Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Joanna Banasiewicz Sędziowie: Sędzia NSA Monika Nowicka (spr.) Sędzia del. WSA Mirosław Gdesz Protokolant starszy sekretarz sądowy Magdalena Błaszczyk po rozpoznaniu w dniu 3 czerwca 2015r na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej A. S.A. z siedzibą w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 17 czerwca 2013 r. sygn. akt II SA/Wa 152/13 w sprawie ze skargi A. S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2012 r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżony wyrok i przekazuje sprawę Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania; 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz A. S.A z siedzibą w W. kwotę [...] złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wyrokiem z dnia 7 czerwca 2013 r. (sygn. akt II SA/Wa 152/13), Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę A. S. A. w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2012 r. nr [...] w przedmiocie ochrony danych osobowych.

W uzasadnieniu wyroku Sąd wskazał na następujący stan faktyczny i prawny sprawy.

Wnioskiem z dnia [...] lutego 2012 r. J. S. zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych (dalej GIODO) o nakazanie A. S.A. z siedzibą w W. udostępnienia danych osobowych w zakresie: imienia, nazwiska, adresu zamieszkania, adresu e-mail oraz numeru IP komputera, z którego dokonano wpisów, dotyczących użytkownika posługującego się loginem "M.", który w dniach: [...] września 2011 r. o godz. [...], [...] listopada 2011 r. o godz. [...], [...] listopada 2011 r. o godz. [...], [...] grudnia 2011 r. o godz. [...],[...] stycznia 2012 r. o godz. [...] zamieścił wpisy w rubryce komentarze pod felietonami wnioskodawcy na stronie internetowej [...], a której administratorem była A. S.A.

Wnioskodawca twierdził, że w dniu [...] grudnia 2011 r. zwrócił się do administratora forum G. – A. S.A. – na którym zamieszczono komentarze naruszające jego dobra osobiste – m.in. o udostępnienie danych osobowych autora tych komentarzy. Pismem z dnia [...] grudnia 2011 r., adresat odmówił mu udostępnienia tych danych.

Z kolejnym pismem z dnia [...] grudnia 2011 r., wnioskodawca zwrócił się do A. S.A. z uzasadnieniem konieczności identyfikacji osoby posługującej się pseudonimem "M." a w piśmie z dnia [...] stycznia 2012 r. podniósł, iż ww. osoba w dalszym ciągu narusza jego dobra osobiste, co - w jego ocenie – powoduje, że ma zastosowanie art. 23 ust. 1 pkt 2 w związku z art. 27 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.).

W wyjaśnieniach, udzielonych organowi, w piśmie z dnia [...] kwietnia 2012 r. A. S.A. wskazała, iż przetwarza jedynie informację o adresie IP komputera, z którego korzystał użytkownik będący autorem wpisów, których dotyczy niniejsze postępowanie. Informacja ta przetwarzana jest w zbiorze danych osobowych o nazwie "Użytkownicy internetowego wydania »G.« i portalu A. S.A.", w związku ze świadczeniem przez A. S.A. usługi polegającej na umożliwianiu użytkownikom sieci Internet zamieszczanie wypowiedzi na stronach forum portalu G. Ponadto, A. S.A. podkreśliła, że od dnia [...] marca 2011 r. nie obowiązuje już art. 29 ustawy o ochronie danych osobowych, uchylony ustawą z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. Nr 229, poz. 1497). Zgodnie wprawdzie z art. 5 ustawy nowelizującej, do postępowań wszczętych i niezakończonych przed dniem wejścia w życie niniejszej ustawy, stosuje się przepisy dotychczasowe, ale wniosek J. S. wpłynął do organu już w dniu 6 lutego 2012 r., a więc w zmienionym stanie prawnym.

Zdaniem A. S.A. w niniejszej sprawie znajdowały zastosowanie przepisy ustawy o świadczeniu usług drogą elektroniczną a zatem w obowiązującym stanie prawnym brak było podstaw do wydania przez organ decyzji nakazującej udostępnienie danych. Powołując się bowiem na art. 18 ust. 6 ww. ustawy, Spółka twierdziła, iż ustawa ta wprowadza własne, odrębne uregulowania w zakresie udostępniania danych osobowych oraz danych eksploatacyjnych, które nie przewidują udzielania informacji o takich danych podmiotom innym niż organy państwa. Nadto wskazywała na przepisy art. 218 i art. 236a Kodeksu postępowania karnego (przewidujące wydanie korespondencji, przesyłek i danych, o których mowa w art. 180c i art. 180d ustawy Prawo telekomunikacyjne, wyłącznie na żądanie prokuratora lub sądu zawarte w postanowieniu) jako mające charakter lex specialis w stosunku do przepisów ustawy o ochronie danych osobowych.

Zdaniem Spółki, dane eksploatacyjne (w tym adresy IP) powinny być więc poddane bardziej restrykcyjnym środkom ochrony. Nie ma bowiem gwarancji, że żądający udostępnienia danych będzie tylko jedynym ich dysponentem i wykorzysta je wyłącznie w procesie sądowym. Udostępnienie danych osobowych użytkowników portalu może zatem prowadzić do naruszenia ich praw i wolności.

Decyzją z dnia [...] listopada 2012 r. Generalny Inspektor Ochrony Danych Osobowych utrzymał mocy własną decyzję z dnia [...] lipca 2012 r. nr [...], wydaną na podstawie art. 104 § 1 k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 2, art. 22 w zw. z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), w której nakazał A. S.A. udostępnienie J. S. numeru IP komputera użytkownika forum internetowego na portalu G. zarejestrowanego jako Gość: "M." - autora komentarzy opublikowanego w dniach: [...] września 2011 r. o godz. [..], [...] listopada 2011 r. o godz. [...], [...] listopada 2011 r. o godz. [...], [...] grudnia 2011 r. o godz. [...], [...] stycznia 2012 r. o godz. [....], który zamieścił komentarze pod felietonami skarżącego na stronie internetowej [...] a w pozostałym zakresie umorzył postępowanie.

W uzasadnieniu stanowiska organ, przytaczając na treść art. 7 pkt 2 i art. 23 ust. 1 ustawy o ochronie danych osobowych, uznał, że wbrew twierdzeniom A. S.A., żądanie wnioskodawcy o udostępnienie ww. danych osobowych było uzasadnione i wypełniało dyspozycję art. 23 ust. 1 pkt 5 powyższej ustawy. Wnioskodawca we wniosku skierowanym do A. S.A. określił bowiem zakres żądanych danych oraz podał informacje umożliwiające wyszukanie tych danych (konkretny adres internetowy oraz nazwę profilu). Ponadto wiarygodnie uzasadnił potrzebę pozyskania danych koniecznością podjęcia kroków mających na celu ochronę dóbr osobistych skarżącego.

GIODO wskazał w tym miejscu na treść art. 23 k.c. twierdząc, że dochodzenie przez J. S. praw przed sądem z tytułu naruszenia dóbr osobistych stanowi realizację jego prawnie usprawiedliwionego celu i uprawnienia wynikającego z przepisu prawa, tj. art. 24 § 1 i 2 oraz art. 448 k.c. Sporządzenie zaś pozwu do sądu cywilnego wymaga podania danych osobowych osoby pozwanej (art. 126 § 1 pkt 1 i 2 oraz art. 187 § 1 k.p.c.).

Organ nadmienił w tym miejscu, że przyjęcie, iż przetwarzanie (udostępnienie) – w celu zainicjowania postępowania sądowego - danych osoby, wobec której zachodzi domniemanie, że to ona dokonała wpisu (mającego godzić w dobra osobiste wnioskodawcy) miałoby naruszać jej prawa i wolności, prowadziłoby do nieuzasadnionej ochrony takiej osoby przed ewentualną odpowiedzialnością za swoje działania, zwłaszcza że może ona w trakcie postępowania sądowego w pełni korzystać ze swoich praw zagwarantowanych przepisami k.p.c. Działanie A. S.A. polegające na nieudostępnieniu wnioskodawcy danych osobowych, może natomiast doprowadzić do ograniczenia jego prawa do wystąpienia do sądu z powództwem w sprawie naruszenia dóbr osobistych oraz skutecznie chronić sprawcę przed odpowiedzialnością cywilnoprawną za jego działania.

Organ umorzył postępowanie w pozostałym zakresie, bowiem Spółka nie przetwarzała innych danych użytkownika.

Odnosząc się do zarzutów A. S.A. podniesionych we wniosku o ponowne rozpatrzenie sprawy, organ zauważył, że z treści art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną, nie wynika niedopuszczalność udostępniania podmiotom innym niż organy państwa informacji, o których mowa w ust. 1-5 tego przepisu, w tym danych eksploatacyjnych w postaci adresu IP. Zdaniem Generalnego Inspektora Ochrony Danych Osobowych, przepis ten – stanowiący, że usługodawca udziela informacji o danych, o których mowa w ust. 1-5 organom państwa na potrzeby prowadzonych przez nie postępowań – miał charakter jedynie deklaratoryjny wobec uprawnień tych organów określonych szczegółowo w innych przepisach. Za zasadnością powyższego stanowiska – w ocenie organu - przemawiał w szczególności brak precyzyjnego określenia w ustawie o świadczeniu usług drogą elektroniczną warunków i formy udostępnienia danych. Ponadto, przepisu art. 18 ust. 6 w/w ustawy nie należało interpretować jako normy zakazującej udostępniania tych informacji innym podmiotom. Gdyby bowiem zamiarem ustawodawcy było ograniczenie możliwości udostępnienia informacji, o których mowa w art. 18 ust. 1-5 omawianej ustawy tylko do organów określonych w art. 18 ust. 6 tej ustawy, to wskazywałaby na to wprost treść przepisu, np. przy użyciu zwrotu "wyłącznie".

Na wyżej przedstawioną decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2012 r. A. S.A. z siedzibą w W. wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie w której zarzuciła organowi naruszenie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, art. art. 16 ust. 1 i art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną a także art. 138 § 1 pkt 1 k.p.a.

Odpowiadając na skargę, Generalny Inspektor Danych Osobowych wnosił o jej oddalenie, podtrzymując stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.

Oddalając skargę – na zasadzie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sadami administracyjnymi (Dz. U. z 2012 r. poz. 270 ze zm.) zwanej dalej: "p.p.s.a." - Wojewódzki Sąd Administracyjny w Warszawie uznał, że nie zasługiwała ona na uwzględnienie.

Na wstępie Sąd omówił kompetencje GIODO, określone w art. 18 ust. 1 ustawy o ochronie danych osobowych i zauważył, że przepis ten stanowił materialnoprawną podstawę do wydawania przez GIGDO decyzji administracyjnych - w rozumieniu art. 107 k.p.a.

Ponadto, Sąd przytoczył treść art. 7 pkt 2 i art. 23 ust.1 w/w ustawy i zauważył, że brzmienie tego ostatniego przepisu wskazuje, iż wszelkie przetwarzanie danych, które nie jest dozwolone, jest zakazane. Ustawa w sposób taksatywny wyszczególnia bowiem okoliczności, które tworzą warunki niezbędne do legalizacji przetwarzania danych osobowych (w tym także poszczególnych jego składników, a więc np. zbierania danych). Przesłanki wymienione w wyż. cyt. przepisie art. 23 ust. 1 mają charakter autonomiczny i niezależny. Wystarczy zatem wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione.

Sąd, mając na względzie treść wniosku J. S. oraz przepisów art. 23, art. 24 § 1 i 2 oraz art. 448 k.c. a także art. 126 § 1 pkt 1 i 2 oraz art. 187 § 1 k.p.c., zgodził się z organem, iż w niniejszej sprawie została spełniona przesłanka wymieniona w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Z uzasadnienia, skierowanego do Generalnego Inspektora wniosku wynikało bowiem, że - w ocenie J. S. - doszło do naruszenia dóbr osobistych a dochodzenie przez niego z tego powodu praw przed sądem, stanowiło realizację jego prawnie usprawiedliwionego celu i uprawnienia wynikającego z przepisu prawa (art. 24 § 1 k.c.). Sporządzenie pozwu do sądu cywilnego wymagało zaś podania danych osobowych osoby pozwanej. W rezultacie zatem przetwarzanie (udostępnienie) – w celu zainicjowania postępowania sądowego – danych osoby, wobec której zachodzi domniemanie, że to ona dokonała wpisu (mającego godzić w dobra osobiste uczestnika postępowania) miałoby naruszać jej prawa i wolności, prowadziłoby do nieuzasadnionej ochrony takiej osoby przed ewentualną odpowiedzialnością za swoje działania, zwłaszcza, że może ona w trakcie postępowania sądowego w pełni korzystać ze swoich praw zagwarantowanych przepisami k.p.c.

Jednocześnie Sąd nie podzielił stanowiska A. S.A., iż w niniejszej sprawie ustawa o ochronie danych osobowych nie znajdowała zastosowania, bowiem jej stosowanie wyłączyły przepisy ustawy o świadczeniu usług drogą elektroniczną, w oparciu o którą A. S.A. świadczy usługi m.in. umieszczania użytkownikom Internetu forum dyskusyjnego portalu [...]. Natomiast przyznał – w tym zakresie - rację organowi, że przepis z art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną ma jedynie charakter deklaratoryjny i nie wynika niedopuszczalność udostępniania podmiotom innym niż organy państwa informacji, o których mowa w ust. 1-5 tego przepisu, w tym danych eksploatacyjnych w postaci adresu.

Reasumując, Sąd stwierdził, iż skarżąca bezzasadnie odmówiła J. S. udostępnienia wnioskowanych danych dla celów zainicjowania przez niego postępowania sądowego, czym dopuściła się naruszenia art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

W skardze kasacyjnej, zaskarżając powyższy wyrok w całości, A. SA zarzuciła Wojewódzkiemu Sądowi Administracyjnemu w Warszawie naruszenie:

I. prawa materialnego, to jest:

1) art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych (dalej: "UODO") w zw. z art. 16 ust. 1 ustawy o świadczeniu usług drogą elektroniczną (dalej: "UŚUDE") przez jego nieuzasadnione zastosowanie w sprawie polegające na przyjęciu, że przepis ten stanowi podstawę wydania danych użytkowników internetowego forum dyskusyjnego, podczas gdy wobec istnienia odrębnych uregulowań w ustawie o świadczeniu usług drogą elektroniczną przepis ten nie znajduje zastosowania w niniejszej sprawie,

2) art. 18 ust. 6 UŚUDE przez jego błędną wykładnię i przyjęcie, że przepis ten nie zakazuje udostępniania adresów IP podmiotom innym niż organy państwa, podczas gdy w przepisie tym jedynie organy państwa określone zostały jako odbiorca danych eksploatacyjnych gromadzonych przez usługodawcę w rozumieniu UŚUDE, a wskazana ustawa nie zawiera innego przepisu, który stanowiłby podstawę wydawania danych podmiotom innym niż organy państwa,

3) art. 23 ust. 1 pkt 5 UODO przez jego błędną wykładnię i przyjęcie, że z przepisu tego wynika zobowiązanie administratora danych osobowych do udostępnienia danych użytkowników internetowego forum dyskusyjnego, podczas norma ta stanowi jedynie podstawę dopuszczalności przetwarzania danych,

4) art. 23 ust. 1 pkt 5 UODO przez jego niewłaściwe zastosowanie i przyjęcie, że udostępnienie danych użytkownika forum portalu [...] osobie trzeciej jest niezbędne dla wypełnienia celu jakim jest ochrona praw tej osoby przed sądem, podczas gdy sądy oraz inne organy ochrony prawnej dysponują odpowiednimi środkami prawnymi do uzyskania niezbędnych informacji,

5) art. 23 ust. 1 pkt 5 UODO przez jego niewłaściwe zastosowanie i przyjęcie, że udostępnienie danych użytkownika forum portalu [...] nie naruszy jego praw i wolności i w konsekwencji, iż skarżąca nie miała w niniejszej sprawie podstaw do odmowy udostępnienia danych, podczas gdy z okoliczności sprawy wynika, iż w razie udostępnienia żądanych danych J. S. do naruszenia takiego dojdzie;

II. przepisów postępowania, mogące mieć istotny wpływ na wynik sprawy, to jest:

1) art. 145 § 1 pkt 1 lit. a) i c) p.p.s.a. poprzez nieuwzględnienie skargi na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...]listopada 2012 r. [..]), utrzymującą w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...]lipca 2012 r. [...] i nieuchylenie decyzji, które powinny zostać wyeliminowane z obiegu prawnego,

2) art. 151 p.p.s.a. w zw. z art. 18 ust. 1 pkt 2 UODO poprzez oddalenie skargi na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2012 r. [...], utrzymującą w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2012 r. [...] wskutek uznania jej za decyzję prawidłową także co do pkt 1 i przyjęcie, że w niniejszej sprawie skarżąca naruszyła przepisy ustawy o ochronie danych osobowych i zachodzi podstawa do wydania decyzji nakazującej udostępnienie danych osobowych, podczas gdy wobec braku podstaw do nakazania Skarżącej udostępnienia danych osobowych w niniejszej sprawie decyzja z dnia [...] listopada 2012 r. oraz poprzedzająca ją decyzja z dnia [...] lipca 2012 r. powinny zostać uchylone,

3) art. 141 § 4 p.p.s.a. poprzez uzasadnienie wyroku w sposób nieodpowiadający ustawowemu wzorcowi, a mianowicie nieodniesienie się do wszystkich zarzutów sformułowanych w skardze oraz pominięcie milczeniem części argumentacji skarżącej w zakresie braku w obowiązującym stanie prawnym przepisu, z którego wynikałoby zobowiązanie administratora danych osobowych do udostępnienia danych użytkowników, albowiem art. 23 ust. 1 pkt 5 UODO stanowi jedynie podstawę przetwarzania danych, dopuszcza, a więc zezwala, uprawnia do przetwarzania danych, ale nie zobowiązuje administratora do udostępnienia danych.

Wskazując na powyższe podstawy kasacyjne, skarżąca wnosiła o uchylenie zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie wraz z zasądzeniem zwrotu kosztów postępowania kasacyjnego.

W obszernym uzasadnieniu skargi kasacyjnej akcentowano zwłaszcza, że UŚUDE wprowadza własne, odrębne uregulowania w zakresie udostępniania danych eksploatacyjnych (w tym adresy IP), które nie przewidują udzielania informacji o takich danych podmiotom innym niż organy państwa. Skarżąca nie zgadzała się z wykładnią art. 18 ust. 6 UŚUDE, dokonaną przez Wojewódzki Sąd Administracyjny, iż artykuł ten nie ogranicza możliwości udostępnienia informacji, o których mowa w art. 18 ust. 1-5, jedynie do organów państwa na potrzeby prowadzonych przez nie postępowań, albowiem nie zawiera wskazania "wyłącznie" w odniesieniu do wymienionych organów. W ocenie skarżącej, powyższa wykładania art. 18 ust. 6 UŚUDE była błędna. W przepisie tym, jak wywodził autor skargi kasacyjnej, jedynym uprawnionym do uzyskania danych eksploatacyjnych, gromadzonych przez usługodawcę - w rozumieniu UŚUDE - są organy państwa, co więcej wskazana ustawa nie zawiera innego przepisu, który stanowiłby podstawę wydawania danych podmiotom innym niż organy państwa. Tymczasem, nie ulega wątpliwości, iż gdyby wolą ustawodawcy było uprawnienie do pozyskania danych eksploatacyjnych innych podmiotów niż organy państwa, zawarłby w ustawie wyraźną normę przewidującą takie uprawnienie. Zasadą jest wszak podleganie danych eksploatacyjnych ochronie. Usługodawca może przetwarzać dane osobowe i eksploatacyjne tylko w zakresie i na zasadach szczegółowo określonych w UŚUDE (a w zakresie nieuregulowanym w UŚUDE w oparciu o odpowiednie zastosowanie UODO). Udostępnianie danych podmiotom trzecim stanowi niezaprzeczalnie przełamanie tej ochrony i jako wyjątek od zasady nie może być interpretowane rozszerzająco.

Podnoszono również, że odmowa udostępnienia danych podmiotom innym niż organy państwa nie zamyka takim podmiotom drogi do dochodzenia ochrony swych praw na drodze postępowania karnego czy cywilnego. Skarżąca – jak akcentował autor skargi kasacyjnej - otrzymuje tygodniowo kilka do kilkunastu żądań wydania danych, pochodzących od prokuratur i sądów z terenu całego kraju. Zarówno prokuratorzy jak i sądy nie odmawiają wszczęcia postępowań wobec braku danych domniemanego sprawcy, a przy użyciu dostępnych im środków prawnych ustalają niezbędne informacje. Opisana wyżej praktyka kształtowała się na przestrzeni ubiegłych lat, na co wpływ miało również wystąpienie z dnia 17 lutego 2004 r. wystosowane przez Generalnego Inspektora Danych Osobowych do Ministra Sprawiedliwości z prośbą o podjęcie działań, mających na celu zapewnienie podejmowania przez organy ścigania oraz organy wymiaru sprawiedliwości czynności, zmierzających do ustalenia sprawców przestępstw ściganych z oskarżenia prywatno-skargowego. Generalny Inspektor Ochrony Danych Osobowych zwraca w swoim wystąpieniu uwagę na treść art. 488 § 1 k.p.k., z którego wynika, że Policja - po przyjęciu skargi - zobowiązana jest do zabezpieczenia dowodów, po czym przesyła skargę do właściwego sądu. Z kolei, w myśl art. 488 § 2 k.p.k., na polecenie sądu Policja dokonuje określonych przez sąd czynności dowodowych, a ich wyniki przekazuje sądowi. W literaturze przedmiotu przyjęto stanowisko, iż skarga pokrzywdzonego wniesiona do właściwych organów ścigania może być skierowana także przeciwko anonimowemu sprawcy a w takiej sytuacji, zabezpieczenie dowodów może być połączone z poszukiwaniem dowodów oraz podejmowaniem przez Policję czynności zmierzających do wykrycia sprawców przestępstwa.

W rezultacie, wobec opisanych wyżej możliwości wszczęcia postępowania karnego i ustalenia w jego toku danych, uzyskanie danych przez J. S. - na podstawie UODO - nie było niezbędne dla wypełnienia celu, jakim była ochrona jego praw przed sądem.

W konkluzji skarżąca zwracała uwagę, że przyjęcie odmiennego stanowiska i dopuszczenie wydawania adresów IP komputerów usługobiorców usług takich, jak internetowe fora dyskusyjne - w oparciu o art. 23 ust. 1 pkt 5 UODO - każdemu podmiotowi, który wystąpi o udostępnienie mu danych wskazując, iż są mu one potrzebne do dochodzenia roszczeń na drodze sądowej oznacza stworzenie podstawy do niekontrolowanego wypływu danych, w oparciu o przepisy ustawy, której celem jest przecież ochrona danych. Wobec braku, instrumentów pozwalających na jakąkolwiek kontrolę wykorzystania udostępnionych danych, nie ma bowiem żadnych gwarancji, że udostępnione dane zostaną wykorzystane wyłącznie w procesie sądowym, a kontrolę nad ich wykorzystaniem będzie wykonywał sąd. Powyższe każe wziąć pod uwagę możliwość wykorzystania udostępnionych danych osobowych nie tylko w celu niezgodnym z tym, dla którego były udostępnione, ale wręcz do podejmowania działań niezgodnych z prawem.

W odpowiedzi na skargę kasacyjną Generalny Inspektor Danych Osobowych wnosił o jej oddalenie.

Naczelny Sąd Administracyjny zważył, co następuje:

Stosownie do art. 183 § 1 p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod uwagę tylko okoliczności uzasadniające nieważność postępowania, które to okoliczności w tym przypadku nie zachodziły. Tak więc postępowanie kasacyjne w niniejszej sprawie sprowadzało się wyłącznie do badania zasadności podstaw kasacyjnych, przytoczonych w skardze kasacyjnej. Zarzuty jej opierały się zaś na obu podstawach kasacyjnych określonych w art. 174 pkt 1 i 2 p.p.s.a.

Odnosząc się w pierwszej kolejności do zarzutów procesowych należy uznać, że były one trafne w tym sensie, że zarzut naruszenia art. 141 § 4 p.p.s.a. był uzasadniony. Zgodnie z tym przepisem, uzasadnienie wyroku powinno zawierać zwięzłe przedstawienie stanu sprawy, zarzutów podniesionych w skardze, stanowisk pozostałych stron, podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie. Jeżeli zaś w wyniku uwzględnienia skargi sprawa ma być ponownie rozpatrzona przez organ administracji, uzasadnienie powinno ponadto zawierać wskazania co do dalszego postępowania. W ocenie Naczelnego Sądu Administracyjnego, uzasadnienie zaskarżonego wyroku nie spełniało wymagania, jakim było wyjaśnienie podstawy prawnej rozstrzygnięcia.

Rozpoznawana przez Sąd Wojewódzki sprawa dotyczyła skargi spółki A. SA z siedzibą w W., wniesionej na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2012 r. utrzymującą w mocy decyzję tego samego organu z dnia [...] lipca 2012 r., którą - w pkt 1 decyzji - organ nakazał skarżącej udostępnienie J. S. adresu IP komputera użytkownika forum internetowego na portalu [...] zarejestrowanego jako Gość: "M." – jako autora komentarzy opublikowanych w dniach: [...] września 2011 r. o godzinie [...], [...] listopada 2011 r. o godzinie [...], [...] listopada 2011 r. o godzinie [...], [...] grudnia 2011 r. o godzinie [...], [...] stycznia 2012 r. o godzinie [...]. Zdaniem bowiem Sądu Wojewódzkiego, trafne było stanowisko GIODO, że z uwagi na treść art. 7 pkt 2 i art. 23 ust. 1 ustawy o ochronie danych osobowych, udostępnienie J. S. danych osobowych autora powyższych komentarzy było uzasadnione i wypełniało dyspozycję art. 23 ust. 1 pkt 5 UODO. Wnioskodawca we wniosku skierowanym do A. S.A. – jak podkreślił Sąd - określił bowiem zakres żądanych danych oraz podał informacje umożliwiające wyszukanie tych danych (konkretny adres internetowy oraz nazwę profilu) a ponadto wiarygodnie uzasadnił potrzebę pozyskania danych koniecznością podjęcia kroków mających na celu ochronę dóbr osobistych. Dochodzenie zaś praw przed sądem z tytułu naruszenia dóbr osobistych stanowiło – w ocenie Sądu Wojewódzkiego - realizację prawnie usprawiedliwionego celu i uprawnienia, wynikającego z przepisu prawa. Tym samym, celem sporządzenia pozwu do sądu cywilnego wnioskodawca musiał dysponować danymi osobowymi osoby, którą chciał pozwać (art. 126 § 1 pkt 1 i 2 oraz art. 187 § 1 k.p.c.).

W związku z powyższym wyjaśnić należy, że w analizowanej sprawie kluczowe zagadnienie dotyczyło wzajemnej relacji przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (w brzmieniu obowiązującym w dacie 12 listopada 2012 r., to jest: Dz. U. Nr 144, poz. 1204 ze zm.) z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Podkreślić w tym miejscu należy, że – zgodnie z art. 5 U.O.D.O. – jeżeli przepisy odrębnych ustaw, które odnosząc się do przetwarzania danych, przewidują dalej idącą ochronę niż wynika to z przepisów U.O.D.O, to w takich przypadkach stosuje się przepisy tych ustaw. Przepisy U.O.D.O. mają bowiem charakter ogólny i znajdują zastosowanie wszędzie tam, gdzie przetwarzanie i związana z tym procesem ochrona danych nie jest regulowana szczegółowo w innym akcie rangi ustawowej (vide: wyrok NSA z dnia 20 lutego 2013 r., sygn. akt I OSK 368/12, LEX nr 1354099).

Ustawa o świadczeniu usług drogą elektroniczną jest bez wątpienia ustawą szczególną. Wynika to z art. 16 ust. 1 U.Ś.U.D.E., w którym przewidziano pierwszeństwo w stosowaniu przepisów tej ustawy przed regulacjami zawartymi w U.O.D.O. Dopiero w zakresie nieuregulowanym w U.Ś.U.D.E. znajdują zastosowanie przepisy U.O.D.O. Kwestia udostępniania danych osobowych została zaś określona w U.Ś.U.D.O. w art. 18 ust. 6. Zgodnie z jego treścią, usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań.

Skład orzekający nie podziela poglądu wyrażonego przez Sąd Wojewódzki i GIODO, że przepis art. 18 ust. 6 U.Ś.U.D.O ma jedynie znaczenie deklaratywne. Zakładając racjonalność ustawodawcy, należy bowiem zadać pytanie dotyczące celowości zamieszczenia tego rodzaju regulacji prawnej w ustawie szczególnej.

Zbieżne z powyższym stanowisko zajął również pośrednio Sąd Najwyższy w uzasadnieniu uchwały z dnia 30 września 2014 r. (sygn. akt I KZP 18/14, LEX nr 1508957), przyjmując, że w analizowanym przez ten Sąd stanie faktycznym, przepisem, który obligował adresata wystąpienia o udostępnienie danych, wskazanych w postanowieniu prokuratora, był art. 18 ust. 6 U.Ś.U.D.E. Stanowisko to zostało zaś dobitnie wyrażone w końcowej części uzasadnienia w/w uchwały, w którym Sąd Najwyższy porównywał (pod względem kwestii odpłatności za usługę) art. 18 ust. 6 U.Ś.U.D.E. z art. 180 a) i art. 180 d) ustawy Prawo Telekomunikacyjne.

W omawianym zatem przypadku dane osobowe, których dotyczył wniosek uczestnika postępowania, chronione były przepisami ustawy szczególnej, jaką jest ustawa o świadczeniu usług drogą elektroniczną a możliwość ich udostępnienia – co do zasady – regulowana była art. 18 ust. 6 U.Ś.U.D.E. Z tej przyczyny generalnie osoba, która uważała, że na skutek wpisów dokonanych przez usługobiorcę skarżącej poniosła uszczerbek w dobrach osobistych winna zwrócić się do właściwych organów państwowych (np. Policja, Prokuratura czy Rzecznik Praw Obywatelskich) celem udzielenia jej pomocy w uzyskaniu ochrony dla tych dóbr.

Tym niemniej nie można tracić z pola widzenia, że w poszczególnych, konkretnych przypadkach poszukującemu takiej pomocy nie zostanie ona jednak udzielona. Procedura zaś cywilna, co prawidłowo wyjaśnił zarówno organ jak i Sąd Wojewódzki, wymaga określenia osoby pozwanego i adresu na jaki może być mu doręczony pozew (art. 126 § 1 pkt 1 i 2 oraz art. 187 § 1 k.p.c.). W takiej sytuacji, to jest po wykazaniu przez wnioskodawcę, że podjął on próbę uzyskania danych osoby, która – jego zdaniem naruszyła dobra osobiste wnioskodawcy - i w związku z tym zamierza on rzeczywiście dochodzić swoich praw przed sądem cywilnym, należało wniosek taki uwzględnić. Przepisy ustawy o świadczeniu usług drogą elektroniczną nie mogą bowiem uniemożliwiać działania przepisów kodeksu cywilnego (art. 23, 24 i 448 k.c.). Trafnie zatem przyjął Naczelny Sąd Administracyjny w wyroku z dnia 21 sierpnia 2013 r. (sygn. akt I OSK 1666/12, LEX nr 1391700), że GIODO jak i Sąd administracyjny, rozpoznający skargę na decyzję tego organu dotyczącą udostępnienia danych osobowych, muszą każdorazowo, przy uwzględnieniu indywidualnych okoliczności danej sprawy dokonać wyważenia przeciwstawnych interesów, jakimi są prawo do ochrony danych osobowych i prawo do ochrony czci, godności, dobrego imienia czy też wizerunku firmy.

W ocenie składu orzekającego, nie spełnia tych wymagań zaskarżony wyrok. Sąd Wojewódzki powtórzył bowiem jedynie argumentację zawartą w uzasadnieniu zaskarżonej decyzji, w której organ wskazał na okoliczność, że J. S. żądanie udostępnienia danych osobowych autora komentarzy uzasadniał tym, że – jego zdaniem - osoba ta naruszyła jego dobra osobiste a następnie przytoczył treść odpowiednich przepisów prawa cywilnego i procedury cywilnej, odnoszących się do obowiązku określenia w pozwie osoby pozwanego i jego adresu . Zdaniem składu orzekającego, powyższe nie stanowiło jednak rozważenia owych, indywidualnych okoliczności rozpoznawanej sprawy. Trafnie bowiem podnosi w skardze kasacyjnej jej autor, że praktycznie każdy może wystąpić o udostępnienie danych osobowych osoby trzeciej twierdząc, są mu one potrzebne do dochodzenia roszczeń na drodze sądowej. Taka zaś sytuacja będzie oznaczała stworzenie podstawy do niekontrolowanego wypływu danych, w oparciu o przepisy ustawy, której celem jest ich ochrona. W rzeczywistości zatem w ten sposób dojdzie do obejścia przepisów prawa. Wymogi natomiast procedury cywilnej, określającej zasady wnoszenia pozwu, są powszechnie obowiązującym prawem, jednakowym dla wszystkich a więc nie mogą dowodzić specyfiki analizowanej sprawy. Poza tym przyjęcie, że organy państwa będą miały bardziej utrudniony dostęp do danych osobowych, istotnych dla prowadzonych przez nie postępowań niż osoby, które jedynie zadeklarują i to w sposób całkowicie niezobowiązujący, że udostępnienie im danych osobowych innej osoby jest im potrzebne dla uzyskania przed sądem cywilnym ochrony dla swoich dóbr osobistych, godziłoby w konstytucyjną zasadę państwa prawa (art. 2 Konstytucji Rzeczypospolitej Polskiej).

Przy ponownym zatem rozpoznaniu sprawy Sąd Wojewódzki winien zbadać, czy w toku postępowania administracyjnego zostało ustalone, czy u podstaw żądania uczestnika postępowania istotnie leżał cel, jakim było wystąpienie na drogę sądową, a który cechowała aktualność i pewność. O powyższym mogłyby zaś świadczyć podjęte przez uczestnika postępowania konkretne, określone działania, polegające np. na występowaniu do Policji lub Prokuratury, czy choćby do Rzecznika Praw Obywatelskich z prośbą o udzielenie mu stosownej pomocy w uzyskaniu ochrony dóbr osobistych naruszonych przez autora komentarzy. Samo bowiem deklarowanie, że dane osobowe osoby trzeciej są wnioskodawcy niezbędne, gdyż zamierza on wystąpić z pozwem w stosunku do tej osoby, w obowiązującym stanie prawnym, jest niewystarczające. Wskazać bowiem trzeba, że po uchyleniu art. 29 ust. 2 U.O.D.O., ustawą z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. Nr 229, poz. 1497), tylko na podstawie ogólnego przepisu, jakim jest art. 23 ust. 1 pkt 5 U.O.D.U. istnieje możliwość uczynienia zadość żądaniu udostępnienia danych osobowych przetwarzanych na podstawie ustawy o świadczeniu usług elektronicznych, które zgłasza podmiot niebędący organem państwowym.

W myśl tego przepisu, przetwarzanie danych jest dopuszczalne, tylko wtedy, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Jeśli zatem istnieje inna możliwość uzyskania danych osobowych osób, które – zdaniem wnioskodawcy – naruszają jego dobra osobiste (np. z pomocą organów państwowych) to nie można wtedy mówić, że żądanie udostępnienia w/w danych, skierowane do usługodawcy – w rozumieniu ustawy o świadczeniu usług drogą elektroniczną – jest niezbędne.

Biorąc powyższe pod uwagę, Naczelny Sąd Administracyjny – z mocy art. 185 § 1 p.p.s.a. – orzekł jak w sentencji.

Rozstrzygnięcie o kosztach postępowania orzeczono na zasadzie art. 203 pkt 1 p.p.s.a.