Decyzja
ZKE.440.95.2019
Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2020, poz. 256), art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r., poz. 1781), art. 12, art. 22 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm. oraz z 2018 r. poz. 138) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana G. L., na nieudostępnienie danych osobowych przez C. S.A., Prezes Urzędu Ochrony Danych Osobowych
umarza postępowanie.
UZASADNIENIE
Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana G. L., (zwanego dalej: Skarżącym), na nieudostępnienie danych osobowych przez C. S.A. (zwany dalej: Spółką).
Skarżący wniósł o nakazanie Spółce udostępnienia danych osobowych użytkownika ip, który w ocenie Skarżącego naruszył jego dobra osobiste publikując obraźliwy wpis na jego temat na stronie internetowej [...] w zakresie imienia, nazwiska oraz danych adresowych. W dalszej części wniosku Skarżący uzasadnił, że dane są mu niezbędne do złożenia powództwa cywilnego oraz zawiadomienia o podejrzeniu przestępstwa z art. 212 i 216 Kodeksu Karnego.
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) ustalił, co następuje.
1. Skarżący wnioskiem z dnia […] lutego 2018 roku wystąpił do Spółki o udostępnienie danych osobowych abonenta korzystającego z adresu IP: […] w zakresie: imienia i nazwiska oraz danych adresowych (kodu pocztowego, miasta, ulicy i numeru domu/mieszkania/lokalu) oraz numeru PESEL, który w dniu […] stycznia 2018 roku o godzinie: […] umieścił obraźliwy wpis na jego temat na forum strony internetowej [...]. Skarżący uzasadnił swoją prośbę zamiarem wniesienia do sądu pozwu o ochronę dóbr osobistych. Ponadto wskazał, że zamierza złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa do organów ścigania z art. 212 Kodeksu Karnego i art. 216 Kodeksu karnego.
2. Pismem z dnia […] lutego 2018 roku Spółka odmówiła udostępnienia wnioskowanych danych Skarżącemu powołując się na art. 159 ust. 1 pkt.1 Prawa telekomunikacyjnego (Dz. U. z 2019 r. poz. 2460), zwana dalej: Prawem telekomunikacyjnym, zgodnie z którym dane osobowe abonenta korzystającego z adresu IP: […] objęte są tajemnicą telekomunikacyjną. Ponadto w ww. piśmie wskazał, że z art. 159 ust. 2 Prawa telekomunikacyjnego wynika ogólny zakaz przetwarzania danych objętych tajemnicą telekomunikacyjną, w tym ich udostępniania, od którego wyjątki przewiduje art. 159 ust. 4 Prawa telekomunikacyjnego. Zgodnie z tym przepisem zakazane jest przetwarzanie danych objętych tajemnicą telekomunikacyjną, chyba że zostaną ujawnione postanowieniem sądu wydanym w postępowaniu karnym, postanowieniem prokuratora lub na podstawie odrębnych przepisów.
3. Z wyjaśnień Spółki wynika również, że nie przetwarza ona obecnie danych związanych z połączeniem w dacie […] stycznia 2018 roku. Spółka w piśmie powołała się na art. 180 a ust. 1 pkt.1 Prawa telekomunikacyjnego zgodnie z którym „operator publicznej sieci telekomunikacyjnej oraz dostawca publicznie dostępnych usług telekomunikacyjnych są obowiązani na własny koszt: 1) zatrzymywać i przechowywać dane, o których mowa w art. 180 c, generowane w sieci telekomunikacyjnej lub przez nich przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi”.
4. Spółka jednocześnie wyjaśniła, że przedmiotowy adres IP jest tzw. adresem IP z NAT, co oznacza, że do jednoznacznego ustalenia użytkownika końcowego takiego adresu niezbędne są informacje w zakresie portu źródłowego, których Spółka nie posiada.
W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 r. poz. 1781), zwanej dalej „u.o.d.o.”.
W myśl art. 160 ust. 1-3 ustawy, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020, poz. 256), zwanej dalej „k.p.a”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.
Uwzględniając powyższe stwierdzić należy, że niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zwanej dalej: „ustawą z 1997 roku” (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający w przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i nie zakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).
W wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 Naczelny Sąd Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Na wstępie należy zauważyć, że czasie, gdy miało miejsce zdarzenie opisane przez Skarżących, obowiązywała ustawa z 1997 roku. Ustawa wymagała, aby każde przetwarzanie (w tym udostępnianie) danych odbywało się na podstawie prawnej. Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ust. 1 ustawy z 1997 roku (odpowiednio art. 6 ust.1 Rozporządzenia 2016/679). Zgodnie wyżej wymienionym przepisem przetwarzanie danych osobowych jest zgodne z prawem wówczas, gdy administrator danych spełnia jeden z warunków wymienionych w tym artykule, tj. gdy:
- osoba, której dane dotyczą, wyraziła na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (odpowiednio art. 6 ust.1 lit. a Rozporządzenia 2016/679),
- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (odpowiednio art. 6 ust.1lit. c Rozporządzenia 2016/679),
- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (odpowiednio art. 6 ust.1 lit. b Rozporządzenia 2016/679),
- jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (odpowiednio art. 6 ust.1 lit. e Rozporządzenia 2016/679),
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (odpowiednio art. 6 ust.1 lit. f Rozporządzenia 2016/679).
Należy dodać, że przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 ust. 2 ustawy z 1997 roku, w tym do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 4 pkt 2 Rozporządzenia 2016/679, w tym w szczególności do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.
W przedmiotowej sprawie ocenie podano fakt czy operator telekomunikacyjny zasadnie odmówił podania danych osobowych swojego abonenta odwołując się do art. 159 Prawa telekomunikacyjnego. Zgodnie z regułą wyrażoną w art. 5 „ustawy z 1997 roku” zastosowanie znajdują przepisy dające dalej idącą ochronę danych osobowych. Przepis art. 159 Prawa telekomunikacyjnego jest przepisem szczególnym w stosunku do ogólnej normy zawartej w art. 23 ust.1 ustawy z 1997 roku, która zezwalała na udostępnienie danych osobowych w przypadku uwiarygodnienia potrzeby posiadania danych przez Skarżącego. Warto przytoczyć w tym miejscu tezę zawartą w wyroku WSA w Warszawie z dnia 7 października 2011 roku, II SA/Wa 364/11, LEX nr 950577 „Wnioskodawcy uzasadnili swoją prośbę, zamiarem wniesienia do sądu pozwu o ochronę dóbr osobistych. Zgodnie z art. 187 w zw. z art. 126 § 2 kpc pozew powinien wskazywać między innymi miejsce zamieszkania pozwanych osób fizycznych. Jednak w ocenie Sądu do wiarygodnego uzasadnienia potrzeby posiadania danych osobowych abonenta o przyznanym IP [...] nie wystarczy sam hipotetyczny zamiar wytoczenia przeciwko niemu powództwa cywilnego”. Reasumując udostępnienie danych osobowych użytkownika ip, o które wnioskował Skarżący jest niedopuszczalne ze względu na kwalifikację tych danych jako tajemnica telekomunikacyjna. Wskazane wyżej przepisy Prawa telekomunikacyjnego wykluczają bowiem stosowanie art. 23 ust. 1 na zasadzie „lex specialis derogat legi generali”.
Odnosząc się do żądania Skarżącego nakazania Spółce udostępnienia danych osobowych użytkownika końcowego należy wskazać, że wniosek nie znajdował uzasadnienia prawnego w art. 23 ust. 1 ust. 5 ustawy, a obecnie art. 6 lit. f rozporządzenia 2016/679 i nie mógł być uwzględniony przez Spółkę. Ponadto z wyjaśnień Spółki wynika, że adres IP użytkownika podany przez Skarżącego we wniosku jest tzw. adresem IP z NAT, co oznacza, że do jednoznacznego określenia tożsamości osoby, która naruszyła jego dobra osobiste konieczne są także informacje w zakresie portu źródłowego. NAT jest to w rozwinięciu „Network Address Translation”, czyli konwersja adresów sieciowych pozwala wielu urządzeniom, najczęściej połączonym ze sobą za pomocą sieci lokalnej, na korzystanie z jednego adresu widocznego w Internecie. Skarżący nie podał we wniosku informacji dotyczących portu źródłowego stąd ustalenie danych osobowych użytkownika końcowego było niemożliwe.
Jednocześnie należy wskazać, że zgodnie z art. 180 a ust. 1 pkt.1 Prawa telekomunikacyjnego „operator publicznej sieci telekomunikacyjnej oraz dostawca publicznie dostępnych usług telekomunikacyjnych są obowiązani na własny koszt: 1) zatrzymywać i przechowywać dane, o których mowa w art. 180 c, generowane w sieci telekomunikacyjnej lub przez nich przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi”. Spółka nie przetwarza obecnie danych osobowych użytkownika IP o udostępnienie, których wnosił Skarżący, a zatem prowadzenie postępowania wobec tego podmiotu jest bezprzedmiotowe. Stosownie do postanowień art. 105 ust.1 k.p.a, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. Bezprzedmiotowość postępowania oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty (B. Adamiak, J. Borkowski „Kodeks postępowania administracyjnego. Komentarz” 7 wydanieWydawnictwo C.H. Beck, Warszawa 2005 r., str. 485). Takie samo stanowisko zajął Wojewódzki Sąd Administracyjny w Krakowie w wyroku z dnia 27 lutego 2008 r., sygn. akt III SA/Kr 762/2007): „Postępowanie staje się bezprzedmiotowe, gdy brak któregoś z elementów stosunku materialnoprawnego, co powoduje, że nie można załatwić sprawy przez rozstrzygnięcie co do istoty”.
Ustalenie przez organ publiczny istnienia przesłanki, o której mowa w art. 105 § 1 k.p.a zobowiązuje go, jak podkreśla się w doktrynie i orzecznictwie, do umorzenia postępowania, nie ma bowiem wówczas podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.