do nieuzasadnionej ochrony takiej osoby przed ewentualną odpowiedzialnością za swoje działania, zwłaszcza że może ona w trakcie postępowania sądowego w pełni korzystać ze swoich praw zagwarantowanych przepisami Kpc. Działanie A. S.A. polegające na nieudostępnieniu wnioskodawcy danych osobowych, może natomiast doprowadzić do ograniczenia jego prawa do wystąpienia do sądu z powództwem w sprawie naruszenia dóbr osobistych oraz skutecznie chronić sprawcę przed odpowiedzialnością cywilnoprawną za jego działania. Organ umorzył postępowanie w pozostałym zakresie, bowiem Spółka nie przetwarza innych danych użytkownika.

We wniosku o ponowne rozpatrzenie sprawy A. S.A. wniosła o uchylenie zaskarżonej decyzji w części nakazującej jej udostępnienie ww. danych użytkownika forum internetowego na portalu [...] zarejestrowanego jako Gość [...].

Uzasadniając powyższe żądanie A. S.A. powtórzyła argumentację prezentowaną w toku niniejszego postępowania o tym, iż w sprawie znajdują zastosowanie przepisy ustawy o świadczeniu usług drogą elektroniczną, która wprowadza odrębne uregulowania w zakresie udostępniania danych osobowych oraz danych eksploatacyjnych, które nie przewidują udzielania informacji o takich danych podmiotom innym niż organy państwa,

Ponadto A. S.A. podniosła iż nie zgadza się z argumentacją zawartą w zaskarżonej decyzji co do tego, iż udostępnienie danych użytkownika, który zamieścił wypowiedź na forum internetowym, w celu zainicjowania przeciwko niemu postępowania sądowego, nie stanowi naruszenia jego praw i wolności, bowiem z uwagi na brak w obecnym stanie prawnym instrumentów prawnych pozwalających na kontrolę celu w jakim osoba domagająca się wydawania danych w rzeczywistości dane te wykorzysta, wydanie ww. danych w oparciu o regulację ustawy o ochronie danych osobowych stanowi szczególne zagrożenie dla dóbr osoby, której dane zostają udostępnione i może prowadzić do naruszenia jej praw i wolności. Powyższe ujęcie przy uwzględnieniu innych możliwości uzyskania dostępu do danych za pośrednictwem odpowiednich organów ochrony prawnej (Prokuratura, Sąd) nie powoduje bezzasadnej ochrony użytkownika przed ewentualną odpowiedzialnością za jego działania, czy też nie ogranicza prawa wnioskodawcy do sądu.

Zdaniem Spółki dopuszczenie wydawania adresów IP komputerów usługobiorców usług takich, jak internetowe fora dyskusyjne w oparciu o art. 23 ust. 1 pkt 5 ustawy każdemu podmiotowi, który wystąpi o udostępnienie mu danych, wskazując, iż są mu one potrzebne do dochodzenia roszczeń na drodze sądowej oznacza stworzenie podstawy do niekontrolowanego wypływu danych, w oparciu o przepisy ustawy, której celem jest przecież ochrona danych.

Nadto A. S.A. podniosła, iż w niniejszej sprawie wobec możliwości wszczęcia postępowania karnego, jak i cywilnego, uzyskanie danych na podstawie ustawy nie jest konieczne dla osiągnięcia zamierzonych celów. Dlatego też nie można mówić, że doszło do naruszenia przepisów ustawy i tym samym nie ma podstaw do wydania nakazu na podstawie art. 18 ust. 1 pkt 2 ustawy.

Generalny Inspektor Ochrony Danych osobowych decyzją z dnia [...] listopada 2012 r. nr [...], działając na podstawie art. 138 § 1 pkt 1 K.p.a., utrzymał w mocy zaskarżoną decyzję. W uzasadnieniu tego rozstrzygnięcia organ powtórzył argumentację zawartą w decyzji pierwszoinstancyjnej.

Odnosząc się do zarzutów A. S.A. dotyczących tego, iż w niniejszej sprawie ustawa o ochronie danych osobowych nie znajduje zastosowania, bowiem jej stosowanie wyłączone jest przez przepisy ustawy o świadczeniu usług drogą elektroniczną, w oparciu o którą A. S.A. świadczy usługi m.in. umieszczania użytkownikom Internetu forum dyskusyjnego portalu [...], organ wskazał, iż nie podziela tego stanowiska. Zdaniem organu z treści art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną, nie wynika niedopuszczalność udostępniania podmiotom innym niż organy państwa informacji, o których mowa w ust. 1-5 tego przepisu, tym danych eksploatacyjnych w postaci adresu IP. Zdaniem Generalnego Inspektora Ochrony Danych Osobowych przepis ten – stanowiący, że usługodawca udziela informacji o danych, o których mowa w ust. 1-5 organom państwa na potrzeby prowadzonych przez nie postępowań – ma charakter jedynie deklaratoryjny wobec uprawnień tych organów określonych szczegółowo w innych przepisach. Za zasadnością powyższego stanowiska przemawia w szczególności brak precyzyjnego określenia w ustawie o świadczeniu usług drogą elektroniczną warunków i formy udostępnienia danych. Jednocześnie, w ocenie organu, przepisu art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną nie należy interpretować jako normy zakazującej udostępniania tych informacji innym podmiotom. Gdyby bowiem zamiarem ustawodawcy było ograniczenie możliwości udostępnienia informacji, o których mowa w art. 18 ust. 1-5 ustawy o świadczeniu usług drogą elektroniczną, tylko do organów określonych w art. 18 ust. 6 tej ustawy, wskazałby to wprost w treści przepisu, np. przy użyciu zwrotu "wyłącznie".

Na powyższą decyzję A. S.A. wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie w części utrzymującej w mocy decyzję z dnia [...] lipca 2012 r. co do punktu 1, tj. w części nakazującej A. S.A. udostępnienie J. S. adresu IP komputera użytkownika forum internetowego na portalu [...] zarejestrowanego jako Gość [...] – autora komentarzy opublikowanych w dniach: [...] września 2011 r. o godz. [...],[...] listopada 2011 r. o godz. [...],[...] listopada 2011 r. o godz. [...],[...] grudnia 2011 r. o godz. [...], [...] stycznia 2012 r. o godz. [...], wnosząc o jej uchylenie w tej części oraz co do punktu 1 uchylenie decyzji poprzedzającej z dnia [...] lipca 2012 r. oraz zasądzenie kosztów postępowania.

Zaskarżonej decyzji A. S.A. zarzuciła naruszenie prawa materialnego, mające wpływ na wynik sprawy, tj. art. 23 ust. 1 pkt 5 ustawy, w zw. z art. 16 ust. 1 ustawy o świadczeniu usług drogą elektroniczną, przez jego nieuzasadnione zastosowanie polegające na przyjęciu, że przepis ten stanowi podstawę wydania danych użytkowników internetowego forum dyskusyjnego, podczas gdy wobec odrębnych uregulowań w ustawie o świadczeniu usług drogą elektroniczną, przepis ten nie znajduje zastosowania w niniejszej sprawie. Ponadto A. S.A. zarzuciła naruszenie art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną przez błędną jego wykładnię i przyjęcie, że przepis ten nie zakazuje udostępniania adresów IP podmiotom innym niż organy państwa, podczas gdy w tym przepisie jedynie organy państwa określone zostały jako odbiorca danych eksploatacyjnych, a wskazana ustawa nie zawiera innego przepisu, który stanowiłby podstawę wydawania danych podmiotom innym niż organy państwa. W ocenie A. S.A. organ naruszył przepis art. 23 ust. 1 pkt 5 ustawy również poprzez jego niewłaściwe zastosowanie i przyjęcie, że udostępnienie danych użytkownika forum portalu [...] osobie trzeciej jest niezbędne do wypełnienia celu jakim jest ochrona praw tej osoby przed sądem, podczas gdy sądy i inne organy ochrony prawnej dysponują odpowiednimi środkami prawnymi do uzyskania niezbędnych informacji, a także poprzez przyjęcie, iż powyższe udostępnienie nie naruszy praw i wolności ww. użytkownika. Zdaniem A. S.A. organ dokonał błędnej wykładni art. 23 ust. 1 pkt 5 ustawy, przyjmując, że z przepisu tego wynika zobowiązanie administratora danych osobowych do udostępnienia danych, podczas gdy norma ta stanowi jedynie podstawę dopuszczalności przetwarzania danych.

Jednocześnie A. S.A. przedmiotowej decyzji zarzuciła naruszenie przepisów postępowania, tj. art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tekst jedn. Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), zwanej dalej K.p.a., w zw. z art. 18 ust. 1 pkt 2 ustawy, poprzez utrzymanie w mocy ww. decyzji z dnia [...] lipca 2012 r. co do jej pkt 1 i przyjęcie, że zachodzi podstawa do wydania decyzji nakazującej udostępnienie danych, podczas gdy ww. decyzja z dnia [...] lipca 2012 r. powinna była zostać uchylona w zaskarżonej części.

W uzasadnieniu przedmiotowej skargi A. S.A. powtórzyła argumentację prezentowaną w toku niniejszego postępowania o tym, iż w sprawie znajdują zastosowanie przepisy ustawy o świadczeniu usług drogą elektroniczną, która wprowadza odrębne uregulowania w zakresie udostępniania danych osobowych oraz danych eksploatacyjnych, które nie przewidują udzielania informacji o takich danych podmiotom innym niż organy państwa, co Generalny Inspektor Ochrony Danych Osobowych bezpodstawnie pominął. Kwestie te bowiem reguluje rozdział 4 tej ustawy (art. 16-22). Powołując się na art. 18 ust. 6 i art. 18 ust. 5 pkt 2 ustawy o świadczeniu usług drogą elektroniczną, A. S. A. w szczególności zarzuciła, iż dokonana przez organ wykładnia art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną jest błędna. W przepisie tym bowiem jedynym uprawnionym do uzyskania danych eksploatacyjnych gromadzonych przez usługodawcę są organy państwa, co więcej wskazana ustawa nie zawiera innego przepisu, który stanowiłby podstawę wydawania danych podmiotom innym niż organy państwa. Tymczasem nie ulega wątpliwości w ocenie A. S.A., iż gdyby wolą ustawodawcy było uprawnienie do pozyskania danych eksploatacyjnych innych podmiotów niż organy państwa, zawarłby w ustawie wyraźną normę przewidującą takie uprawnienie. A. S.A. dodała, iż w ramach prowadzonej działalności internetowej w sposób szczególny dba o ochronę danych użytkowników forum portalu [...], zaś wszelkie naruszenia w tym zakresie mogą rodzić dla niej odpowiedzialność odszkodowawczą. Dodatkowo podniosła, iż zgodnie z uregulowaniami przepisów postępowania karnego wydawanie informacji takich, jak adres IP komputera może nastąpić wyłącznie na żądanie sądu lub prokuratora zawarte w odpowiednim postanowieniu wydanym na podstawie art. 218 w związku z art. 236a Kodeksu postępowania kaniego. Co więcej, dane pozwalające na identyfikację użytkowników portalu [...] objęte są tajemnicą służbową, zatem w celu ich uzyskania niezbędne jest także wydanie postanowienia o zwolnieniu z zachowania tajemnicy służbowej. Zdaniem A. S.A. konsekwencją przyjęcia stanowiska, iż art. 23 ust. 1 pkt 5 ustawy jest podstawą do udostępnienia danych w niniejszej sprawie byłoby uznanie, że osoba nie będąca organem ochrony prawnej może żądać udostępnienia danych w sposób prostszy : bardziej skuteczny niż organ ścigania.

A. S.A. wskazała również, iż wobec uchylenia art. 29 ustawy, w obecnym stanie prawnym brak jest przepisu, który nakładałby na administratora danych obowiązek wydania danych, gdyż art. 23 ust. 1 pkt 5 ustawy stanowi jedynie podstawę przetwarzania danych. Natomiast, w sytuacji gdyby jednak art. 23 ust. 1 pkt 5 ustawy traktować należało jako podstawę udostępnienia danych, to odmowa ich udostępnienia nie zamyka drogi do dochodzenia praw na drodze postępowania karnego czy cywilnego. W tym miejscu A. S.A. powołała się na art. 488 § 1 Kodeksu postępowania karnego.

Ponadto A. S.A. podniosła, iż nie zgadza się z argumentacją zawartą w zaskarżonej decyzji co do tego, iż udostępnienie danych użytkownika, który zamieścił wypowiedź na forum internetowym, w celu zainicjowania przeciwko niemu postępowania sądowego, nie stanowi naruszenia jego praw i wolności, bowiem z uwagi na brak w obecnym stanie prawnym instrumentów prawnych pozwalających na kontrolę celu w jakim osoba domagająca się wydawania danych w rzeczywistości dane te wykorzysta, wydanie ww. danych w oparciu o regulację ustawy o ochronie danych osobowych stanowi szczególne zagrożenie dla dóbr osoby, której dane zostają udostępnione i może prowadzić do naruszenia jej praw i wolności.

W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Stosownie do treści art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.) sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.

Skarga analizowana pod tym kątem nie zasługuje na uwzględnienie.

Kompetencje GIODO zostały określone w art. 18 ust. 1 o.d.o. Stosownie do treści tego przepisu, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub niosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:

1. usunięcie uchybień,

2. uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,

3. zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,

4. wstrzymanie przekazywania danych osobowych do państwa trzeciego,

5. zabezpieczenie danych lub przekazanie ich innym podmiotom,

6. usunięcie danych osobowych.

Powyższy przepis stanowi materialnoprawną podstawę do wydawania przez GIGDO decyzji administracyjnych w rozumieniu art. 107 k.p.a.

W myśl art. 7 pkt 2 o.d.o., przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w ternach informatycznych.

Przesłanki dopuszczalności przetwarzania danych osobowych zostały określone w art. 23 ust. 1 .o.d.o. Zgodnie z tym przepisem, przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy:

1. osoba, której dane dotyczą, wyrazi na to zgodę;

2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

3. jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

5. jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Brzmienie art. 23 o.d.o. wskazuje, iż wszelkie przetwarzanie danych, które nie jest dozwolone, jest zakazane. Ustawa w sposób taksatywny wyszczególnia okoliczności, które tworzą warunki niezbędne do legalizacji przetwarzania danych osobowych (w tym także poszczególnych jego składników, a więc np. zbierania danych). Przesłanki wymienione w wyż. cyt. przepisie art. 23 ust. 1 o.d.o. mają charakter autonomiczny i niezależny. Wystarczy zatem wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione.

Zgodzić się należy z organem, iż w niniejszej sprawie została spełniona przesłanka wymieniona w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. J. S. we wniosku z dnia [...] grudnia 2011 r. skierowanym do A. S.A. określił zakres żądanych danych oraz podał informacje umożliwiające wyszukanie tych danych (konkretny adres internetowy oraz nazwę profilu) a także wiarygodnie uzasadnił potrzebę uzyskania danych koniecznością podjęcia kroków mających na celu ochronę jego dóbr osobistych poprzez skierowanie roszczenia o ochronę dóbr osobistych na drogę postępowania cywilnego. Wskazał również, iż w postępowaniu cywilnym koniecznym jest wskazanie danych osobowych pozwanego, których on nie posiada. Wyjaśnił również, że nie jest zasadnym zwrócenie się do organów ścigania, w niniejszej sprawie, bowiem wpisy choć naruszające jego dobra osobiste, nie spełniają znamion przestępstwa.

Wskazać należy, zdaniem Sądu, iż art. 23 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (tekst jedn. Dz. U. Nr 16, poz. 93 ze zm.), zwanej dalej Kc., stanowi, że dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.

Tak więc dochodzenie przez uczestnika postępowania praw przed Sądem z tytułu naruszenia jego dóbr osobistych stanowi realizację jego prawnie usprawiedliwionego celu i uprawnienia wynikającego z przepisu prawa, tj. art. 24 § 1 Kc. Zgodnie z tym przepisem, ten czyje dobro osobiste zostaje, zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. Zgodnie z art. 24 § 2 Kc., jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych. Jednocześnie, w myśl art. 448 powyższej ustawy, w razie naruszenia dobra osobistego sąd może przyznać temu, czyje dobro zostało naruszone odpowiednią sumę tytułem zadośćuczynienia za doznaną krzywdę lub na jego żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez niego cel społeczny, niezależnie od innych środków potrzebnych do usunięcia skutków naruszenia. W myśl art. 43 Kc. przepisy o ochronie dóbr osobistych osób fizycznych stosuje się odpowiednio do osób prawnych.

Zauważyć należy, że sporządzenie pozwu do sądu cywilnego w związku z naruszeniem dóbr osobistych wymaga podania danych osobowych osoby pozwanej. Dla skutecznego wytoczenia powództwa niezbędne jest wniesienie do sądu pisma, które spełniać będzie warunki określone w art. 187 § 1 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. Nr 43, poz. 296 z póżn. zm.), zwanej dalej Kpc. Zgodnie z tym przepisem, pozew powinien czynić zadość warunkom pisma procesowego. Natomiast, w myśl art. 126 § 1 pkt 1 Kpc., każde pismo procesowe powinno zawierać oznaczenie sądu, do którego jest skierowane, imię i nazwisko lub nazwę stron, ich przedstawicieli ustawowych i pełnomocników. Ponadto, zgodnie z art. 126 § 2 Kpc., gdy pismo procesowe jest pierwszym pismem w sprawie, powinno zawierać oznaczenie miejsca zamieszkania lub siedziby stron, ich przedstawicieli ustawowych i pełnomocników oraz przedmiotu sporu, pisma zaś dalsze – sygnaturę akt.

Z powyższego wynika zatem, iż niezbędnym elementem pozwu, w tym również o naruszenie dóbr osobistych, jest oznaczenie imienia, nazwiska i miejsca zamieszkania osoby, w stosunku do której żądanie określone w pozwie jest skierowane (tj. przyszłej strony procesowej w sporze z tytułu naruszenia dóbr osobistych). Potwierdza to również literatura przedmiotu, gdzie jednoznacznie wskazuje się, że pierwsze pismo procesowe w sprawie (np. pozew) powinno zawierać bliższe dane dotyczące stron (uczestników) psotępowania i wskazywać dokładnie ich adresy tak, aby sąd mógł się zawsze z tymi osobami porozumieć (M. Jędrzejewska, T. Ereciński, J. Gudowski, Kodeks postępowania Cywilnego. Komentarz. Część pierwsza., Postępowanie rozpoznawcze. Część druga., Postępowanie zabezpiecząjące, Warszawa 2007, Wydawnictwo Prawnicze LexisNexis, wyd. II).

Z uzasadnienia skierowanego do Generalnego Inspektora wniosku wynika, że w ocenie J. S. doszło do naruszenia jego dóbr osobistych. Uzasadnionym jest zatem dochodzenie przez niego ochrony dóbr osobistych poprzez wystąpienie do Sądu z powództwem wobec autora wpisów na forum internetowym prowadzonym przez A. S.A. Niewątpliwie jest to prawnie usprawiedliwiony cel uczestnika postępowania, o którym mowa w art. 23 ust. 1 pkt 5 ustawy.

Ponadto, przyjęcie, przetwarzanie (udostępnienie) – w celu zainicjowania postępowania sądowego – danych osoby, wobec której zachodzi domniemanie, że to ona dokonała wpisu (mającego godzić w dobra osobiste uczestnika postępowania) miałoby naruszać jej prawa i wolności, prowadziłoby do nieuzasadnionej ochrony takiej osoby przed ewentualną odpowiedzialnością za swoje działania, zwłaszcza, że może ona w trakcie postępowania sądowego w pełni korzystać ze swoich praw zagwarantowanych przepisami Kpc. Działanie A. S.A. polegające na nieudostępnieniu J. S. danych osobowych, może natomiast doprowadzić do ograniczenia jego prawa do wystąpienia do sądu z powództwem w sprawie naruszenia dóbr osobistych oraz skutecznie chronić sprawcę przed odpowiedzialnością cywilnoprawną za jego działania.

Odnosząc się do zarzutów A. S.A. dotyczących tego, iż w niniejszej sprawie ustawa o ochronie danych osobowych nie znajduje zastosowania, bowiem jej stosowanie wyłączone jest przez przepisy ustawy o świadczeniu usług drogą elektroniczną, w oparciu o którą A. S.A. świadczy usługi m.in. umieszczania użytkownikom Internetu forum dyskusyjnego portalu [...], wskazać należy, że Sąd nie podziela tego stanowiska. Z treści bowiem art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną, nie wynika niedopuszczalność udostępniania podmiotom innym niż organy państwa informacji, o których mowa w ust. 1-5 tego przepisu, w tym danych eksploatacyjnych w postaci adresu IP.

Przepis ten – stanowiący, że usługodawca udziela informacji o danych, o których mowa w ust. 1-5 organom państwa na potrzeby prowadzonych przez nie postępowań – ma charakter jedynie deklaratoryjny wobec uprawnień tych organów określonych szczegółowo w innych przepisach. Za zasadnością powyższego stanowiska przemawia w szczególności brak precyzyjnego określenia w ustawie o świadczeniu usług drogą elektroniczną warunków i formy udostępnienia danych. Jednocześnie, w ocenie organu, przepisu art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną nie należy interpretować jako normy zakazującej udostępniania tych informacji innym podmiotom. Gdyby bowiem zamiarem ustawodawcy było ograniczenie możliwości udostępnienia informacji, o których mowa w art. 18 ust. 1-5 ustawy o świadczeniu usług drogą elektroniczną, tylko do organów określonych w art. 18 ust. 6 tej ustawy, wskazałby to wprost w treści przepisu, np. przy użyciu zwrotu "wyłącznie".

Reasumując stwierdzić należy, iż A. S.A. bezzasadnie odmówiła J. S. udostępnienia mu wnioskowanych danych dla celów zainicjowania przez niego postępowania sądowego, czym dopuściła się naruszenia art. 23 ust. 1 pkt 5 ustawy.

Uznając za nieuzasadnione zarzuty skarżącej podnieść należy, że postępowanie administracyjne w rozpoznawanej sprawie zostało przeprowadzone przez GIODO (zarówno w pierwszej, jak i w drugiej instancji) w sposób wnikliwy i rzetelny. Organ wszechstronnie rozpatrzył zgromadzony materiał dowodowy, a wydane przez niego decyzje zawierały wyczerpujące uzasadnienie faktyczne i prawne.

Mając na uwadze powyższe, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 p.p.s.a. oddalił skargę.