Ktoś napisał w sieci anonimowo komentarz, który może naruszać Twoje dobra osobiste, a usługodawca odmówił udostępnienia posiadanych informacji o osobie dokonującej takiego wpisu?

W takiej sytuacji osoba fizyczna zwróciła się do Prezesa Urzędu Ochrony Danych Osobowych o nakazanie administratorowi spełnienia swojego żądania wynikającego z praw jej przysługujących na podstawie RODO (art. 58 ust. 2 lit. c RODO).
Postępowanie przed organem nadzorczym zaczęło się od:
skargi Pana M. W. […] (zwanego dalej: „Skarżącym”) o nakazanie A. S.A. (dalej: „Spółka”) udostępnienia danych osobowych w zakresie adresu IP komputera użytkownika forum internetowego pod nazwą „[…]”, w tym również w miarę możliwości imienia i nazwiska, adresu i adresów e-mail tego użytkownika, który […] lutego 2016 r. umieścił na portalu […] pod nickiem „[…]” wpis pod artykułem M. W. „[…]”, o treści „[…]”. Wpis ten jak wskazał Pan M. W., narusza jego dobra osobiste i ma on uzasadniony interes prawny do wystąpienia na drogę prawną wobec internauty, który podaje nieprawdziwe informacje na jego temat.
później Skarżący wskazał, że:
Pan M. W. do skutecznego wniesienia pozwu cywilnego potrzebuje danych osobowych osoby naruszającej jego dobra osobiste. W związku z powyższym, wnosi o udostępnienie numeru IP komputera, w tym również w miarę możliwości imienia i nazwiska, adresu i adresów e-mail osoby, która […] lutego 2016 r. dokonała na portalu […] pod nickiem „[…]” ww. wpisu. W związku z powyższym Skarżący wniósł o wydanie decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem poprzez udostępnienie adresu IP komputera, w tym również w miarę możliwości imienia i nazwiska, adresu i adresów e-mail osoby, która […] lutego 2016 r. na portalu „[…]” pod nickiem „[…]” dokonała wpisu pod artykułem M. W. „[…]” naruszającego dobra osobiste Pana M. W.
W takim stanie faktycznym organ nadzorczy stwierdził:
W czasie, gdy miało miejsce zdarzenie opisane przez Skarżącego, obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781); zwana dalej również „ustawą”). Ww. ustawa określała zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ustawy. Zgodnie z art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych było dopuszczalne, gdy było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Ww. przesłankę przetwarzania danych osobowych zgodnie z prawem (stanowiącą odpowiednik art. 23 ust. 1 pkt 5 ustawy) określa obecnie art. 6 ust. 1 lit f) rozporządzenia 2016/679. Zgodnie z tym przepisem przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Jak wykazało przeprowadzone postępowanie administracyjne, Skarżący ma podstawy do uzyskania danych osobowych użytkownika pod nazwą „[…]”, który zamieścił wpis będący przedmiotem skargi, w zakresie jego adresu IP.
Warto tutaj podkreślić, że organ nadzorczy w omawianej decyzji administracyjnej odniósł się także do wymagań art. 18 ust. 6 UŚUDE:
Stosownie do brzmienia przepisu art. 18 ust. 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2019 r. poz. 123), usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań. Powyższy przepis istotnie kształtuje po stronie usługodawcy świadczącego usługi drogą elektroniczną obowiązek udostępnienia danych osobowych osób korzystających z tych usług organom państwa, na potrzeby prowadzonych przez nie postępowań. Tym samym art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną stanowi przepis prawa, o którym mowa w art. 23 ust. 1 pkt 2 ustawy (obecnie art. 6 ust. 1 lit. c) rozporządzenia 2016/679), nakładający wprost na określone podmioty określone prawa i obowiązki w zakresie przetwarzania danych osobowych usługobiorców usług świadczonych drogą elektroniczną.
I przechodząc do meritum decyzji – Prezes UODO stwierdził, że:
Odnosząc powyższe do okoliczności rozpatrywanej sprawy wskazać należy, że w ocenie Prezesa Urzędu Ochrony Danych Osobowych wniosek Skarżącego o udostępnienie adresu IP komputera, w tym również w miarę możliwości imienia i nazwiska, adresu i adresów e-mail użytkownika, który […] lutego 2016 r. na portalu […] pod nickiem „[…]” dokonał wpisu pod artykułem M. W. „[…]” będący przedmiotem skargi, znajdował uzasadnienie prawne w art. 23 ust. 1 pkt 5 ustawy, a obecnie ma uzasadnienie w art. 6 lit. f rozporządzenia 2016/679, i jako taki powinien zostać przez podmiot uwzględniony. Skarżący bowiem uzasadnił wniosek zamiarem wystąpienia przeciwko autorom wpisów na drogę sądową i niezbędnością żądanych danych z punktu widzenia możliwości dochodzenia wobec tej osoby roszczeń na drodze sądowej o ochronę dóbr osobistych. Zgodnie z treścią art. 24 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2018 r., poz. 1025) ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie.
Czy takie stanowisko zostanie potwierdzone przez WSA? Obecnie wiemy, że w podobnym stanie prawnym WSA w Warszawie w grudniu 2020 r. oddalił skargę kasacyjną dotyczącą umorzenia przez Prezesa UODO postępowania administracyjnego: 
Sąd wskazał w wyroku, że:
Z przepisów RODO nie wynikają żadne uprawnienia osobom trzecim, czyli innym niż te, których danych osobowych dotyczy ochrona. W szczególności art. 15 RODO przyznaje prawo dostępu do danych osobowych wyłącznie tej osobie, której danych dotyczą. Takie ukształtowanie omawianych przepisów pozostaje w zgodzie z art. 8 ust. 1 Karty Praw Podstawowych Unii Europejskiej, oraz z art.16 ust.1 Traktatu o funkcjonowaniu Unii Europejskiej. Ochrona danych osobowych stanowi bowiem jedno z podstawowych praw.
oraz
W szczególności przepisy RODO nie dają uprawnień informacyjnych podmiotom, które zamierzają wytaczać powództwa osobom fizycznym, których dane osobowe objęte są ochroną. Mało tego, przepisy analizowanej regulacji nie dają takich uprawnień także organowi nadzoru. Prezes UODO nie może więc żądać od administratora danych osobowych ich ujawnienia osobie trzeciej, na potrzeby ewentualnego postępowania sądowego.
Wbrew twierdzeniom strony skarżącej takiego uprawnienia nie sposób też wywieść z art. 6 ust.1 pkt. f RODO. Ten przepis stanowiłby dla skarżącego podstawę prawną do przetwarzania konkretnych danych osobowych w sytuacji, gdyby skarżący był już w posiadaniu tych danych. Powyższa norma nie daje jednak skarżącemu uprawnienia do pozyskania takich danych osobowych bezpośrednio, czy też za pośrednictwem Prezesa UODO.
a na koniec Sąd wskazuję na kluczowe zagadnienie:
Na marginesie wyjaśnić także należało, iż uprawnienie jakiego dotyczyło żądanie wnioskodawcy, nie przysługiwało Prezesowi UODO także na podstawie przepisów ustawy z 10 maja 2018r. o ochronie danych osobowych (Dz. U. z 2019r. poz. 1781).
Powyższe stanowisko wynika zapewne także z orzecznictwa TSUE. W sprawie C-13/16 (Rigas):

Trybunał wskazał, że:
Artykuł 7 lit. f) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że nie nakłada on obowiązku przekazania danych osobowych osobie trzeciej, aby umożliwić jej dochodzenie odszkodowania przed sądem cywilnym za szkodę wyrządzoną przez osobę objętą ochroną tych danych. Jednakże art. 7 lit. f) tej dyrektywy nie stoi na przeszkodzie takiemu przekazaniu na podstawie prawa krajowego.
Jak widać na tym przykładzie – decyzja organu nadzorczego nie zawsze musi znaleźć uznanie w oczach Sądu. Warto także odwoływać się do bogatego orzecznictwa TSUE. Te wszystkie źródła argumentów znajdziesz w Judykatura.pl