Decyzja
ZSPR.440.985.2019
Na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.), art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) oraz art. 6 ust. 1 lit f) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana P. P., zam. w O., reprezentowanego przez pełnomocnika adwokata Sz. F., o nakazanie O. z siedzibą w P., dotyczącej udostępnienia danych osobowych w zakresie imion, nazwisk oraz adresów użytkowników portalu www.[...].pl, którzy korzystając z adresów IP […] oraz […] zamieścili komentarze na ww. stronie internetowej pod artykułami: „[…]” oraz „[…]”, Prezes Urzędu Ochrony Danych Osobowych
nakazuje O. z siedzibą w P. udostępnienie danych osobowych w zakresie imion, nazwisk oraz adresów użytkowników portalu www.[...].pl, którzy korzystając z adresów IP […] oraz […] zamieścili komentarze na ww. stronie internetowej pod artykułami: „[…]”oraz „[…]”.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie Urząd Ochrony Danych Osobowych) wpłynęła skarga Pana P.P zam. w O. (zwanego dalej: „Skarżącym”), reprezentowanego przez pełnomocnika adwokata Sz. F., o nakazanie O. z siedzibą w P. przy ul. (zwaną dalej: „Spółką”), dotycząca udostępnienia danych osobowych w zakresie imion, nazwisk oraz adresów użytkowników portalu www.[…].pl, którzy korzystając z adresów IP […] oraz […] zamieścili komentarze na ww. stronie internetowej pod artykułami: „[…]” oraz „[…]”. Pełnomocnik Skarżącego podniósł, że, cyt.: „(…)”. Wskazane komentarze zamieszczone zostały na portalu www.[...].pl z kont o numerach IP […] oraz […] (…)”. W związku z powyższym Skarżący wniósł o wydanie decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem poprzez udostępnienie ww. danych w zakresie imion, nazwisk oraz adresów użytkowników portalu www.[…].pl, którzy korzystając z adresów IP […] oraz […] zamieścili komentarze na ww. stronie internetowej pod artykułami: „[…]” oraz „[…]”. W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
1. Do Spółki w dniu […] sierpnia 2016 r. wpłynęło pismo pełnomocnika Skarżącego o udostępnienie informacji dotyczących danych osobowych użytkowników urządzeń, do których przypisane są numery IP […] oraz […]. Numery te podane były w niepoprawnym formacie.
2. W dniu […] września 2016 r. Spółka odmówiła udostępnienia danych osobowych, wskazując, że dane osobowe, o które wnioskował pełnomocnik Skarżącego, objęte są tajemnicą telekomunikacyjną.
3. Spółka przetwarza dane osobowe użytkowników adresów IP […] oraz […]. Spółka dysponuje danymi osobowymi użytkowników ww. adresów IP w zakresie imion, nazwisk oraz adresu zamieszkania.
W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem wejścia w życie ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r. poz. 1000 ze zm.), tj. 25 maja 2018 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej: Kpa. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne. W dniu 25 maja 2018 r. rozpoczęto stosowanie w krajowym porządku prawnym przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej: rozporządzeniem 2016/679, którego przepisy regulują kwestie związane z przetwarzaniem danych osobowych osób fizycznych. Od tego dnia Prezes Urzędu zobowiązany jest stosować przepisy ww. rozporządzenia 2016/679 do wszystkich postępowań administracyjnych, które prowadzi. Prezes Urzędu wydając rozstrzygnięcie w danej sprawie uwzględnia bowiem stan prawny obowiązujący w chwili wydawania tego rozstrzygnięcia.
W czasie, gdy miało miejsce zdarzenie opisane przez Skarżącego, obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 zm.; zwana dalej również „ustawą”). Ww. ustawa określała zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ustawy. Zgodnie z art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych było dopuszczalne, gdy było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Ww. przesłankę przetwarzania danych osobowych zgodnie z prawem (stanowiącą odpowiednik art. 23 ust. 1 pkt 5 ustawy) określa obecnie art. 6 ust. 1 lit f) rozporządzenia 2016/679. Zgodnie z tym przepisem przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Jak wykazało przeprowadzone postępowanie administracyjne, Skarżący ma podstawy do uzyskania danych osobowych użytkowników portalu www.[...].pl, którzy korzystając z adresów IP […] oraz […] zamieścili wpisy będące przedmiotem skargi.
W przedmiotowej sprawie Spółka potwierdziła, że przetwarza imiona, nazwiska oraz adresy użytkowników ww. adresów IP. Ponadto Spółka udostępniła te dane osobowe organowi nadzoru, jakim jest Prezes Urzędu Ochrony Danych Osobowych.
Stosownie do brzmienia przepisu art. 18 ust. 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2019 poz. 123 t.j.) , usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań. Powyższy przepis istotnie kształtuje po stronie usługodawcy świadczącego usługi drogą elektroniczną obowiązek udostępnienia danych osobowych osób korzystających z tych usług organom państwa, na potrzeby prowadzonych przez nie postępowań. Tym samym art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną stanowi przepis prawa, o którym mowa w art. 23 ust. 1 pkt 2 ustawy (obecnie art. 6 ust. 1 lit. c) rozporządzenia 2016/679), nakładający wprost na określone podmioty określone prawa i obowiązki w zakresie przetwarzania danych osobowych usługobiorców usług świadczonych drogą elektroniczną. Organy państwa powołujące się na potrzeby prowadzonych postępowań, są zatem uprawnione do pozyskania niezbędnych dla tych celów danych osobowych osób korzystających z usług świadczonych drogą elektroniczną, a przetwarzanych przez podmioty świadczące te usługi – legitymują się bowiem przesłanką zezwalającą na takie ich przetwarzanie określoną w art. 23 ust. 1 pkt 2 ustawy (obecnie art. 6 lit. c) rozporządzenia 2016/679). Istnienie omawianego art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną w żadnym razie nie wyklucza jednak przetwarzania danych osobowych użytkowników usług świadczonych drogą elektroniczną w sytuacji, gdy spełnione zostaną inne przesłanki przetwarzania tych danych określone przepisami ustawy, samodzielne i niezależne od przesłanki z art. 23 ust. 1 pkt 2 ustawy (obecnie art. 6 lit. c) rozporządzenia 2016/679) – np. przesłanka z art. 23 ust. 1 pkt 5 ustawy (obecnie odpowiednikiem ww. przesłanki jest art. 6 ust. 1 lit. f) rozporządzenia 2016/679).
Odnosząc powyższe do okoliczności rozpatrywanej sprawy wskazać należy, że w ocenie Prezesa Urzędu Ochrony Danych Osobowych wniosek Skarżącego o udostępnienie danych osobowych w zakresie imion, nazwisk oraz adresów użytkowników portalu www.[...].pl, którzy korzystając z adresów IP […] oraz […] zamieścili wpisy będące przedmiotem skargi, znajdował uzasadnienie prawne w art. 23 ust. 1 pkt 5 ustawy, a obecnie ma uzasadnienie w art. 6 lit. f rozporządzenia 2016/679, i jako taki powinien zostać przez podmiot uwzględniony. Skarżący bowiem uzasadnił wniosek zamiarem wystąpienia przeciwko autorom wpisów na drogę sądową i niezbędnością żądanych danych z punktu widzenia możliwości dochodzenia wobec tej osoby roszczeń na drodze sądowej o ochronę dóbr osobistych. Zgodnie z treścią art. 24 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2018 r., poz. 1025) ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny (§1). Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych (§2).
Zindywidualizowanie autorów kwestionowanych wpisów stanowi niezbędny warunek dochodzenia przeciwko nim roszczenia związanego z zarzucaną bezprawną ingerencją w sferę dóbr osobistych Skarżącego. Przepisy normujące procedurę cywilną wymagają bowiem, aby każde pismo procesowe zawierało oznaczenie sądu, do którego jest skierowane, imię i nazwisko lub nazwę stron, ich przedstawicieli ustawowych i pełnomocników, oznaczenie rodzaju pisma, osnowę wniosku lub oświadczenia oraz dowody na poparcie przytoczonych okoliczności, podpis strony albo jej przedstawiciela ustawowego lub pełnomocnika, wymienienie załączników, a gdy pismo procesowe jest pierwszym pismem w sprawie, powinno ponadto zawierać oznaczenie miejsca zamieszkania lub siedziby stron, ich przedstawicieli ustawowych i pełnomocników oraz przedmiotu sporu, pisma zaś dalsze - sygnaturę akt, co wynika z art. 126 § 1 i 2 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2018 r., poz. 1360).
Nie budzi wątpliwości niezbędność dysponowania przez Skarżącego informacjami indywidualizującymi osoby, przeciwko którym zamierza on skierować powództwo w związku z zarzutem nieuprawnionej ingerencji w sferę jej dóbr osobistych. W sytuacji, gdy Skarżący nie dysponuje zasadniczo żadnymi informacjami o osobach, które korzystając z adresów IP […] oraz […] zamieściły wpisy będące przedmiotem skargi, wyłącznie poza tymi, które wynikały z ich opublikowania (tj. – oprócz daty, godziny, treści publikacji), którymi posłużyły się te osoby w celu ukrycia swojej tożsamości, zasadnym jest przyjęcie, że podejmowanie przez Skarżącego działania służą ustaleniu tożsamości tych osób, w celu pociągnięcia ich do odpowiedzialności cywilnej w związku z treścią publikacji i mieszczą się w pojęciu prawnie usprawiedliwionego celu. Oczywistym jest, że pozyskanie (przetwarzanie) danych osobowych w ww. celu w każdym przypadku zostanie uznane przez osoby, których dane te dotyczą, za sprzeczne z ich interesem. Okoliczność ta – zwłaszcza mając na uwadze prawne gwarancje obrony przed roszczeniami strony przeciwnej – nie świadczy jednak o naruszeniu ich praw i wolności. Przyjęcie przeciwnego stanowiska skutkowałoby bezzasadną ochroną tego, kto mógł dopuścić się bezprawnej ingerencji w sferę prawnie chronionych interesów innej osoby (zwłaszcza przekonany o anonimowości, jaką gwarantuje mu sieć Internet) przed ewentualną odpowiedzialnością za jego działania.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych Spółka bezpodstawnie odmówiła Skarżącemu udostępnienia wnioskowanych danych w zakresie imion, nazwisk oraz adresów autorów przedmiotowych wpisów, uniemożliwiając mu tym samym podjęcie dalszych działań służących identyfikacji tych osób, w celu wszczęcia postępowania sądowego. Dla potwierdzenia słuszności prezentowanego w niniejszej sprawie stanowiska raz jeszcze powołać warto wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 lutego 2010 r. (sygn. akt II SA/Wa 1598/09), w którym wskazano w szczególności cyt.: „(...)prawo do swobodnej, anonimowej wypowiedzi, nie może chronić osób, które naruszają prawa innych osób, od odpowiedzialności za wypowiedziane słowa. W sieci nikt nie jest i nie może być anonimowy. Wprawdzie ustalenie tożsamości danej osoby może być utrudnione, jednak z uwagi na to, że każdy komputer zostawia w Internecie ślad – adres IP, za pomocą którego można ustalić komputer, z którego dokonano wpisu, stwarza to możliwość pośredniego ustalenia tożsamości osoby, która dokonała tego wpisu (…) uczestnik postępowania posiada informacje o dacie logowania, pseudonimach osób dokonujących tej czynności i treści dokonanych wpisów. W ocenie Sądu, powyższe informacje, zestawione z numerami IP umożliwiają jednoznaczne określenie tożsamości osób, które naruszyły dobra osobiste uczestnika postępowania. (...) żądane przez uczestnika postępowania adresy IP stanowią w niniejszej sprawie dane osobowe w rozumieniu art. 6 ust. 1 ustawy o ochronie danych osobowych, a nakazanie ich udostępnienia stanowi realizację dyspozycji ust. 2 tego przepisu, tzn. stworzy możliwość zidentyfikowania osoby, bądź osób, których tożsamość można określić pośrednio. (...) sam adres IP komputera nie wystarcza do wskazania osoby, która z niego korzystała, ale w zestawieniu z innymi informacjami pozwala przypuszczać, że jej tożsamość można ustalić. W ocenie Sądu, identyfikacja tej osoby nie musi być związana z nadmiernymi kosztami, czasem lub działaniami (…)”.
Ponadto, Naczelny Sąd Administracyjny w wyroku z dnia 21 sierpnia 2013 r. podkreślił, że „(...) osoba dokonująca tych naruszeń musi mieć świadomość, że nie może nadużywać swoich praw naruszając prawa innych. Nie ma to nic wspólnego z ograniczaniem zasady wolności słowa. Wolność wyrażania swoich poglądów związana jest z ponoszeniem za poglądy te odpowiedzialności. Każdy kto wypowiada się publicznie, poza Internetem, ma świadomość co do ewentualnych konsekwencji wypowiedzi, które naruszają podstawowe, ustawowo chronione prawa innych osób. Nieuzasadnione niczym jest natomiast twierdzenie, że ktoś wypowiadający się anonimowo, w sposób naruszający dobra innych podmiotów ma podlegać szczególnej ochronie i to jego dane osobowe są dobrem, które ustawodawca miał zamiar chronić w pierwszej kolejności”.
Reasumując, Prezes Urzędu Ochrony Danych Osobowych stoi na stanowisku, że Spółka bezpodstawnie odmówiła Skarżącemu udostępnienia wnioskowanych danych w zakresie imion, nazwisk oraz adresów autorów przedmiotowych wpisów, uniemożliwiając tym samym Skarżącemu podjęcie dalszych działań, które pozwolą na skuteczne zainicjowanie przeciwko tym osobom postępowań sądowych.
Stosownie do art. 18 ust. 1 pkt 2 ustawy w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje udostępnienie wnioskowanych danych osobowych. Mając na uwadze okoliczności przedmiotowej sprawy, Prezes Urzędu Ochrony Danych Osobowych, upoważniony jest do nakazania Spółce udostępnienia na rzecz Skarżącego danych osobowych autorów kwestionowanych wpisów w zakresie, w jakim podmiot tymi danymi dysponuje - tj. informacji o imionach, nazwiskach oraz adresach zamieszkania tych osób.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.