Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) oraz art. 6 ust. 1 lit f) i art. 58 ust. 2 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana M. W., o nakazanie A. S.A., udostępnienie danych osobowych obejmujących numer IP komputera użytkownika forum internetowego pod nazwą „[…]”, który […] lutego 2016 r. umieścił na portalu […], w komentarzach do artykułu M. W. „[…]” wpis naruszający dobra osobiste Pana M. W., Prezes Urzędu Ochrony Danych Osobowych
nakazuje A. S.A. udostępnienie Panu M. W. danych osobowych obejmujących numer IP komputera użytkownika forum internetowego pod nazwą „[…]”, który […] lutego 2016 r. umieścił na portalu […], w komentarzach do artykułu M. W. „[…]” wpis naruszający jego dobra osobiste.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie Urząd Ochrony Danych Osobowych) wpłynęła skarga Pana M. W. […] (zwanego dalej: „Skarżącym”) o nakazanie A. S.A. (dalej: „Spółka”) udostępnienia danych osobowych w zakresie adresu IP komputera użytkownika forum internetowego pod nazwą „[…]”, w tym również w miarę możliwości imienia i nazwiska, adresu i adresów e-mail tego użytkownika, który […] lutego 2016 r. umieścił na portalu […] pod nickiem „[…]” wpis pod artykułem M. W. „[…]”, o treści „[…]”. Wpis ten jak wskazał Pan M. W., narusza jego dobra osobiste i ma on uzasadniony interes prawny do wystąpienia na drogę prawną wobec internauty, który podaje nieprawdziwe informacje na jego temat.
Pan M. W. do skutecznego wniesienia pozwu cywilnego potrzebuje danych osobowych osoby naruszającej jego dobra osobiste. W związku z powyższym, wnosi o udostępnienie numeru IP komputera, w tym również w miarę możliwości imienia i nazwiska, adresu i adresów e-mail osoby, która […] lutego 2016 r. dokonała na portalu […] pod nickiem „[…]” ww. wpisu.
W związku z powyższym Skarżący wniósł o wydanie decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem poprzez udostępnienie adresu IP komputera, w tym również w miarę możliwości imienia i nazwiska, adresu i adresów e-mail osoby, która […] lutego 2016 r. na portalu „[…]” pod nickiem „[…]” dokonała wpisu pod artykułem M. W. „[…]” naruszającego dobra osobiste Pana M. W.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
1. Pismem z […] czerwca 2016 r. Skarżący wniósł do Spółki o udostępnienie adresu IP komputera, w tym również w miarę możliwości imienia i nazwiska, adresu i adresów e-mail osoby, która […] lutego 2016 r. na portalu […] pod Nickiem „[…]” dokonała wpisu pod artykułem M. W. „[…]” o treści „[…]”.
2. Pismem z […] czerwca 2016 r. Spółka odmówiła Skarżącemu udostępnienia danych osobowych, wskazując m.in., że wniosek o udostępnienie danych osobowych, aby mógł być uwzględniony musi być wiarygodny i uzasadniony. Gdyby w omawianej sytuacji dane takie zostały udostępnione, to istotnie naruszyłoby to prawa i wolności internauty, w szczególności prawa do prywatności, spokoju, miru domowego i poczucia rodzinnego bezpieczeństwa. Żądanie danych internauty stanowi nieproporcjonalne naruszenie praw i wolności internauty, który korzysta w sposób usprawiedliwiony ze swojej wolności wypowiedzi, np. w celu krytyki. Ponadto, z adresem IP komputera związana jest tajemnica telekomunikacyjna z której zwolnić może jedynie prokurator lub sąd prowadzący postępowanie;
3. Pismem z […] listopada 2017 r. Spółka poinformowała Prezesa Urzędu Ochrony Danych Osobowych, że dotychczasowa praktyka wskazuje, że skarżący winien najpierw skierować pozew cywilny a dopiero gdy zostanie formalnie wezwany przez sąd do wskazania adresu pozwanego (uzupełnienia braków pozwu) może zwrócić się do administratora danych o udostępnienie takiego adresu, składając w uzasadnieniu wniosku wezwanie pochodzące od właściwego sądu.
4. Pismem z […] listopada 2017 r. Spółka poinformowała także, że przetwarza dane osobowe użytkownika pod nazwą „[…]” w zakresie jego adresu IP. Przetwarzanie to odbywa się w ramach komentowania artykułów prasowych przez osoby niezalogowane i w ramach usług świadczonych na rzecz użytkowników serwisów internetowych A. S.A. Użytkownik ww. wpisu był niezalogowany, przedstawił się jako „[…]” i dokonał wpisu […] lutego 2016 r. o godz. 13:25.06. W dniu […] marca 2016 r. o godz. 12:23 moderator serwisu usunął ten wpis.
W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem wejścia w życie ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2019 r. poz. 1781), tj. 25 maja 2018 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2019 r. poz. 1781) zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej: Kpa. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne.
W dniu 25 maja 2018 r. rozpoczęto stosowanie w krajowym porządku prawnym przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej: rozporządzeniem 2016/679, którego przepisy regulują kwestie związane z przetwarzaniem danych osobowych osób fizycznych. Od tego dnia Prezes Urzędu zobowiązany jest stosować przepisy ww. rozporządzenia 2016/679 do wszystkich postępowań administracyjnych, które prowadzi. Prezes Urzędu wydając rozstrzygnięcie w danej sprawie uwzględnia bowiem stan prawny obowiązujący w chwili wydawania tego rozstrzygnięcia.
W czasie, gdy miało miejsce zdarzenie opisane przez Skarżącego, obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781); zwana dalej również „ustawą”). Ww. ustawa określała zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ustawy. Zgodnie z art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych było dopuszczalne, gdy było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Ww. przesłankę przetwarzania danych osobowych zgodnie z prawem (stanowiącą odpowiednik art. 23 ust. 1 pkt 5 ustawy) określa obecnie art. 6 ust. 1 lit f) rozporządzenia 2016/679. Zgodnie z tym przepisem przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Jak wykazało przeprowadzone postępowanie administracyjne, Skarżący ma podstawy do uzyskania danych osobowych użytkownika pod nazwą „[…]”, który zamieścił wpis będący przedmiotem skargi, w zakresie jego adresu IP.
W przedmiotowej sprawie Spółka potwierdziła, że przetwarza dane osobowe użytkownika pod nazwą „[…]” w zakresie jego adresu IP.
Stosownie do brzmienia przepisu art. 18 ust. 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2019 r. poz. 123), usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań. Powyższy przepis istotnie kształtuje po stronie usługodawcy świadczącego usługi drogą elektroniczną obowiązek udostępnienia danych osobowych osób korzystających z tych usług organom państwa, na potrzeby prowadzonych przez nie postępowań. Tym samym art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną stanowi przepis prawa, o którym mowa w art. 23 ust. 1 pkt 2 ustawy (obecnie art. 6 ust. 1 lit. c) rozporządzenia 2016/679), nakładający wprost na określone podmioty określone prawa i obowiązki w zakresie przetwarzania danych osobowych usługobiorców usług świadczonych drogą elektroniczną.
Organy państwa powołujące się na potrzeby prowadzonych postępowań, są zatem uprawnione do pozyskania niezbędnych dla tych celów danych osobowych osób korzystających z usług świadczonych drogą elektroniczną, a przetwarzanych przez podmioty świadczące te usługi – legitymują się bowiem przesłanką zezwalającą na takie ich przetwarzanie określoną w art. 23 ust. 1 pkt 2 ustawy (obecnie art. 6 lit. c) rozporządzenia 2016/679). Istnienie omawianego art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną w żadnym razie nie wyklucza jednak przetwarzania danych osobowych użytkowników usług świadczonych drogą elektroniczną w sytuacji, gdy spełnione zostaną inne przesłanki przetwarzania tych danych określone przepisami ustawy, samodzielne i niezależne od przesłanki z art. 23 ust. 1 pkt 2 ustawy (obecnie art. 6 lit. c) rozporządzenia 2016/679) – np. przesłanka z art. 23 ust. 1 pkt 5 ustawy (obecnie odpowiednikiem ww. przesłanki jest art. 6 ust. 1 lit. f) rozporządzenia 2016/679).
Odnosząc powyższe do okoliczności rozpatrywanej sprawy wskazać należy, że w ocenie Prezesa Urzędu Ochrony Danych Osobowych wniosek Skarżącego o udostępnienie adresu IP komputera, w tym również w miarę możliwości imienia i nazwiska, adresu i adresów e-mail użytkownika, który […] lutego 2016 r. na portalu […] pod nickiem „[…]” dokonał wpisu pod artykułem M. W. „[…]” będący przedmiotem skargi, znajdował uzasadnienie prawne w art. 23 ust. 1 pkt 5 ustawy, a obecnie ma uzasadnienie w art. 6 lit. f rozporządzenia 2016/679, i jako taki powinien zostać przez podmiot uwzględniony. Skarżący bowiem uzasadnił wniosek zamiarem wystąpienia przeciwko autorom wpisów na drogę sądową i niezbędnością żądanych danych z punktu widzenia możliwości dochodzenia wobec tej osoby roszczeń na drodze sądowej o ochronę dóbr osobistych. Zgodnie z treścią art. 24 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2018 r., poz. 1025) ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny (§1). Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych (§2).
Zindywidualizowanie autora kwestionowanego wpisu stanowi niezbędny warunek dochodzenia przeciwko nim roszczenia związanego z zarzucaną bezprawną ingerencją w sferę dóbr osobistych Skarżącego. Przepisy normujące procedurę cywilną wymagają bowiem, aby każde pismo procesowe zawierało oznaczenie sądu, do którego jest skierowane, imię i nazwisko lub nazwę stron, ich przedstawicieli ustawowych i pełnomocników, oznaczenie rodzaju pisma, osnowę wniosku lub oświadczenia oraz dowody na poparcie przytoczonych okoliczności, podpis strony albo jej przedstawiciela ustawowego lub pełnomocnika, wymienienie załączników, a gdy pismo procesowe jest pierwszym pismem w sprawie, powinno ponadto zawierać oznaczenie miejsca zamieszkania lub siedziby stron, ich przedstawicieli ustawowych i pełnomocników oraz przedmiotu sporu, pisma zaś dalsze – sygnaturę akt, co wynika z art. 126 § 1 i 2 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2018 r., poz. 1360).
Nie budzi wątpliwości niezbędność dysponowania przez Skarżącego informacjami indywidualizującymi osobę, przeciwko której zamierza on skierować powództwo w związku z zarzutem nieuprawnionej ingerencji w sferę jej dóbr osobistych. W sytuacji, gdy Skarżący nie dysponuje zasadniczo żadnymi informacjami o osobie, która korzystając z adresu IP zamieściła wpis będący przedmiotem skargi, wyłącznie poza tymi, które wynikały z ich opublikowania (tj. – oprócz daty, godziny, treści publikacji), którymi posłużyła się ta osoba w celu ukrycia swojej tożsamości, zasadnym jest przyjęcie, że podejmowanie przez Skarżącego działania służą ustaleniu tożsamości tych osób, w celu pociągnięcia ich do odpowiedzialności cywilnej w związku z treścią publikacji i mieszczą się w pojęciu prawnie usprawiedliwionego celu. Oczywistym jest, że pozyskanie (przetwarzanie) danych osobowych w ww. celu w każdym przypadku zostanie uznane przez osobę, której dane te dotyczą, za sprzeczne z ich interesem. Okoliczność ta – zwłaszcza mając na uwadze prawne gwarancje obrony przed roszczeniami strony przeciwnej – nie świadczy jednak o naruszeniu ich praw i wolności. Przyjęcie przeciwnego stanowiska skutkowałoby bezzasadną ochroną tego, kto mógł dopuścić się bezprawnej ingerencji w sferę prawnie chronionych interesów innej osoby (zwłaszcza przekonany o anonimowości, jaką gwarantuje mu sieć Internet) przed ewentualną odpowiedzialnością za jego działania.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych Spółka bezpodstawnie odmówiła Skarżącemu udostępnienia wnioskowanych danych w zakresie adresu IP autora przedmiotowych wpisów, uniemożliwiając mu tym samym podjęcie dalszych działań służących identyfikacji tej osoby, w celu wszczęcia postępowania sądowego. Dla potwierdzenia słuszności prezentowanego w niniejszej sprawie stanowiska powołać warto wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 lutego 2010 r. (sygn. akt II SA/Wa 1598/09), w którym wskazano w szczególności cyt.: „(…) prawo do swobodnej, anonimowej wypowiedzi, nie może chronić osób, które naruszają prawa innych osób, od odpowiedzialności za wypowiedziane słowa. W sieci nikt nie jest i nie może być anonimowy. Wprawdzie ustalenie tożsamości danej osoby może być utrudnione, jednak z uwagi na to, że każdy komputer zostawia w Internecie ślad – adres IP, za pomocą którego można ustalić komputer, z którego dokonano wpisu, stwarza to możliwość pośredniego ustalenia tożsamości osoby, która dokonała tego wpisu (…) uczestnik postępowania posiada informacje o dacie logowania, pseudonimach osób dokonujących tej czynności i treści dokonanych wpisów. W ocenie Sądu, powyższe informacje, zestawione z numerami IP umożliwiają jednoznaczne określenie tożsamości osób, które naruszyły dobra osobiste uczestnika postępowania. (…) żądane przez uczestnika postępowania adresy IP stanowią w niniejszej sprawie dane osobowe w rozumieniu art. 6 ust. 1 ustawy o ochronie danych osobowych, a nakazanie ich udostępnienia stanowi realizację dyspozycji ust. 2 tego przepisu, tzn. stworzy możliwość zidentyfikowania osoby, bądź osób, których tożsamość można określić pośrednio. (…) sam adres IP komputera nie wystarcza do wskazania osoby, która z niego korzystała, ale w zestawieniu z innymi informacjami pozwala przypuszczać, że jej tożsamość można ustalić. W ocenie Sądu, identyfikacja tej osoby nie musi być związana z nadmiernymi kosztami, czasem lub działaniami (…)”.
Ponadto, Naczelny Sąd Administracyjny w wyroku z dnia 21 sierpnia 2013 r. (sygn. akt I OSK 1666/12) podkreślił, że „(…) osoba dokonująca tych naruszeń musi mieć świadomość, że nie może nadużywać swoich praw naruszając prawa innych. Nie ma to nic wspólnego z ograniczaniem zasady wolności słowa. Wolność wyrażania swoich poglądów związana jest z ponoszeniem za poglądy te odpowiedzialności. Każdy kto wypowiada się publicznie, poza Internetem, ma świadomość co do ewentualnych konsekwencji wypowiedzi, które naruszają podstawowe, ustawowo chronione prawa innych osób. Nieuzasadnione niczym jest natomiast twierdzenie, że ktoś wypowiadający się anonimowo, w sposób naruszający dobra innych podmiotów ma podlegać szczególnej ochronie i to jego dane osobowe są dobrem, które ustawodawca miał zamiar chronić w pierwszej kolejności”.
Reasumując, Prezes Urzędu Ochrony Danych Osobowych stoi na stanowisku, że Spółka bezpodstawnie odmówiła Skarżącemu udostępnienia wnioskowanych danych, uniemożliwiając tym samym Skarżącemu podjęcie dalszych działań, które pozwolą na skuteczne zainicjowanie przeciwko tej osobie postępowania sądowego.
Stosownie do art. 18 ust. 1 pkt 2 ustawy w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje udostępnienie wnioskowanych danych osobowych. Mając na uwadze okoliczności przedmiotowej sprawy, Prezes Urzędu Ochrony Danych Osobowych, upoważniony jest do nakazania Spółce udostępnienia na rzecz Skarżącego danych osobowych autorów kwestionowanych wpisów w zakresie, w jakim podmiot tymi danymi dysponuje – tj. danych osobowych użytkownika pod nazwą „[…]” w zakresie jego adresu IP.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.