Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Grochowska-Jung, Sędziowie Anna Mierzejewska, Janusz Walawski (spr.), Protokolant Marek Kozłowski, po rozpoznaniu na rozprawie w dniu 27 stycznia 2010 r. sprawy ze skargi [...] Sp. z o.o. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lutego 2009 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę

M. R., działając przez pełnomocnika, w dniu 1 lipca 2008 r. złożyła do Generalnego Inspektora Ochrony Danych Osobowych (zwanego dalej Generalnym Inspektorem) wniosek o nakazanie [...] Sp. z o.o. z siedzibą w W. przy ul. [...] (zwanej dalej Spółką) udostępnienia danych osobowych – numerów IP osób, które w dniu [...] lutego 2006 r. zalogowały się i dokonały wpisów na portalu [...] – forum: dyskusja ogólna, temat: dziecko M. pod nickami: "j." i "p.".

Powyżej określony wniosek został uzasadniony w ten sposób, iż "przedmiotowe dane są niezbędne do wypełnienia prawnie usprawiedliwionych celów skarżącej, w postaci wytoczenia powództwa o ochronę dóbr osobistych (...)".

Generalny Inspektor, po przeprowadzeniu postępowania administracyjnego, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) – zwanej dalej k.p.a., art. 6, art. 12 pkt 2, art. 22 i art. 18 ust. 1 pkt 2 w zw. z art. 29 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), w dniu [...] listopada 2008 r. wydał decyzję nr [...], którą nakazał Spółce udostępnienie wnioskodawczyni – M. R. informacji o osobach, które w dniu [...] lutego 2006 r. zalogowały się i dokonały wpisów na portalu internetowym [...], forum: dyskusja ogólna, temat: dziecko M., posługujących się nickami "j." i "p." – w zakresie obejmującym informację o numerach IP z powyżej określonej daty logowania.

W uzasadnieniu decyzji organ podał m.in., iż kluczową z punktu widzenia rozstrzygnięcia niniejszej sprawy była kwestia ustalenia, czy wnioskowane przez wnioskodawczynię informacje stanowią dane osobowe w rozumieniu art. 6 ustawy o ochronie danych osobowych, czy też nie mieszczą się w tym pojęciu.

Generalny Inspektor stwierdził, że powołany przepis, definiuje dane osobowe jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 powołanej ustawy). Osobą możliwą do zidentyfikowania jest przy tym osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (ust. 3). Określona w tym przepisie definicja odpowiada definicji zawartej w Dyrektywie 95/46 Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Zatem Generalny Inspektor nie podzielił stanowiska Spółki odnośnie klasyfikacji wnioskowanych informacji, ponieważ uznał, że stanowią one dane osobowe osób, które w dniu [...] lutego 2006 r. zalogowały się na portalu internetowym [...] i dokonały na nim kwestionowanych wpisów.

Organ za bezzasadny uznał argument spółki, iż numeru IP nie można uznać za informację o osobie, a jedynie za "informację o numerze interfejsu lub sieci, przy wykorzystaniu którego lub której miała miejsce komunikacja polegająca na dokonaniu (...) kwestionowanych wpisów (...).

Dalej organ wyjaśnił, że ustawa definiuje dane osobowe jako informacje dotyczące osoby zidentyfikowanej bądź możliwej do zidentyfikowania, a zatem informacje, które wiążą się z określoną osobą – choćby pośrednio – niosą pewien komunikat o niej. W tym sensie informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej wprost, jak i taka, która bezpośrednio odnosi się np. do przedmiotów, urządzeń, ich funkcjonowania itp., jednak z uwagi na możliwość ich powiązania z określoną osobą – pośrednio stanowi informację także o niej samej. W tym miejscu warto zwrócić uwagę na Opinię 4/2007 w sprawie pojęcia danych osobowych przyjętą w dniu 20 czerwca 2007 r. przez Grupę Roboczą ds. Ochrony Danych – powołaną na mocy art. 29 Dyrektywy 95/46. Grupa Robocza, jako organ wydający zalecenia we wszystkich sprawach dotyczących ochrony osób fizycznych w zakresie przetwarzania danych w państwach członkowskich Unii Europejskiej, w przedmiotowej opinii wskazała m.in., że "(...) w niektórych przypadkach dane przekazują przede wszystkim informacje o przedmiotach a nie o osobach. Przedmioty te należą zazwyczaj do kogoś, podlegają wpływowi działania pewnych osób lub wywierają na nie pewien wpływ lub też pozostają w pewnego rodzaju sąsiedztwie fizycznym lub geograficznym w stosunku do osób lub należących do nich przedmiotów. Można wtedy uznać, że informacje dotyczą tych osób lub przedmiotów jedynie pośrednio (...)". Jednocześnie Grupa Robocza uznała, że za informacje dotyczące osoby można uznać dane "(...) dotyczące w pierwszym rzędzie procesów lub zdarzeń, jak na przykład informacje o funkcjonowaniu pewnej maszyny wymagającej interwencji człowieka (...)" oraz podsumowała, iż "(...) dane dotyczą osoby, jeżeli odnoszą się do tożsamości, cech lub zachowania danej osoby lub też informacje te determinują lub też wpływają na sposób traktowania lub ocenę danej osoby (...).

Z powyższego wynika, iż nieuprawnione jest stanowisko Spółki, że numer IP – odnoszący się wprost do określonego urządzenia – nie może być uznany za informację dotyczącą osoby, a w konsekwencji w ogóle nie może być rozpatrywany w kontekście uznania go za dane osobowe.

W ocenie Generalnego Inspektora numery IP osób, które w dniu [...] lutego 2006 r. zalogowały się na portalu internetowym [...] i dokonały na nim kwestionowanych wpisów odnoszą się do osób możliwych do zidentyfikowania. Co więcej, w ocenie organu zasadniczym celem zbierania i przechowywania (przetwarzania) informacji o numerach IP jest możliwość ewentualnej identyfikacji posługujących się nimi osób.

Organ zwrócił również uwagę na to, że w niniejszej sprawie Spółka nie zanegowała możliwości dokonania identyfikacji osób, które w określonej dacie, posługując się pseudonimami, dokonały logowania na portalu [...] i zamieściły na nim kwestionowane wpisy – na podstawie ich numerów (adresów IP), lecz podkreśliła, że wnioskodawczyni nie może dokonać jej samodzielnie.

Generalny Inspektor podał, że Grupa Robocza, przyjmując, że numery IP należą do kategorii danych osobowych zaznaczyła, iż " (...) dostawcy dostępu do Internetu i administratorzy sieci lokalnych mogą, używając sposobów, jakimi można się posłużyć, zidentyfikować użytkowników Internetu, którym przydzieliły adresy IP, ponieważ systematycznie rejestrują oni w pliku datę, godzinę, czas trwania i dynamiczne adresy IP przydzielone użytkownikom Internetu. To samo można powiedzieć o dostawcach usług internetowych prowadzących rejestr na serwerze http. W takich przypadkach można niewątpliwie mówić o danych osobowych w sensie art. 2 lit. a dyrektywy. Zwłaszcza w przypadkach, gdy przetwarzanie adresów IP ma na celu zidentyfikowanie użytkowników komputera, (np. przez posiadaczy praw autorskich w celu ścigania użytkowników za pogwałcenie praw autorskich), administrator przewiduje, że sposoby, jakimi można się posłużyć, w celu zidentyfikowania osoby mogą stać się dostępne, np. na drodze sądowej (w przeciwnym razie gromadzenie danych nie miałoby sensu), i że w związku z tym informacje te należy uważać za dane osobowe (...). Generalny Inspektor podziela to stanowisko.

Odnosząc powyższe do okoliczności przedmiotowej sprawy, należy zwrócić uwagę, że wniosek o udostępnienie adresów IP został uzasadniony zamiarem dokonania identyfikacji osób, które posługując się nickami "j." i "p." dokonały w dacie logowania kwestionowanych wpisów, a następnie dochodzenia wobec nich, na drodze sądowej, roszczeń z tytułu naruszenia dóbr osobistych. Spółka nie zanegowała możliwości takiej identyfikacji, choć podkreśliła, iż sama nie może tego uczynić.

Skierowany do Spółki wniosek o udostępnienie przedmiotowych adresów IP, w ocenie Generalnego Inspektora, odpowiada wymogom określonym w art. 29 ust. 3 ustawy o ochronie danych osobowych. Podano w nim bowiem informacje umożliwiające wyszukanie wnioskowanych danych (poprzez wskazanie nicków, szczegółów daty logowania i tematu wpisów zamieszczonych na określonym portalu internetowym przez osoby posługującymi się tymi nickami), określono zakres wnioskowanych danych oraz ich przeznaczenie.

Zdaniem Generalnego Inspektora udostępnienie żądanych we wniosku informacji znajduje uzasadnienie w art. 29 ust. 2 ustawy o ochronie danych osobowych.

Według organu oczywistym jest, iż pozyskanie (przetwarzanie) danych osobowych w celu określonym w tym wniosku w każdym przypadku zostanie uznane przez osoby, których te dane dotyczą, za sprzeczne z ich interesem. Okoliczność ta – zwłaszcza mając na uwadze prawne gwarancje obrony przed roszczeniami strony przeciwnej – nie świadczy jednak o naruszeniu ich praw i wolności. Przyjęcie przeciwnego stanowiska skutkowałoby bezzasadną ochrona tego, kto mógł dopuścić się bezprawnej ingerencji w sferę prawnie chronionych interesów innej osoby. Z tych samych względów nie można zasadnie przyjąć, że udostępnienie wnioskowanych informacji wiązałoby się z naruszeniem dóbr osobistych osób, których dane dotyczą lub innych osób, ani – tym bardziej – że naruszenie to miałoby charakter istotny – a zatem, że zaistniała określona w art. 30 pkt 4 powołanej ustawy przeszkoda uzasadniająca odmowę udostępnienia danych.

Generalny Inspektor dodał, że Spółka, odmawiając udostępnienia wnioskowanych informacji podniosła dodatkowo, że zadośćuczynienie przedmiotowemu wnioskowi naraziłoby ją na zarzut naruszenia tajemnicy telekomunikacyjnej statuowaną w art. 159 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 z późn. zm.). Generalny Inspektor nie podziela jednak tej obawy. Z powyższego przepisu wynika bowiem, iż tajemnica telekomunikacyjna nie ma charakteru bezwzględnego i zezwala na szeroko rozumiane wykorzystywanie danych osobowych użytkownika, znajdujących się w posiadaniu operatora, przez podmioty inne niż nadawca i odbiorca komunikatu, o ile jest to niezbędne z powodów określonych przepisami odrębnymi, natomiast – jak wykazano – w niniejszej sprawie warunek ten został spełniony.

Od decyzji Generalnego Inspektora z dnia [...] listopada 2009 r. zobowiązana Spółka złożyła do tego organu wniosek o ponowne rozpatrzenie sprawy.

We wniosku zobowiązana Spółka przedmiotowej decyzji zarzuciła błędną wykładnię i naruszenie:

1) art. 6 ustawy o ochronie danych osobowych, poprzez uznanie, iż informacje o numerach IP, z których określone osoby dokonały logowania do serwisu posługując się nickami "j." i "p.", następnie dokonały wpisów na portalu internetowym [...], stanowią dane osobowe w rozumieniu powołanej ustawy i w związku z tym błędnie zastosowano jej przepisy do stanu faktycznego niniejszej sprawy,

2) art. 159 ust. 2 pkt 4 ustawy – Prawo telekomunikacyjne, poprzez uznanie, iż w niniejszej sprawie zachodzą ustawowe przesłanki do udostępnienia danych stanowiących tajemnicę telekomunikacyjną w rozumieniu tej ustawy

Podnosząc powyższe zarzuty, zobowiązana Spółka zaskarżoną decyzją, wniosła o jej uchylenie w całości i zmianę poprzez oddalenie przedmiotowego wniosku, względnie o uchylenie decyzji w całości oraz umorzenie postępowania w zakresie nią objętym.

Generalny Inspektor, po rozpoznaniu wniosku o ponowne rozpatrzenie sprawy, na podstawie art. 138 § 1 pkt 1 k.p.a., art. 6, art. 12 pkt 2, art. 22 i art. 18 ust. 1 pkt 2 w zw. z art. 29 ust. 2 ustawy o ochronie danych osobowych, w dniu [...] lutego 2009 r. wydał decyzję nr [...], którą utrzymał w mocy zaskarżoną decyzję. W jej uzasadnieniu organ podtrzymał stanowisko przedstawione w uzasadnieniu poprzedzającej ją decyzji, jak również odniósł się do zarzutów podniesionych we wniosku o ponowne rozpatrzenie sprawy.

Zdaniem organu zarzut, jakoby numeru IP nie można było uznać za informację o osobie, a jedynie za "(...) informację o numerze interfejsu lub sieci, przy wykorzystaniu którego lub której miała miejsce komunikacja polegająca na dokonaniu (...) kwestionowanych wpisów (...)" jest bezzasadny. Ustawa o ochronie danych osobowych definiuje dane osobowe jako informacje dotyczące osoby zidentyfikowanej bądź możliwej do zidentyfikowania, a zatem informacje, które wiążąc się z określoną osobą – choćby pośrednio – niosą pewien komunikat o niej. Nieuprawnione jest zatem stanowisko, iż numer IP – odnoszący się wprost do określonego urządzenia – nie może być uznany za informację dotyczącą osoby, a w konsekwencji w ogóle nie może być rozpatrywany w kontekście uznania go za dane osobowe. Warto zauważyć, że nie budzi obecnie wątpliwości, że np. numer telefonu, czy numer kart sim telefonu komórkowego – również odnoszące się bezpośrednio do urządzenia, a nie do osoby – dotyczą jej jednak i mogą stanowić dane osobowe.

W związku z powyższym, Generalny Inspektor, wbrew twierdzeniu strony skarżącej podtrzymał stanowisko, iż wnioskowane informacje stanowią dane osobowe w rozumieniu art. 6 ustawy o ochronie danych osobowych.

Organ administracji nie podzielił nadto stanowiska strony skarżącej, iż udzielenie przedmiotowych informacji naraziłoby Spółkę na zarzut naruszenia tajemnicy telekomunikacyjnej. Prawo telekomunikacyjne dopuszcza bowiem zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu w sytuacji, gdy będzie to konieczne z innych powodów określonych ustawą lub przepisami odrębnymi. Stosownie do brzmienia art. 161 ust. 1 Prawa telekomunikacyjnego, z zastrzeżeniem ust. 2 treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej "przetwarzaniem", dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych.

Organ administracji stwierdził, że pomimo zaznaczenia przez stronę skarżącą, iż w jej ocenie "nie jest ona zobligowana do udostępnienia treści objętych tajemnicą telekomunikacyjną w oparciu o (...) ustawę o ochronie danych osobowych (...)", stanowisko to, poza powołaniem argumentów o charakterze prawnoporównawczym nie zostało właściwie uzasadnione. Brak natomiast przesłanek, które istotnie uzasadniałyby wyłączenie z kategorii "ustawy lub przepisów odrębnych", o których mowa w art. 159 ust. 2 pkt 4 Prawa telekomunikacyjnego, czy "przepisów ustawowych", o których mowa w art. 161 ust. 1 zd. 2 Prawa telekomunikacyjnego, regulacji ustawy o ochronie danych osobowych.

Decyzja Generalnego Inspektora, utrzymująca w mocy decyzję poprzedzającą, stała się przedmiotem skargi wniesionej przez Spółkę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Strona skarżąca w skardze zarzuciła, że zaskarżona decyzja została wydana z naruszeniem przepisów prawa materialnego, tj.:

1) art. 6 ustawy o ochronie danych osobowych, poprzez błędną wykładnię i niewłaściwe zastosowanie prowadzące do uznania, iż informacje o numerach IP, z których określone osoby w dniu [...] lutego 2006 r. dokonały logowań do serwisu [...] pod nickami "j." i "p." i – następnie – dokonały wpisów na jego forum stanowią dane osobowe w rozumieniu tej ustawy,

2) art. 18 powołanej ustawy, poprzez błędną wykładnię i zastosowanie w sytuacji, gdy strona skarżąca nie naruszyła przepisów ustawy o ochronie danych osobowych,

3) art. 29 ust. 2 ustawy o ochronie danych osobowych, poprzez błędną wykładnię i niewłaściwe zastosowanie polegające na przyjęciu, że zobowiązuje on stronę skarżącą do udostępnienia informacji osobom trzecim, w sytuacji gdy takie informacje nie mają charakteru danych osobowych,

4) art. 49 Konstytucji RP, poprzez jego niezastosowanie,

5) art. 159 ust. 2 i 3, art. 161 ust. 1 ustawy – Prawo telekomunikacyjne, poprzez błędną wykładnię i niewłaściwe zastosowanie, objawiające się uznaniem, iż udostępnienie przez stronę skarżącą żądanych informacji, spełnia przesłanki przetwarzania danych objętych tajemnicą telekomunikacyjną przez osoby inne niż odbiorca i nadawca komunikatu i nie narusza obowiązku zachowania tajemnicy telekomunikacyjnej w rozumieniu art. 159 tej ustawy.

Strona skarżąca, podnosząc powyższe zarzuty, wniosła o uchylenie zaskarżonej decyzji oraz decyzji ją poprzedzającej, wstrzymanie jej wykonania oraz o zasądzenie kosztów postępowania.

W uzasadnieniu skargi skarżąca Spółka podała m.in., że zaskarżona decyzja nie znajduje potwierdzenia we wskazanych w skardze przepisach prawa materialnego, a przedstawione w niej stanowisko zostało wyrażone w oderwaniu od okoliczności faktycznych sprawy. Wnioskodawczyni nie ma żadnej możliwości dokonania identyfikacji osób, które zalogowały się i dokonały wpisów na portalu, gdyż nie dysponuje jakimikolwiek informacjami, które taką identyfikację by jej umożliwiały, choćby nawet pośrednio. Numery IP odnoszą się do oznaczenia urządzeń, a nie osób i same w sobie nie niosą informacji o konkretnej osobie. Zdaniem strony skarżącej, powiązanie przez wnioskodawczynię numerów IP, czyli informacji o urządzeniach, za pomocą których następowało logowanie i umieszczanie wpisów na forum serwisu [...] z konkretną osoba fizyczną nie jest technicznie możliwe. W ocenie strony skarżącej ustalenia możliwości identyfikacji osoby nie można dokonywać w oderwaniu od sposobów i środków technicznych dostępnych administratorowi w czasie przetwarzania danych, przy czym jednocześnie nie powinny one wymagać nadmiernych kosztów, czasu lub działań. Czy dana informacja ma charakter danych osobowych, a więc czy umożliwia identyfikację konkretnej osoby fizycznej powinna być zawsze dokonywana w oparciu o aktualne w czasie przetwarzania możliwości administratora, nie zaś o potencjalną możliwość identyfikacji przy wykorzystaniu sposobów, które mogą stać się dostępne w przyszłości. Ustalenie przez wnioskodawczynię tożsamości osób, które zalogowały się na portalu i dokonały kwestionowanych wpisów nie tylko wymaga nadmiernych środków, czasu i działań, ale jest praktycznie niemożliwe.

W odpowiedzi na skargę Generalny Inspektor wniósł o jej odrzucenie w związku z uchybieniem terminu do jej wniesienia. Równocześnie, w przypadku nie uwzględnienia tego wniosku, organ wniósł o oddalenie skargi i podtrzymał stanowisko przedstawione w uzasadnieniu zaskarżonej decyzji.

M. R. (uczestnik postępowania), reprezentowana przez pełnomocnika, wniosła o oddalenie skargi.

Wojewódzki Sąd Administracyjny w Warszawie w dniu 14 maja 2009 r. sygn. akt II SA/Wa 567/09 wydał postanowienie o odrzuceniu skargi, od którego została wniesiona skarga kasacyjna.

Naczelny Sąd Administracyjny w dniu 16 września 2009 r. wydał postanowienie sygn. akt I OSK 1157/09, którym uchylił zaskarżone postanowienie.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Na wstępie należy wyjaśnić, że stosownie do treści art. 190 zd. 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.) sąd. któremu sprawa została przekazana, związany jest wykładnią prawa dokonaną tej sprawie przez Naczelny Sąd Administracyjny.

Wobec uznania, że skarga została wniesiona z zachowaniem ustawowego terminu, sprawę należy rozpoznać merytorycznie.

Zgodnie z art. 1 i art. 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 z późn. zm.) sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta sprawowana jest pod względem zgodności z prawem. Oznacza to, iż przedmiotem sprawy jest ocena przez Sąd prawidłowości prowadzonego przez organ administracji publicznej postępowania administracyjnego oraz wydanego w tym postępowaniu rozstrzygnięcia.

Skarga nie mogła zostać uwzględniona, gdyż zaskarżona decyzja jest zgodna z prawem obowiązującym w dniu jej wydania.

W pierwszej kolejności należy rozstrzygnąć, czy żądane przez uczestnika postępowania informacje, tj. adresy IP osób, które w dniu [...] lutego 2006 r. zalogowały się i dokonały wpisów na portalu internetowym [...], forum: dyskusja ogólna, temat: dziecko M., posługując się nickami "j." i "p." stanowią dane osobowe w rozumieniu art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.).

Na wstępie należy wyjaśnić, czym jest adres IP.

Adres IP (ang. IP address) – liczba nadawana interfejsowi, grupie interfejsów (broadcast, multicast), bądź całej sieci komputerowej opartej na protokole IP, służąca identyfikacji elementów warstwy trzeciej modelu OSI – w obrębie sieci oraz poza nią (tzw. adres publiczny). Adres IP nie jest "numerem rejestracyjnym" komputera – nie identyfikuje jednoznacznie fizycznego urządzenia – może się dowolnie zmieniać (np. przy każdym wejściu do sieci Internetu) jak również kilka urządzeń może dzielić jeden publiczny adres IP. Ustalenie prawdziwego adresu IP użytkownika, do którego następowała transmisja w danym czasie jest możliwe dla systemu/sieci odpornej na przypadki tzw. IP spoofingu – na podstawie historycznych zapisów systemowych (źródło: Adres IP – Wikipedia, wolna encyklopedia).

Każde urządzenie (komputer) w sieci IP musi mieć przyporządkowany adres IP. W ramach jednej podsieci adres IP musi być unikalny dla każdego urządzenia. Adres ten służy do identyfikacji urządzenia w sieci. Dzięki temu unikalnemu numerowi komputer może być rozpoznawany przez inne komputery w sieci. Można w przybliżeniu określić adres IP np. serwera, pod który podłączony jest komputer oraz operatora i drogę jaką pokonuje np. pakiet danych wysłanych pod wskazany adres. Adres IP nie występuje samodzielnie. Zazwyczaj odnoszą się do niego inne informacje, które stwarzają realną możliwość identyfikacji osoby korzystającej z sieci.

Zgodnie z treścią art. 6 ustawy o ochronie danych osobowych, w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (ust. 1). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust.2 ). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (ust. 3).

W świetle powyżej przytoczonego przepisu dane osobowe obejmują wszelkie informacje dotyczące osoby fizycznej, o ile możliwe jest zidentyfikowanie tej osoby. Za osobę możliwą do zidentyfikowania uważa się osobę, której tożsamość można określić bezpośrednio lub pośrednio.

Użyty przez ustawodawcę w art. 6 ust. 2 ustawy o ochronie danych osobowych przysłówek "pośrednio" powoduje, iż identyfikacja osoby może nastąpić również na podstawie zestawienia różnych informacji pozwalających określić jej tożsamość. Taka sytuacja zaistniała w rozpoznawanej sprawie.

Z akt sprawy wynika bowiem, iż uczestnik postępowania posiada informacje o dacie logowania, pseudonimach osób dokonujących tej czynności i treści dokonanych wpisów. W ocenie Sądu, powyższe informacje, zestawione z numerami IP umożliwiają jednoznaczne określenie tożsamości osób, które naruszyły dobra osobiste uczestnika postępowania.

Wobec powyższego stwierdzić należy, że Generalny Inspektor zasadnie przyjął, iż żądane przez uczestnika postępowania adresy IP stanowią w niniejszej sprawie dane osobowe w rozumieniu art. 6 ust. 1 ustawy o ochronie danych osobowych, a nakazanie ich udostępnienia stanowi realizację dyspozycji ust. 2 tego przepisu, tzn. stworzy możliwość zidentyfikowania osoby, bądź osób, których tożsamość można określić pośrednio.

Należy również podkreślić, iż adres IP stanowi dane osobowe, gdy jest na stałe przypisany do określonego urządzenia, użytkowanego przez określony podmiot. Ta zależność powoduje, iż w określonych sytuacjach istnieje możliwość identyfikacji tego podmiotu, a taka sytuacja ma miejsce w rozpoznawanej sprawie. Co prawda sam adres IP komputera nie wystarcza do wskazania osoby, która z niego korzystała, ale w zestawieniu z innymi informacjami pozwala przypuszczać, że jej tożsamość można ustalić.

W ocenie Sądu, identyfikacja tej osoby nie musi być związana z nadmiernymi kosztami, czasem lub działaniami. Należy przy tym naturalnie mieć świadomość, że przesłanka "nadmierności" jest niedookreślona i jej rzeczywiste znaczenie zostanie dopiero ukształtowane przez rozstrzygnięcia Generalnego Inspektora dotyczące konkretnych spraw (patrz. Ochrona danych osobowych – komentarz J. Bart, R. Markiewicz, wyd. Zakamycze 2002 str. 315).

Zgodnie z art. 27 ust. 1 ustawy o ochronie danych osobowych, zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Natomiast art. 29 ust. 2 powołanej ustawy stanowi, że dane osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1, mogą być także udostępniane w celach innych niż włączenie do zbioru, innym osobom i podmiotom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą.

Z powyższego przepisu wynika, że administrator danych może, lecz nie musi, udostępnić wskazane we wniosku dane., w zależności od celu ich wykorzystania.

W rozpoznawanej sprawie, uczestnik postępowania potrzebę posiadania adresów IP (danych osobowych) uzasadnił zamiarem dochodzenia swoich praw przed sądem poprzez wniesienie powództwa o naruszenie dóbr osobistych, co, zdaniem Sądu, jest wystarczającym uzasadnieniem udostępnienia danych osobowych, wykluczającym zarazem ewentualny zarzut naruszenia tajemnicy telekomunikacyjnej.

Podkreślić należy bowiem, że tzw. "ekscesy sieciowe" co raz częściej naruszają dobra osobiste innych osób. Zbyt łatwo, zbyt wiele, teoretycznie anonimowych, osób wyraża swoje poglądy na forach internetowych, krzywdząc innych.

Sąd stoi na stanowisku, iż prawo do swobodnej, anonimowej wypowiedzi, nie może chronić osób, które naruszają prawa innych osób, od odpowiedzialności za wypowiedziane słowa. W sieci nikt nie jest i nie może być anonimowy. Wprawdzie ustalenie tożsamości danej osoby może być utrudnione, jednak z uwagi na to, że każdy komputer zostawia w internecie ślad – adres IP, za pomocą którego można ustalić komputer, z którego dokonano wpisu, stwarza to możliwość pośredniego ustalenia tożsamości osoby, która dokonała tego wpisu.

W tej sytuacji Sąd uznał zarzuty skargi, dotyczące naruszenia przez organ wskazanych w niej przepisów ustawy o ochronie danych osobowych, za bezzasadne.

Sąd nie podzielił również stanowiska strony skarżącej o naruszeniu art. 159 ust. 2 i 3 i art. 161 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 z późn. zm.).

Zgodnie bowiem z art. 159 ust. 2 powołanej ustawy, zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystanie lub inne wykorzystywanie treści lub danych objętych tajemnica telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że:

1) będzie to przedmiotem usługi lub będzie to niezbędne do jej wykonania;

2) nastąpi za zgodą nadawcy lub odbiorcy, których dane dotyczą;

3) dokonanie tych czynności jest niezbędne w celu rejestrowania komunikatów i związanych z nimi danych transmisyjnych, stosowanego w zgodnej z prawem praktyce handlowej dla celów zapewnienia dowodów transakcji handlowej lub celów łączności w działalności handlowej;

4) będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi

Z wyjątkiem przypadków określonych ustawą, ujawnianie lub przetwarzanie treści albo danych objętych tajemnicą telekomunikacyjną narusza obowiązek zachowania tajemnicy telekomunikacyjnej (art. 159 ust. 3 powołanej ustawy).

W świetle powyżej przytoczonych przepisów, zdaniem Sądu, obawa strony skarżącej, iż przekazanie uczestnikowi postępowania adresów IP (danych osobowych) narazi ją na zarzut naruszenia tajemnicy telekomunikacyjnej nie jest uzasadniony. W niniejszej sprawie, zaistniała bowiem przesłanka określona w art. 159 ust. 2 pkt 4 powołanej ustawy., czyli ujawnienie adresu IP stało się konieczne z uwagi na dochodzenie ochrony dóbr osobistych według przepisów ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.).

Zgodnie natomiast z art. 49 Konstytucji RP, zapewnia się wolność i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony. Skoro ograniczenie w zakresie zapewnienia wolności i ochrony tajemnicy komunikowania się zostało określone w ustawie, to nie można uznać zarzutu strony skarżącej, że doszło do naruszenia art. 49 ustawy zasadniczej, poprzez jego nie zastosowanie.

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w wyroku.