Decyzja
DKE.523.29.2021
Na podstawie art. 104 § 1 oraz art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.) w zw. z art. 12 pkt 2, art. 18 ust. 1 pkt 2) oraz art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) oraz z art. 57 ust. 1 lit. a i f w zw. z art. 58 ust. 2 lit. c Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 1 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana G. W., reprezentowanego przez adwokata M. M. z Kancelarii Adwokackiej w W., na administratora serwisu [...] – Pana M. S., Prezes Urzędu Ochrony Danych Osobowych
1. nakazuje Panu M. S., udostępnienie na rzecz Pana G. W., reprezentowanego przez adwokata M. M. z Kancelarii Adwokackiej w W., danych osobowych autora artykułu zamieszczonego na stronie internetowej pod adresem [...] w zakresie: daty powstania artykułu oraz adresu IP komputera.
2. w pozostałym zakresie umarza postępowanie.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie Urząd Ochrony Danych Osobowych) wpłynęła skarga Pana G. W. (zwanego dalej: „Skarżącym”), reprezentowanego przez adwokata M. M. z Kancelarii Adwokackiej w W., na administratora strony internetowej [...] – Pana M. S. zwanego dalej ,,administratorem”, dotycząca nieudostępnienia Skarżącemu danych osobowych autora obraźliwego artykułu zamieszczonego w dniu [...] stycznia 2017 r. na stronie internetowej pod adresem zatytułowanego: [...], w zakresie daty powstania tego artykułu, adresu IP komputera oraz portu, z którego ów artykuł został utworzony.
Pełnomocnik Skarżącego w treści swojego wniosku, doprecyzowanym pismem z [...] października 2017 r. wniósł o wydanie decyzji nakazującej administratorowi strony internetowej [...] udostępnienie danych osobowych autora artykułu zamieszczonego na stronie internetowej pod adresem w zakresie daty powstania artykułu, adresu IP komputera oraz portu, z którego ów artykuł został utworzony. Pełnomocnik podkreślił, że wskutek stworzenia artykułu i jego udostępnienia na portalu Facebook Skarżący, jako osoba zajmująca stanowisko publiczne Prezesa Zarządu [...] Spółdzielni Mieszkaniowej, został narażony na utratę zaufania, godności, czci, wizerunku oraz dobrego imienia. Z tego powodu Skarżący zdecydował się skierować sprawę na drogę postępowania cywilnego i karnego. Aktualnie przed Sądem Okręgowym w G. toczy się postępowanie o ochronę dóbr osobistych i zapłatę prowadzone pod sygnaturą [...] przeciwko osobie, która opublikowała obraźliwy artykuł na portalu Facebook. Pełnomocnik doprecyzowując uzasadnienie swojego żądania wskazał, że dane autora artykułu w zakresie numeru IP komputera oraz portu, z którego artykuł został utworzony są niezbędne do skutecznego wytoczenia powództwa zarówno cywilnego jak i karnego. Wyjaśnił, iż cyt. ,,aby złożyć pozew bądź prywatny akt oskarżenia przeciwko autorowi artykułu, niezbędnym jest ustalenie danych osoby, która taki artykuł napisała. Nie można tego uczynić przeciwko anonimowej osobie, która miałaby być następczo ustalona w toku procesu cywilnego lub karnego”. Dodał, że postępowanie inicjowane jest skargą przeciwko konkretnej osobie, co wymaga uprzedniego ustalenia sprawcy, a zabezpieczenie ewentualnych dowodów przez organ ścigania może nastąpić dopiero po wniesieniu skargi, a więc dopiero po ustaleniu tożsamości autora artykułu. Analogicznie sprawa odnosi się także to postępowania cywilnego, gdzie wymogiem formalnym pozwu jest określenie osoby pozwanej.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- W dniu [...] stycznia 2017 r. bez zgody i wiedzy Skarżącego na stronie [...] został stworzony artykuł godzący jego zdaniem w jego dobra osobiste oraz wypełniający znamiona czynu z art. 212 ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. z 2020 r., poz. 1444 ze zm.), zwaną dalej ,,k.k.”, zatytułowany: [...]. Artykuł ten został opublikowany na portalu Facebook na profilu należącym do [...]. Informacje zawarte w stworzonym artykule były nieprawdziwe, a zdarzenie tam wskazane było fikcyjne.
- Z regulaminu korzystania z serwisu [...] wynika, że serwis ten jest tzw. generatorem newsów służącym do tworzenia zmyślonych historii prasowych, których głównymi bohaterami możemy być my sami lub nasi znajomi. Odbywa się to poprzez podstawienie danych pod puste miejsca w szablonie artykułu. Regulamin zabrania korzystania z serwisu w złej wierze jak również zabrania udostępniania artykułu o drugie osobie bez jej zgody. Dane osobowe zapisywane są w linkach artykułów, a wiadomości generują się dynamicznie pobierając zakodowane dane zapisane w adresie (dowód: regulamin korzystania z serwisu [...]). W polityce prywatności serwisu wskazano natomiast, że korzystając z formularza każdy użytkownik może dobrowolnie przekazać stronie dane osobowe obejmujące imię, nazwisko oraz wiek w latach, w celu stworzenia fikcyjnego artykułu wykorzystującego te informacje. Dane te nie są zapisywane na serwerze, a jedynie przetwarzane w celu zakodowania ich w adresie internetowym artykułu. Użytkownik jest jedynym dysponentem tego adresu i w jego gestii leży prywatność tych danych. Administrator nie gromadzi przekazanych przez formularz danych. Jednakże, występują one w zakodowanej formie jako część adresu internetowego, a te będą zapisywane w logach serwerowych oraz w wykorzystywanych przez stronę narzędziach do zliczania ilości odwiedzin. Logi serwera obejmują m.in. adres IP i port użytkownika, datę oraz czas momentu rejestracji jak również informacje o przeglądarce internetowej i systemie operacyjnym użytkownika. Dane zapisane w logach serwera nie są kojarzone z konkretnymi osobami korzystającymi ze Strony i nie są wykorzystywane przez administratora w celu identyfikacji użytkowników. Logi serwera mają charakter pomocniczy, służący do administrowania stroną, a ich zawartość nie jest ujawniana nikomu poza osobami upoważnionymi do administrowania serwerem. Kontakt z administratorem możliwy jest pod adresem [...] (dowód: polityka prywatności serwisu [...]).
- Pełnomocnik Skarżącego w wiadomości e-mail z [...] kwietnia 2017 r. skierowanej na adres e-mail administratora, tj. [...], zwrócił się o udzielnie informacji czy możliwe jest ustalenie numeru IP komputera bądź zidentyfikowanie osoby, która stworzyła artykuł za pomocą strony [...] (dowód: e-mail pełnomocnika z [...] kwietnia 2017 r.).
- W odpowiedzi administrator wskazał, że możliwe jest ustalenie adresu IP komputera, portu oraz daty powstania takiego artykułu, jednakże aby mógł udostępnić ww. dane potrzebuje decyzji Generalnego Inspektora Ochrony Danych Osobowych w tym zakresie oraz pełnego adresu tego artykułu (dowód: e-mail M. S. z [...] kwietnia 2017 r.).
- W wiadomości e-mail z [...] maja 2017 r. pełnomocnik Skarżącego wskazał, że zależy mu na udostępnieniu ww. danych osobowych w związku z czym zostanie wszczęte postępowanie zmierzające do wydania stosownej decyzji przez Generalnego Inspektora Ochrony Danych Osobowych (dowód: e-mail pełnomocnika z [...] kwietnia 2017 r.).
- W wyjaśnieniach z dnia [...] lutego 2020 r. Pan M. S. oświadczył, że jest administratorem serwisu [...], który przetwarza w locie dane zawarte w adresie artykułu bez zapisywania tychże danych na serwerze. Zapisywane dane to logi serwerowe, które zawierają datę oraz adres IP każdej osoby tworzącej artykuł. Administrator oświadczył również, że jest w posiadaniu daty powstania przedmiotowego artykułu oraz adresu IP komputera, natomiast nie posiada danych dotyczących portu protokołu z którego artykuł został utworzony. Dla artykułu o którym mowa w skardze nie został zarejestrowany port protokołu. Administrator przekazał, że poinformował pełnomocnika Skarżącego o tym, że aby móc udostępnić ww. dane potrzebuje decyzji Generalnego Inspektora Ochrony Danych Osobowych zwalniającej go z obowiązku ochrony danych osobowych, za które wobec niejasnej wykładni prawnej, można uznawać adres IP komputera. Dodał że po otrzymaniu od Skarżącego adresu do obraźliwego artykułu dane zostały zabezpieczone (dowód: wyjaśnienia z [...] lutego 2020 r.).
W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem 25 maja 2018 r., wraz z wejściem w życic ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.). Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).
W dniu 25 maja 2018 r. rozpoczęto stosowanie w krajowym porządku prawnym przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. I oraz Dz. Urz. UE 1, 127 z 2.3.05.2018, str. 2), zwane dalej: rozporządzeniem 2016/679, którego przepisy regulują kwestie związane z przetwarzaniem danych osobowych osób fizycznych. Od tego dnia Prezes Urzędu zobowiązany jest stosować przepisy ww. rozporządzenia 2016/679 do wszystkich postępowań administracyjnych, które prowadzi. Prezes Urzędu wydając rozstrzygnięcie w danej sprawie uwzględnia bowiem stan prawny obowiązujący w chwili wydawania tego rozstrzygnięcia.
W czasie, gdy miało miejsce zdarzenie opisane przez Skarżącego, obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwana dalej ustawą. Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ustawy. Zgodnie z art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych było dopuszczalne, gdy było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Obecnie przesłanką legalizującą przetwarzanie danych osobowych jest art. 6 ust. 1 rozporządzenia 2016/679. Zgodnie z art. 6 ust. 1 lit f ww. rozporządzenia przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Jak wykazało przeprowadzone postępowanie administracyjne, Skarżący ma podstawy do uzyskania danych w zakresie daty powstawania artykułu zamieszczonego na stronie internetowej pod adresem [...] oraz adresu IP komputera, z którego ów artykuł został utworzony.
Pełnomocnik uzasadnił swoją skargę zamiarem wystąpienia przeciwko autorowi artykułu na drogę sądową i niezbędnością żądanych danych z punktu widzenia możliwości dochodzenia wobec tej osoby roszczeń na drodze sądowej o zniesławienie. W myśl art. 212 § 1 ustawy z dnia 6 czerwca 1997 r. k.k. – kto pomawia inną osobę, grupę osób, instytucję, osobę prawną lub jednostkę organizacyjną niemającą osobowości prawnej o takie postępowanie lub właściwości, które mogą poniżyć ją w opinii publicznej lub narazić na utratę zaufania potrzebnego dla danego stanowiska, zawodu lub rodzaju działalności, podlega grzywnie albo karze ograniczenia wolności. Zgodnie z § 2 powołanego wyżej art. 212 k.k., jeżeli sprawca dopuszcza się czynu określonego w § 1 za pomocą środków masowego komunikowania, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Zindywidualizowanie autora kwestionowanego wpisu stanowi niezbędny warunek dochodzenia przeciwko niemu prywatnego aktu oskarżenia. Zgodnie bowiem z art. 332 § 2 pkt 1 ustawy z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego (Dz.U. 2021 poz. 534 ze zm.) zwana dalej „kpk”: „Akt oskarżenia powinien zawierać: 1) imię i nazwisko oskarżonego, inne dane o jego osobie, dane o zastosowaniu środka zapobiegawczego oraz zabezpieczenia majątkowego”. Ponadto pełnomocnik Skarżącego wskazał, że ewentualną regulacją na gruncie, której Skarżący poszukuje ochrony prawnej oraz dochodzi swych roszczeń jest ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. 2020 poz. 1740 ze zm.) zwana dalej „k.c.”. Ponadto Skarżący podjął już kroki prawne zmierzające do realizacji swoich praw bowiem złożył do Sądu Okręgowego w G. pozew o ochronę dóbr osobistych i zapłatę przeciwko osobie, która opublikowała obraźliwy artykuł na portalu Facebook, tj. Panu A. M. (sygn. [...]). Stosownie bowiem do treści art. 23 k.c. niezależnie od ochrony przewidzianej w innych przepisach, dobra osobiste człowieka, w tym również prawo do prywatności, pozostają pod ochroną prawa cywilnego. Przepis z art. 24 k.c. gwarantuje osobie, której dobro osobiste zostało zagrożone, uprawnienie do wystąpienia z żądaniem zaniechania działania naruszającego dobro osobiste, a w razie już dokonanego naruszenia żądania, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków. Jednocześnie w myśl art. 448 k.c., w razie naruszenia dobra osobistego sąd może przyznać temu, czyje dobro zostało naruszone odpowiednią sumę tytułem zadośćuczynienia za doznaną krzywdę lub na jego żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez niego cel społeczny, niezależnie od innych środków potrzebnych do usunięcia skutków naruszenia. Ponadto zgodnie z art. 187 § 1 ustawy z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego (Dz.U. 2020 poz. 1740 ze zm.), zwanej dalej ,,k.p.c.”, pozew powinien czynić zadość warunkom pisma procesowego. Zgodnie zaś z art. 126 § 1 k.p.c. każde pismo procesowe powinno więc zawierać m.in. imiona i nazwiska lub nazwy stron, ich przedstawicieli ustawowych i pełnomocników. Gdy pismo procesowe jest pierwszym pismem w sprawie, powinno zawierać oznaczenie m.in. miejsca zamieszkania lub siedziby i adresy stron albo, w przypadku gdy strona jest przedsiębiorcą wpisanym do Centralnej Ewidencji i Informacji o Działalności Gospodarczej - adres do korespondencji wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, czy też miejsca zamieszkania lub siedziby i adresów przedstawicieli ustawowych i pełnomocników stron (art. 126 § 2).
Odnosząc się do wątpliwości administratora danych dotyczącego tego czy adres IP stanowi daną osobową stwierdzić należy, że zgodnie z art. 4 pkt. 1 rozporządzenia 2016/679 "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Informacje, które wiążą się z określoną osobą – choćby pośrednio – niosą pewien komunikat o niej. Dlatego też informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej wprost, jak i taka, która odnosi się bezpośrednio do przedmiotów czy urządzeń, ale poprzez możliwość powiązania tych przedmiotów czy urządzeń z określoną osobą pośrednio stanowi informację także o niej samej. Adres IP (Internet Protocol Address) jest unikatowym numerem przyporządkowanym urządzeniom sieci komputerowych. Jest zatem informacją dotyczącą komputera a nie konkretnej osoby fizycznej, zwłaszcza wtedy gdy możliwe jest współużyczenie jednego adresu IP przez wielu użytkowników w ramach sieci lokalnej. Adres IP nie zawsze wobec tego może być traktowany jako dane osobowe w rozumieniu rozporządzenia 2016/679. Jednak tam gdzie adres IP jest na dłuższy okres czasu lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową, jest to bowiem informacja umożliwiająca identyfikację konkretnej osoby fizycznej [wyrok Naczelnego Sądu Administracyjnego z dnia 19 maja 2011 r., sygn. akt I OSK 1079/10].
Mając na uwadze powyższe, nie budzi wątpliwości niezbędność dysponowania przez Skarżącego informacjami indywidualizującymi osobę, przeciwko której zamierza skierować prywatny akt oskarżenia. W sytuacji, gdy Skarżący nie dysponuje zasadniczo żadnymi informacjami o osobie, która zamieściła na stronie [...] artykuł uznany przez Skarżącego za zniesławiający go, wyłącznie poza tymi, które wynikały z ich opublikowania (tj. oprócz daty, godziny, treści publikacji), którymi posłużyła się ta osoba w celu ukrycia swojej tożsamości, zasadnym jest przyjęcie, że podejmowanie przez Skarżącego działania służą ustaleniu tożsamości tej osoby, w celu pociągnięcia jej do odpowiedzialności karnej w związku z treścią publikacji i mieszczą się w pojęciu prawnie usprawiedliwionego celu. Oczywistym jest, że pozyskanie (przetwarzanie) danych osobowych w ww. celu w każdym przypadku zostanie uznane przez osobę, której dane te dotyczą, za sprzeczne z jej interesem. Okoliczność ta – zwłaszcza mając na uwadze prawne gwarancje obrony przed roszczeniami strony przeciwnej – nie świadczy jednak o naruszeniu jej praw i wolności. Przyjęcie przeciwnego stanowiska skutkowałoby bezzasadną ochroną tego, kto mógł dopuścić się bezprawnej ingerencji w sferę prawnie chronionych interesów innej osoby (zwłaszcza przekonany o anonimowości, jaką gwarantuje mu sieć Internet) przed ewentualną odpowiedzialnością za jego działania.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych administrator bezpodstawnie odmówił Skarżącemu udostępnienia wnioskowanych danych do czasu wydania decyzji administracyjnej w tej sprawie. Uniemożliwił Skarżącemu tym samym dochodzenie swoich praw przed sądem. Dla potwierdzenia słuszności prezentowanego w niniejszej sprawie stanowiska raz jeszcze powołać warto wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 lutego 2010 r. (sygn. akt II SA/Wa 1598/09), w którym wskazano w szczególności cyt.: „(...) prawo do swobodnej, anonimowej wypowiedzi, nie może chronić osób, które naruszają prawa innych osób, od odpowiedzialności za wypowiedziane słowa. W sieci nikt nie jest i nie może być anonimowy. Wprawdzie ustalenie tożsamości danej osoby może być utrudnione, jednak z uwagi na to, że każdy komputer zostawia w Internecie ślad – adres IP, za pomocą którego można ustalić komputer, z którego dokonano wpisu, stwarza to możliwość pośredniego ustalenia tożsamości osoby, która dokonała tego wpisu (…) uczestnik postępowania posiada informacje o dacie logowania, pseudonimach osób dokonujących tej czynności i treści dokonanych wpisów. W ocenie Sądu, powyższe informacje, zestawione z numerami IP umożliwiają jednoznaczne określenie tożsamości osób, które naruszyły dobra osobiste uczestnika postępowania. (...) żądane przez uczestnika postępowania adresy IP stanowią w niniejszej sprawie dane osobowe w rozumieniu art. 6 ust. 1 ustawy o ochronie danych osobowych, a nakazanie ich udostępnienia stanowi realizację dyspozycji ust. 2 tego przepisu, tzn. stworzy możliwość zidentyfikowania osoby, bądź osób, których tożsamość można określić pośrednio. (...) sam adres IP komputera nie wystarcza do wskazania osoby, która z niego korzystała, ale w zestawieniu z innymi informacjami pozwala przypuszczać, że jej tożsamość można ustalić. W ocenie Sądu, identyfikacja tej osoby nie musi być związana z nadmiernymi kosztami, czasem lub działaniami (…)”. Ponadto, Naczelny Sąd Administracyjny w wyroku z dnia 21 sierpnia 2013 r. podkreślił, że „(...) osoba dokonująca tych naruszeń musi mieć świadomość, że nie może nadużywać swoich praw naruszając prawa innych. Nie ma to nic wspólnego z ograniczaniem zasady wolności słowa. Wolność wyrażania swoich poglądów związana jest z ponoszeniem za poglądy te odpowiedzialności. Każdy kto wypowiada się publicznie, poza Internetem, ma świadomość co do ewentualnych konsekwencji wypowiedzi, które naruszają podstawowe, ustawowo chronione prawa innych osób. Nieuzasadnione niczym jest natomiast twierdzenie, że ktoś wypowiadający się anonimowo, w sposób naruszający dobra innych podmiotów ma podlegać szczególnej ochronie i to jego dane osobowe są dobrem, które ustawodawca miał zamiar chronić w pierwszej kolejności”.
Okoliczności sprawy przemawiają za tym, że udostępnienie na rzecz Skarżącego danych osobowych osoby tworzącej artykuł jest niezbędne w celu skierowania do sądu prywatnego aktu oskarżenia w trybie art. 212 k.k. jak również pozwu cywilnego. W tym celu Skarżący podjął szereg czynności, w tym zwracał się do administratora o udostępnienie danych osobowych ww. osoby, które nie doprowadziły jednak do spełnienia żądań Skarżącego.
Reasumując, Prezes Urzędu Ochrony Danych Osobowych stoi na stanowisku, że administrator bezpodstawnie odmówił Skarżącemu udostępnienia numeru IP oraz daty publikacji autora artykułu, uniemożliwiając tym samym Skarżącemu podjęcie dalszych działań, które pozwoliłyby na skuteczne zainicjowanie przeciwko tej osobie postępowania sądowego.
W przedmiotowej sprawie administrator potwierdził, że dysponuje ww. danymi. Ponadto udostępnił te dane osobowe organowi nadzorczemu, jakim jest Prezes Urzędu Ochrony Danych Osobowych.
Odnosząc powyższe do okoliczności rozpatrywanej sprawy wskazać należy, że w ocenie Prezesa Urzędu Ochrony Danych Osobowych wniosek Skarżącego o udostępnienie danych osobowych użytkownika w zakresie daty utworzenia przez niego artykułu, adresu IP jego komputera oraz portu, z którego ów artykuł został utworzony, znajdował uzasadnienie prawne w art. 23 ust. 1 pkt 5 ustawy, a obecnie ma uzasadnienie w art. 6 lit. f rozporządzenia 2016/679, i jako taki powinien zostać przez administratora uwzględniony już na etapie jego złożenia przez Skarżącego.
Stosownie do art. 18 ust. 1 pkt 2 ustawy w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje udostępnienie wnioskowanych danych osobowych. Mając na uwadze okoliczności przedmiotowej sprawy, Prezes Urzędu Ochrony Danych Osobowych, upoważniony jest do nakazania administratorowi udostępnienia na rzecz Skarżącego danych osobowych autora kwestionowanego artykułu w zakresie, w jakim podmiot tymi danymi dysponuje – tj. informacji o numerze IP urządzenia, z którego osoba utworzyła kwestionowany artykuł oraz daty powstania artykułu.
Odnosząc się natomiast do żądania Skarżącego udostępnienia mu przez administratora danych osobowych autora artykułu w zakresie portu protokołu, z którego ów artykuł został utworzony wskazać należy, iż ww. podmiot nie przetwarza tych danych, zatem nakazanie przez Prezesa Urzędu Ochrony Danych Osobowych ich udostępnienia należy uznać za bezprzedmiotowe. Stosownie do postanowień art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. 2021 poz. 735), zwanej dalej K.p.a., gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji wydaje decyzję o umorzeniu postępowania. Przedmiot postępowania wiąże się ze stosowaniem przez organ publiczny przepisów materialnego prawa administracyjnego. W doktrynie wskazuje się, że cyt.: „bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 K.p.a., oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty. Przesłanka umorzenia postępowania może istnieć jeszcze przed wszczęciem postępowania, co zostanie ujawnione dopiero w toczącym się postępowaniu, a może ona powstać także w czasie trwania postępowania, a więc w sprawie już zawisłej przed organem administracyjnym”. [B. Adamiak, J. Borkowski, Kodeks postępowania administracyjnego. Komentarz, C.II. Beck, Warszawa 2006, s. 4891. Ustalenie przez organ publiczny zaistnienia przesłanki, o której mowa w art. 105 § 1 K.p.a., zobowiązuje go, jak podkreśla się w doktrynie i orzecznictwie, do umorzenia postępowania, nie ma bowiem w sytuacji zaistnienia tej przesłanki podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Strona ma prawo do zrzeczenia się prawa do złożenia wniosku o ponowne rozpatrzenie sprawy. Zrzeczenie się prawa do złożenia wniosku o ponowne rozpatrzenie sprawy powoduje, że decyzja staje się ostateczna i prawomocna. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.