Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Barbara Adamiak (spr.) Sędziowie sędzia NSA Joanna Runge - Lissowska sędzia del. NSA Jerzy Stankowski Protokolant sekretarz sądowy Joanna Drapczyńska po rozpoznaniu w dniu 13 grudnia 2011 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 16 marca 2011 r. sygn. akt II SA/Wa 2037/10 w sprawie ze skargi [...] Sp. z o.o. w Warszawie na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2010 r. nr [...] w przedmiocie odmowy uwzględnienia wniosku o udostępnienie danych osobowych uchyla zaskarżony wyrok i przekazuje sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie.

Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] lipca 2010 r. nr [...], wydaną na podstawie art. 12 pkt 2, art. 22 i art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), odmówił uwzględnienia wniosku M. P. Sp. z o.o. z siedzibą w Warszawie o nakazanie [...] Sp. z o.o. z siedzibą w Poznaniu – jako podmiotowi prowadzącemu serwis transakcji on-line a. – udostępnienia na rzecz M. Sp. z o.o. danych osobowych osób, które w serwisie A. wystawiły do sprzedaży (jako przedmiot sprzedaży bądź darmowy dodatek do przedmiotu sprzedaży) na aukcjach internetowych tzw. bonifikarty M. Sp. z o.o. W uzasadnieniu organ wskazał, że jedna z prowadzonych przez M. Polska Sp. z o.o. akcji promocyjnych polega na wydawaniu tzw. bonifikart, tj. kart rabatowych na okaziciela, uprawniających ich posiadaczy do nabywania określonych produktów Spółki po obniżonej cenie, na warunkach opisanych w regulaminie promocji p.n. "Bonifikarta – regulamin promocji". Bonifikaty otrzymują pracownicy restauracji należących do korporacji M. i działających na zasadzie franczyzy, pracownicy biura Spółki oraz jej partnerzy handlowi. Na bonifikarcie, oznaczonej znakiem firmowym korporacji M., zamieszczona jest informacja o dostępnych na promocyjnych warunkach produktach, okresie ważności bonifikarty oraz informacja, że szczegóły promocji zamieszczone są w regulaminie dostępnym w każdej restauracji M. i na stronie www.[...].pl. Karta nie może być przedmiotem sprzedaży i jest ważna tylko w restauracjach biorących udział w promocji. Zgodnie z postanowieniami regulaminu promocji, bonifikarta jest kartą zniżkową, stanowiącą własność M. Sp. z o.o. i nie może być ani przedmiotem sprzedaży, ani przedmiotem darowizny przy okazji sprzedaży innych rzeczy. Osoba naruszająca regulamin promocji (w tym również nabywca bonifikarty) obowiązana jest do zwrotu bonifikarty Spółce M. Uczestnik akcji promocyjnej, przyjmując bonifikartę, zobowiązuje się tym samym do przestrzegania regulaminu akcji promocyjnej, a w szczególności do niezbywania bonifikarty. Pomimo regulaminowego zastrzeżenia niedopuszczalności zbywania bonifikart, Spółka ustaliła, że są one oferowane do sprzedaży, bądź jako bezpłatny dodatek do innych artykułów sprzedawanych na aukcjach internetowych w serwisie A. W zaistniałych okolicznościach, pismem z dnia 3 marca 2010 r., M. Sp. z o.o. zwróciła się do Q. Sp. z o.o. z siedzibą w Poznaniu o udostępnienie danych osobowych oznaczonych osób prowadzących ww. aukcje, których przedmiotem są bonifikarty, uzasadniając, że dane osób są jej niezbędne, albowiem osoby biorące udział w ww. aukcjach w charakterze sprzedających i kupujących naruszyły postanowienia regulaminu, a wobec tego M. Sp. z o.o. zamierza podjąć czynności mające na celu – z jednej strony – pozbawienie sprzedających nienależnie uzyskanych przez nich korzyści, a z drugiej strony – odebranie bonifikart osobom, które je zakupiły. Q. Sp. z o.o. odmówiła udostępnienia żądanych danych pismem z dnia 17 marca 2010 r., wskazując, że brak jest podstaw, by przyjąć, iż doszło do popełnienia czynu zabronionego, argumentując przy tym, że udostępnienie danych może być kwalifikowane jako zachowanie bezprawnie naruszające dobra osobiste i skutkować odpowiedzialnością cywilnoprawną administratora danych.

W takiej sytuacji M. Sp. z o.o. zwróciła się do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o nakazanie Q. Sp. z o.o. udostępnienia żądanych informacji, powołując się na przepisy art. 29 ust. 2 i art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych i wskazując na potrzebę posiadania danych osobowych osób oznaczonych poprzez nazwę aukcji, numer aukcji, sprzedającego i lokalizację.

Uzasadniając wniosek, Spółka wskazała, że cel, dla realizacji którego będą przetwarzane udostępnione dane w zakresie imion, nazwisk, adresów zamieszkania i wszelkich innych adresów, jakimi dysponuje Q. Sp. z o.o., z pewnością jest celem prawnie usprawiedliwionym – za taki bowiem uznać należy zamiar egzekwowania postanowień regulaminu, do którego przestrzegania zobowiązany jest każdy uczestnik akcji promocyjnej. Przetwarzanie udostępnionych danych nie naruszy praw i wolności osoby, której przedmiotowe dane dotyczą, jako że dane te będą wykorzystane w celu zwrócenia się do osoby prowadzącej aukcję z żądaniem zaniechania oferowania bonifikarty jako przedmiotu sprzedaży lub darowizny oraz zwrotu – z powodu naruszenia zasad korzystania – karty. Żądanie udostępnienia danych odbywa się w celu egzekwowania postanowień regulaminu akcji promocyjnej, do przestrzegania których uczestnik, przystępując do akcji promocyjnej, się zobowiązał. Spółka M. wniosła ponadto o nadanie decyzji rygoru natychmiastowej wykonalności, argumentując, że marka M. należy do jednych z najdroższych i najlepiej rozpoznawalnych na świecie. Spółka konsekwentnie nie dopuszcza do nieuprawnionego wykorzystywania oznaczeń marki przez inne podmioty. Fakt rozprowadzania bonifikart przez nieuprawnione osoby i sposób ich rozprowadzania godzi w wizerunek M. oraz naraża na deprecjację oznaczenia, widniejącego na bonifikartach.

Zdaniem Generalnego Inspektora Ochrony Danych Osobowych, wniosek M. Sp. z o.o. nie zasługuje na uwzględnienie, albowiem Spółka, organizując promocję polegającą na przyznawaniu tzw. bonifikart, przewidywała, iż możliwą jest sytuacja, że osoby, którym ww. karty rabatowe przyznano, będą zamierzały je zbyć. Świadczą o tym wprost zapisy regulaminu omawianej promocji, zastrzegające niedopuszczalność obrotu bonifikartami, a zarazem przewidujące określone konsekwencje w przypadku naruszenia jego zapisów w tym zakresie (tj. obowiązek zwrotu bonifikarty). Pomimo tego, Spółka nie przedsięwzięła działań służących zabezpieczeniu jej interesów na wypadek, gdyby wydane przez nią karty rabatowe, wbrew zastrzeżeniom regulaminu promocji, stały się przedmiotem obrotu. Działania takie mogłyby przykładowo polegać na wydawaniu kart imiennych, czy na nadaniu im oznaczeń identyfikujących (np. numerów), pozwalających na ustalenie –podstawie oznaczenia karty – komu konkretnie została ona przyznana, tym samym zaś, kto spośród osób, którym wydano karty, wbrew zastrzeżeniom regulaminu promocji, wprowadza je do obrotu.

Organ nadmienił, że dostrzegalna jest sprzeczność pomiędzy założeniem, że tzw. bonifikarty są kartami rabatowymi na okaziciela, a zarazem – skoro wykluczony jest obrót nimi – mogą być wykorzystane wyłącznie przez tę osobę lub przez ten podmiot, któremu zostały przyznane. Spółka nie podjęła działań zabezpieczających, zamiast tego, wobec ustalenia, że bliżej nieokreślone osoby wprowadzają do obrotu tzw. bonifikarty, a co najmniej próbują to uczynić, wystąpiła do Q. o udostępnienie jej określonych informacji na temat tych osób.

W ocenie Generalnego Inspektora, w sprawie interes administratora danych (Spółki), wyrażający się w dążeniu do realizacji jego prawnie usprawiedliwionego celu, nie przeważa nad interesem osób, których dotyczą wnioskowane dane, w poszanowaniu ich prawa do prywatności – rozumianego jako prawo do samodzielnego decydowania o zakresie i zasięgu udostępniania i komunikowania innym osobom informacji o swoim życiu. Zdaniem organu zadośćuczynienie żądaniu Spółki wiązałoby się z nieproporcjonalną – w stosunku do interesów administratora, których on sam nie zabezpieczył w należyty sposób, choć mógł to uczynić – ingerencją w sferę prywatności osób, których dotyczą żądane informacje.

Główny Inspektor Ochrony Danych Osobowych przyjął, że podstawą prawną rozstrzygnięcia w sprawie jest art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, który stwarza prawną możliwość udostępnienia danych osobowych, jeżeli jest to niezbędne ze względu na usprawiedliwiony cel administratora danych, który to cel w rozpoznawanej sprawie Generalny Inspektor uznał za prawnie usprawiedliwiony, jednak, ważąc interesy zarówno administratora danych, jak i osób, których dane mają być udostępnione, organ ochrony danych osobowych doszedł do wniosku, że udostępnienie danych stanowić będzie w istocie ingerencję w sferę prywatności osób, których dane dotyczą. Organ ocenił bowiem, że w sprawie nie można mówić o przewadze interesów Spółki M. nad interesami osób, których dotyczą wnioskowane dane. Wyjaśnił także, że podstawą prawną decyzji nie mógł być przepis art. 29 ust. 2 ustawy o ochronie danych osobowych, gdyż Spółka M. nie wykazała, że dane osobowe, których się domaga, mają być wykorzystane w celach innych, niż włączenie do zbioru.

Decyzją z dnia [...] września 2010 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2, art. 22 i art. 23 ust. 1 ustawy o ochronie danych osobowych, utrzymał zaskarżoną decyzję w mocy, nie znajdując podstaw do uwzględnienia wniosku i przytaczając poprzednio zaprezentowane argumenty.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 16 marca 2011 r. sygn. akt II SA/Wa 2037/10, po rozpoznaniu prawy ze skargi M. Sp. z o.o. z siedzibą w Warszawie na decyzję Generalnego Inspektora Ochrony Danych Osobowych z [...] września 2010 r. nr [...] w przedmiocie odmowy uwzględnienia wniosku o udostępnienie danych osobowych, uchylił zaskarżoną decyzję oraz poprzedzającą ją decyzji z [...] lipca 2010 r. nr [...]. W uzasadnieniu Sąd wskazał, że Generalny Inspektor Ochrony Danych Osobowych nie neguje faktu, że M. Sp. z o.o., domagając się nakazania Q. Sp. z o.o. udostępnienia danych osobowych uczestników aukcji internetowych w serwisie A., którzy wystawili do sprzedaży (jako przedmiot sprzedaży bądź darmowy dodatek do przedmiotu sprzedaży) należące do M. Sp. z o.o. tzw. bonifikarty, realizuje swój prawnie usprawiedliwiony cel. Organ prawidłowo bowiem przyjmuje, że podstawą prawną rozstrzygnięcia w sprawie jest art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), który stwarza prawną możliwość udostępnienia danych osobowych, jeżeli jest to niezbędne ze względu na usprawiedliwiony cel administratora danych albo odbiorcy danych, przy jednoczesnym zastrzeżeniu udostępnienie danych nie naruszy praw i wolności osób, których dane dotyczą. Ważąc interesy skarżącej i osób, których dane miałyby jej zostać udostępnione w świetle powyższego przepisu, Generalny Inspektor uznał jednak, że udostępnienie danych stanowiłoby w istocie zbyt daleko idącą ingerencję w sferę prywatności tych osób, zwłaszcza w sytuacji, gdy Spółka M. nie przedsięwzięła odpowiednich działań służących zabezpieczeniu jej własnych interesów na wypadek gdyby wydane przez nią karty rabatowe, wbrew zastrzeżeniom regulaminu promocji stały się przedmiotem obrotu.

Cel, jaki realizuje skarżąca, wiąże się z dochodzeniem roszczeń wynikających z prowadzonej działalności gospodarczej i nie powinno budzić wątpliwości, że jest to cel usprawiedliwiony. Oczywiście samo ustalenie, że administrator danych osobowych (odbiorca danych) realizuje cel prawnie usprawiedliwiony, nie może przesądzić o dopuszczalności przetwarzania danych osobowych (udostępnienia danych) bez zgody osoby, której dane dotyczą. Konieczne jest zatem dokonanie oceny, czy jest to niezbędne dla realizacji tego celu, a co najważniejsze – dokonanie wyważenia interesów administratora danych (odbiorcy danych), zwłaszcza w aspekcie prawa do prowadzenia działalności gospodarczej, prawa dochodzenia roszczeń i interesów osoby, której dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności. Z jej art. 1 wynika, że każdy ma prawo do ochrony dotyczących go danych osobowych, a przetwarzanie tych danych, w znaczeniu, o którym mowa w art. 7 pkt 2 ustawy, dopuszczalne jest tylko ze względu na określone dobra i tylko w zakresie i trybie określonym ustawą. Realizacja prawnie usprawiedliwionego celu przez administratora danych (odbiorcę danych) w żadnym razie nie może naruszać praw i wolności osoby, której dane dotyczą. Zatem ocena ta ma służyć wyważeniu racji i interesów, z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes, aby jej dane osobowe nie były przetwarzane bez jej zgody, a z drugiej strony – administratora danych (odbiorcy danych), który ma także objęty ochroną prawną interes polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia.

Ustawa o ochronie danych osobowych służy ochronie danych osobowych i przyjąć należy, że w tym zakresie ma charakter kompleksowy. Jeśli zasadą jest, że dane osobowe mogą być przetwarzane za zgodą osoby, której dotyczą, to wszelkie wyjątki od niej muszą być interpretowane ściśle. Ustawa wprowadza wiele rozwiązań, które umożliwiają swobodne i zarazem dopuszczalne przetwarzanie danych osobowych w różnych sytuacjach. Z drugiej zaś strony, dokonując wykładni przepisów ustawy o ochronie danych osobowych, należy również wziąć pod uwagę, cele i podstawowe jej założenia, określone w art. 1 ust. 2, gdzie wskazano, iż przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich. Mając na uwadze powyższe, stosując przepisy tej ustawy, należy za każdym razem wyważać dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych, jako jeden z elementów prawa do ochrony własnej prywatności, ma swoje źródło w przepisach art. 47, art. 49, art. 50 i art. 51 Konstytucji Rzeczypospolitej Polskiej. W praktyce prawo do ochrony danych osobowych ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie.

Mówiąc o naruszeniu praw i wolności obywatelskich, należy rozważania w tym zakresie odnieść do katalogu tych praw i wolności szeroko uwzględnionych w Konstytucji RP, a mających swoje rozwinięcie w szeregu innych ustaw. Wskazać zatem trzeba, które z nich konkretnie zostaną naruszone poprzez udostępnienie danych. Takiej egzemplifikacji Główny Inspektor Ochrony Danych Osobowych nie dokonał, wskazując enigmatycznie, że udostępnienie danych naruszy prawo do prywatności tych osób. Decyzje Generalnego Inspektora Ochrony Danych Osobowych przedstawiają jednostronną ocenę faktów, które w sprawie są niesporne, co wskazuje na nieobiektywne rozpatrzenie materiału dowodowego. Podjęcie rozstrzygnięcia w sprawie wymaga dokładnego (wszechstronnego) przeanalizowania stanu faktycznego sprawy, z uwzględnieniem brzmienia art. 7 i art. 77 § 1 Kodeksu postępowania administracyjnego, pod kątem mających zastosowanie w sprawie norm prawa materialnego, w szczególności powołanego art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Skoro bowiem, jak twierdzi Główny Inspektor Ochrony Danych Osobowych skarżąca Spółka nie zabezpieczyła należycie swoich interesów, by mogła oczekiwać uwzględnienia jej wniosku przez organ, co – zdaniem Sądu – jest stwierdzeniem zbyt daleko idącym z punktu widzenia stosowania norm materialnego prawa administracyjnego, to z drugiej strony – wciąż otwartą pozostaje kwestia oceny zachowań osób, które, będąc w posiadaniu bonifikart M. Sp. z o.o., mając świadomość obowiązywania regulaminowych warunków korzystania z nich, znając zamieszczone na każdej bonifikarcie informacje, w tym informację o wyłączeniu jej z obrotu (karta nie może być przedmiotem sprzedaży), wbrew woli właściciela bonifikarty, którym niezmiennie pozostaje M. Sp. z o.o., wystawiają bonifikarty na sprzedaż, czyniąc to za pośrednictwem serwisu internetowego A., próbując tym samym de facto rozporządzić cudzą rzeczą, której wartość mierzona jest w pieniądzu (wartość produktów Spółki dostępnych na promocyjnych warunkach).

Czy w takiej sytuacji prawo do prywatności osób, których danych skarżąca Spółka się domaga, winno przeważać nad jej interesem? Czy zarzucana przez organ nienależyta staranność w zabezpieczeniu własnych interesów przez skarżącą winna być kwalifikowana w kategoriach okoliczności eliminujących ją z grona podmiotów, którym organ ochrony danych osobowych udziela stosownej ochrony? Pytania te nabierają jeszcze większego znaczenia, jeśli zważy się, że osoby, chcące zbyć bonifikarty, mają w pełni świadomość, że wystawiają na sprzedaż karty należące do M. Sp. z o.o. Stając się posiadaczem bonifikarty, osoba przyjmuje do używania cudzą rzecz i czyni to na warunkach regulaminowych. Oznacza to, że każdoczesnego posiadacza bonifikarty obowiązują te same warunki używania jej, w tym także zakaz sprzedaży bonifikarty.

Okoliczności te uszły uwadze organu przy ocenie stanu faktycznego sprawy, a mają one istotne znaczenie dla jej rozstrzygnięcia, albowiem interes skarżącej Spółki, nawet jeśli – w ocenie – nie był właściwie zabezpieczony, z pewnością nie może ustępować przed interesem osób, które, wbrew woli właściciela, próbują zbyć jego rzecz, licząc tym samym na zysk ze sprzedaży cudzej własności. W tym aspekcie rozważenia wymaga także kwestia okresu ważności oferowanych do zbycia bonifikart, jak również związana z nią okoliczność, że M. Sp. z o.o. realizowała i wciąż realizuje tego rodzaju akcje promocyjne.

Nie można przepisów ustawy o ochronie danych osobowych interpretować w ten sposób, że udostępnienie danych osobowych osoby, która oferuje do zbycia cudzą rzecz, narusza dobro tej osoby, gdyż byłoby to niczym nieuzasadnione jej uprzywilejowanie. Przyjmując do używania (do korzystania) kartę rabatową, każda z osób musi liczyć się z konsekwencjami niezachowania warunków promocyjnych, a także z tym, że obowiązek wykonania takiej umowy dotyczy jednej i drugiej strony. Ochrona dóbr jednych nie może się odbywać kosztem naruszania praw innych podmiotów, który to wniosek można pośrednio, bądź bezpośrednio wyprowadzić z wielu przepisów Konstytucji Rzeczypospolitej Polskiej (art. 2, art. 22, art. 31 ust. 3, art. 32 ust. 1, art. 83).

Dokonując ponownej analizy sprawy, Generalny Inspektor Ochrony Danych Osobowych winien uwzględnić poczynione przez Sąd uwagi. Organ zobowiązany będzie przede wszystkim do rozważenia stanu faktycznego sprawy pod kątem obowiązującego stanu prawnego oraz wydania rozstrzygnięcia z uwzględnieniem wszelkich aspektów ochrony dóbr, interesów i uprawnień odnoszących się do zainteresowanych w sprawie podmiotów.

Z tych względów, uznając skargę za uzasadnioną, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. "a" i "c" w związku z art. 135 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.), uchylił zaskarżoną decyzję oraz decyzję poprzedzającą ją decyzję z [...] lipca 2010 r. nr [...].

Główny Inspektor Ochrony Danych Osobowych wniósł od wyroku skargę kasacyjną, zaskarżając wyrok w całości.

Skargę kasacyjną oparł na zarzutach:

1) naruszenie art. 145 § 1 pkt 1 lit. a/ ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.) mające wpływ na wynik sprawy, polegające na przyjęciu, iż Generalny Inspektor Ochrony Danych Osobowych dokonał błędnej wykładni art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.),

2) naruszenie art. 145 § 1 pkt 1 lit. c/ – Prawa o postępowaniu przed sądami administracyjnymi w związku z art. 7 i art. 77 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. 2000 r. Nr 98, poz. 1071 ze zm.), mające wpływ na wynik sprawy, polegające na przyjęciu, iż Generalny Inspektor Ochrony Danych Osobowych wydając decyzję z dnia [...] września 2010 r. (znak: [...]) i poprzedzającą ją decyzję z dnia [...] lipca 2010 r. (znak: [...]) nie zebrał materiału w sposób wyczerpujący i nie rozpatrzył całego materiału dowodowego sprawy, przez co błędnie uznał, iż udostępnienie danych na rzecz Spółki naruszy prawa i wolności osób, których dane dotyczą,

3) naruszenie art. 141 § 4 w zw. z art. 153 – Prawa o postępowaniu przed sądami administracyjnymi poprzez niewskazanie Generalnemu Inspektorowi Ochrony Danych Osobowych w uzasadnieniu orzeczenia okoliczności wymagających przeprowadzenia dodatkowego postępowania dowodowego, przez co uzasadnienie nie zawiera niezbędnych i jednoznacznych wskazań co do dalszego postępowania.

Na tych podstawach wnosił o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpatrzenia Wojewódzkiemu Sądowi Administracyjnemu w Warszawie.

W odpowiedzi na skargę kasacyjną M. Sp. z o.o. wniosła o jej oddalenie i zasądzenie kosztów postępowania kasacyjnego według norm przepisanych.

Naczelny Sąd Administracyjny zważył, co następuje:

Zgodnie z art. 183 § 1 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 powołanej ustawy – Prawo o postępowaniu przed sądami administracyjnymi, przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.

Skarga kasacyjna została oparta na usprawiedliwionej podstawie naruszenia art. 145 § 1 pkt 1 lit. a/ ustawy – Prawo o postępowaniu przed sądami administracyjnymi w związku z art. 23 ust. 1 pkt 5 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.). Wykładni tego przepisu prawa organy państwa obowiązane są dokonać w zgodzie z prawem Unii Europejskiej. Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 29 stycznia 2008 r. C-275/06 przyjął "Dyrektywy 2000/31 w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym), 2001/29 w sprawie harmonizacji niektórych aspektów praw autorskich i pokrewnych [prawa autorskiego i praw pokrewnych] w społeczeństwie informacyjnym, 2004/48 w sprawie egzekwowania praw własności intelektualnej oraz 2002/58 dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) nie zobowiązują państw członkowskich do ustanowienia obowiązku przekazania danych osobowych w celu zapewnienia skutecznej ochrony praw autorskich w ramach postępowania cywilnego, w sytuacji gdy stowarzyszenie niemające celu zarobkowego grupujące producentów i wydawców nagrań muzycznych oraz opracowań audiowizualnych wniosło o nakazanie, by dostawca usług w zakresie dostępu do Internetu wskazał tożsamość i adresy określonych abonentów, w celu umożliwienia mu wytoczenia następnie przeciwko tym osobom powództw cywilnych z tytułu naruszenia praw autorskich.

Jednocześnie, jeżeli chodzi o art. 41, 42 i 47 porozumienia w sprawie handlowych aspektów praw własności intelektualnej (TRIPS), w świetle których, w miarę możliwości, powinno dokonywać się wykładni prawa wspólnotowego regulującego zagadnienia, do których porozumienie to znajduje zastosowanie, mimo że wymagają one skutecznej ochrony własności intelektualnej i instytucji prawa do środka zaskarżenia w celu jej egzekwowania, to nie zawierają przepisów, które nakazywałyby wykładnię wspomnianych dyrektyw jako zobowiązujących państwa członkowskie do ustanowienia obowiązku przekazania danych osobowych w ramach postępowania cywilnego.

Prawo wspólnotowe wymaga jednak od państw członkowskich, by przy transpozycji tych dyrektyw oparły się one na takiej wykładni tych dyrektyw, która pozwoli na zapewnienie odpowiedniej równowagi między poszczególnymi prawami podstawowymi chronionymi przez wspólnotowy porządek prawny. Ponadto przy przyjmowaniu środków mających na celu transpozycję tych dyrektyw, władze i sądy państw członkowskich są zobowiązane nie tylko dokonywać wykładni swojego prawa krajowego w sposób zgodny ze wspomnianymi dyrektywami, lecz również nie opierać się na takiej wykładni tych dyrektyw, która pozostawałby w konflikcie z wspomnianymi prawami podstawowymi lub z innymi ogólnymi zasadami prawa wspólnotowego, takimi jak zasada proporcjonalności."

Wyrok Trybunału Sprawiedliwości Unii Europejskiej ma istotne znaczenie dla wykładni art. 23 ust. 1 pkt 5 powołanej ustawy o ochronie danych osobowych. Przy wykładni tego przepisu należy też uwzględnić rozwiązanie przyjęte w ustawie z dnia 18 listopada 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. Nr 144, poz. 1204 ze zm.), która w Rozdziale 4 reguluje zasadę ochrony danych osobowych w związku ze świadczeniem usług drogą elektroniczną. Wymaga też uwzględnienia regulacja wprowadzona ustawą z 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz.U. Nr 171, poz. 1800 ze zm.). Zgodnie z art. 159 ust. 1 tej ustawy dane dotyczące użytkowników sieci telekomunikacyjnej są objęte tajemnicą telekomunikacyjną. Komentując powołany wyrok Trybunału Sprawiedliwości Unii Europejskiej E. Prejs wskazała, że "(...) art. 159 ust. 1 prawa telekomunikacyjnego stanowi, że zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści bądź danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu jest, co do zasady, zakazane, chyba że będzie to konieczne z innych powodów, przewidzianych ustawą lub przepisami odrębnymi. Przepisy takie, przykładowo zostały przewidziane w ustawie z 6 kwietnia 1990 r. o Policji. Zgodnie z art. 20c tej ustawy, dane identyfikujące abonenta oraz dane dotyczące uzyskania – lub próby uzyskania – połączenia między określonymi urządzeniami telekomunikacyjnymi, a także okoliczności i rodzaj wykonywanego połączenia, mogą być ujawnione Policji oraz przetwarzane przez Policję wyłącznie w celu zapobiegania przestępstwom lub ich wykrywania. Podmioty wykonujące działalność telekomunikacyjną są zobowiązane udostępnić dane, o których mowa w ust. 1 tego artykułu, policjantom wskazanym we wniosku organu Policji. W systemie prawa polskiego brakuje przepisu, który przyznawałby takie uprawnienia osobie, której prawa autorskie zostały naruszone i która żąda od dostawcy usług internetowych udostępnienia danych osobowych w celu skorzystania ze środka prawnego, mającego na celu ochronę tych praw w ramach postępowania cywilnego. Podmioty żądające ochrony praw autorskich występują zatem na drogę postępowania karnego tylko w celu, aby pozyskać dane osobowe naruszającego ich prawa.

Mimo że w orzeczeniu w sprawie Promusicae, ETS przyznaje państwom członkowskim prawo do przyjęcia przepisów krajowych, które będą zobowiązywały dostawcę usług internetowych do udostępniania gromadzonych przez niego danych osobowych osobom, którym przysługują prawa autorskie w celu zapewnienia skutecznej ochrony tych praw w ramach postępowania cywilnego, ustawodawca polski – z uwagi na zmianę stanu prawnego – z uprawnienia tego, w tym kształcie, nie będzie już mógł skorzystać. Dyrektywa 2006/24/WE z 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej bądź udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE, przewiduje możliwość udostępniania danych zgromadzonych przy świadczeniu usług dostępu do Internetu jedynie w szczególnych przypadkach, oraz na rzecz właściwych organów krajowych, nie zaś bezpośrednio na rzecz podmiotów prywatnych".

Artykuł 23 ust. 5 ustawy o ochronie danych osobowych wymaga wykładni z uwzględnieniem dyrektyw, co daje dopiero podstawę do wyprowadzenia w sprawie równowagi między poszczególnymi prawami podstawowymi chronionymi przez przepisy prawa w tym Unii Europejskiej oraz polski porządek prawny. Przyjęcie na podstawie ogólnego celu wskazanego we wniosku, że celem M. Sp. z o.o. jest pozbawienie sprzedających nienależnie uzyskanych korzyści oraz odebranie bonifikat osobom, które je zakupiły, nie uzasadnia przyjęcia oceny, że organ nie rozważył równowagi między podstawowym prawem do ochrony danych, a realizacją usprawiedliwionego celu. Sąd obowiązany był przeprowadzić wykładnię tych dwóch wartości i ocenić czy w zaskarżonej decyzji w świetle prawa Unii Europejskiej nie wyważono w pełni prawidłowo tych wartości, nie dając pierwszeństwa interesom M. Sp. z o.o.

Tym samym zasadny jest zarzut naruszenia art. 145 § 1 pkt 1 lit. c/, art. 141, art. 153 ustawy – Prawo o postępowaniu przed sądami administracyjnymi. Brak systemowej wykładni art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych powoduje, że Sąd nie odkodował hipotetycznego stanu faktycznego, a to powoduje, że nie miał podstaw do oceny stanu faktycznego przyjętego w podstawie faktycznej rozstrzygnięcia w zaskarżonej decyzji. Brak wykładni z uwzględnieniem przepisów Unii Europejskiej powoduje, że nie została zawarta prawidłowa ocena prawna, co ma kapitalne znaczenie prawne przy ponownym rozpoznawaniu sprawy.

W tym stanie rzeczy, skoro skarga kasacyjna została oparta na usprawiedliwionych podstawach, na mocy art. 185 § 1 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, Naczelny Sąd Administracyjny orzekł jak w sentencji.