II SA/Wa 1511/12
WyrokWSA w Warszawie2012-11-15
Skład orzekający: Stanisław Marek Pietras, Janusz Walawski, Andrzej Kołodziej
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy Generalny Inspektor Ochrony Danych Osobowych (GIODO) ma podstawy prawne do nakazania administratorowi danych udostępnienia numeru IP użytkownika portalu internetowego na wniosek podmiotu, który twierdzi, że jego dobra osobiste zostały naruszone przez wpisy tego użytkownika?Ratio decidendi
Sąd uznał, że GIODO prawidłowo odmówił nakazania udostępnienia numeru IP, ponieważ nie zostały spełnione przesłanki dopuszczalności przetwarzania danych osobowych określone w art. 23 ust. 1 ustawy o ochronie danych osobowych. Skarżąca nie wykazała, że udostępnienie danych jest niezbędne dla zrealizowania uprawnienia wynikającego z przepisu prawa ani dla wypełnienia prawnie usprawiedliwionych celów, a późniejsze wskazanie celu w postępowaniu przed GIODO nie konwaliduje braku wykazania go we wniosku do administratora danych.Stan faktyczny
Skarżąca spółka złożyła wniosek do GIODO o nakazanie administratorowi portalu internetowego udostępnienia numeru IP użytkownika, który zamieszczał na forum wpisy naruszające jej dobra osobiste. Administrator odmówił udostępnienia danych, powołując się na brak podstaw prawnych i przepisy ustawy o świadczeniu usług drogą elektroniczną. GIODO odmówił uwzględnienia wniosku skarżącej, uznając, że nie zostały spełnione przesłanki z ustawy o ochronie danych osobowych. Po rozpatrzeniu wniosku o ponowne rozpatrzenie sprawy, GIODO utrzymał swoją decyzję w mocy. Skarżąca wniosła skargę do WSA, zarzucając naruszenie przepisów prawa materialnego i procesowego.Rozstrzygnięcie
Oddalono skargę.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Stanisław Marek Pietras Sędzia WSA Janusz Walawski Sędzia WSA Andrzej Kołodziej (spr.) Protokolant referent stażysta Aleksandra Olczak po rozpoznaniu na rozprawie w dniu 15 listopada 2012 r. sprawy ze skargi P. Sp. z o.o. z siedzibą w S. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] czerwca 2012 r. nr [...] w przedmiocie udostępnienia danych osobowych oddala skargę
W dniu [...] grudnia 2011 r. (data stempla pocztowego) P. Sp. z o.o. z siedzibą w S. (dalej skarżąca), reprezentowana przez adwokata S. C., złożyła do Generalnego Inspektora Ochrony Danych Osobowych (dalej GIODO, organ) wniosek (opatrzony datą [...] grudnia 2011 r.) o nakazanie A. S.A. z siedzibą w W. (dalej uczestnik postępowania) udostępnienia danych osobowych – numeru IP osoby, która dokonywała wpisów na portalu [...], posługując się nickiem [...]. Skarżąca podała, że na powyższym portalu, administrowanym przez uczestnika postępowania, osoba posługująca się nickiem [...] wielokrotnie zamieszczała nieprawdziwe i szkalujące ją zarzuty. Autor tych wypowiedzi miał na celu zniesławienie i znieważenie skarżącej, co stanowi naruszenie jej dóbr osobistych.
Skarżąca wskazała też, że uczestnik postępowania odmówił jej udostępnienia adresów IP osoby dokonującej szkalujących wpisów, powołując się na konieczność zachowania tajemnicy służbowej. Tymczasem instytucja tejemnicy służbowej została wyeliminowana z obrotu prawnego w związku z wejściem w życie ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnej (Dz. U. nr 182, poz. 1226). Nawet na gruncie poprzednio obowiązującej ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych stanowisko uczestnika postępowania byłoby nieuzasadnione. W niniejszej sprawie mają zastosowanie przepisy ustawy o ochronie danych osobowych, w szczególności art. 29 tej ustawy, stanowiący iż dane osobowe, do których niewatpliwie należy adres IP, mogą być udostępnione w celach innych niż włączenie do zbioru, osobom i podmiotom innym niż uprawnionym do ich otrzymania na mocy przepisów prawa, jeżeli w sposób wiarogodny uzasadnią potrzebę posiadania tych danych. W tym kontekście skarżąca podniosła, iż taka potrzeba wynika z braku możliwości skutecznej ochrony prawnej naruszonych dóbr osobistych, a udostępnienie danych jest niezbędne do podjęcia działań prawnych zmierzających do zapewnienia ochrony.
Do ww. wniosku skarżąca załączyła m.in. komputerowy wydruk wypowiedzi użytkownika o nicku [...] zamieszczonej na internetowym portalu [...] w dniu [...] czerwca 2009 r. o godz. [...].
W wyjaśnieniach udzielonych organowi (w odpowiedzi na wezwanie z dnia [...] stycznia 2012 r.) uczestnik postępowania podkreślił, że wszelkie dane użytkowników zamieszczających wypowiedzi na forum portalu [...] przetwarzane są:
- w oparciu o przepisy ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną w celu świadczenia usługi polegającej na umożliwieniu użytkownikom Internetu zamieszczania wypowiedzi na ww. forum,
- w zbiorze danych osobowych o nazwie [...].
Wskazał, iż posiada jedynie adres IP komutera, z którego korzystał użytkownik o nicku [...], zamieszczając wypowiedź w dniu [...] czerwca 2009 r. o godz. [...] na [...]. Użytkownik ten ma status gościa portalu, a osoba o takim statusie nie ma obowiązku podawania jakichkolwiek danych. Jednocześnie uczestnik oświadczył, że po otrzymaniu pisma pełnomocnika skarżącej z dnia [...] lipca 2009 r. z żądaniem usunięcia wpisu i wydania adresów IP uczestników dyskusji, przedmiotowy wpis został niezwłocznie usunięty stosownie do treści art. 14 ust. 1 ustawy o świadczeniu usług elektronicznych. Zarówno ww. pismo z [...] lipca 2009 r., jak i wniosek skarżącej o nakazanie przez organ udostępnienia danych osobowych, dotyczy jednej wypowiedzi wbrew twierdzeniom skarżącej o wielokrotnym zamieszczaniu przez tego użytkownika na forum portalu [...] nieprawdziwych i szkalujących zarzutów.
Uczestnik podkreślił, że od dnia 7 marca 2011 r. nie obowiązuje art. 29 ustawy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – tekst jednolity: Dz. U. z 2002 r., nr 101, poz. 926 ze zm (dalej o.d.o.), uchylony ustawą z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. nr 229, poz. 1497). Zgodnie z art. 5 ustawy nowelizujacej o.d.o., do postepowań wszczętych i niezakończonych przed dniem wejścia w życie niniejszej ustawy, stosuje się przepisy dotychczasowe. Wszczynający postępowanie administracyjne wniosek skarżącej wpłynął do organu [...] grudnia 2011 r., a więc w zmienionym stanie prawnym. Dlatego art. 29 o.d.o. nie może stanowić podstawy powyższego wniosku. Według uczestnika, w niniejszej sprawie znajdują zastosowanie przepisy ustawy o świadczeniu usług drogą elektroniczną; w obowiązującym stanie prawnym brak jest podstaw do wydania przez organ decyzji nakazującej udostępnienie danych. Powołując się na art. 18 ust. 6 ww. ustawy, uczestnik wywiódł, iż ustawa ta wprowadza własne odrębne uregulowania w zakresie udostępniania danych osobowych oraz danych eksploatacyjnych, które nie przewidują udzielania informacji o takich danych podmiotom innym niż organy państwa. Nadto wskazał na przepisy art. 218 i art. 236a Kodeksu postępowania karnego (przewidujące wydanie korespondencji, przesyłek i danych, o których mowa w art. 180c i art. 180 d ustawy Prawo telekomunikacyjne, wyłącznie na żądanie prokuratora lub sądu zawarte w postanowieniu) jako mające chrakter lex specialis w stosunku do przepisów o.d.o.
Zdaniem uczestnika, dane eksploatacyjne (w tym adresy IP) powinny być poddane bardziej restrykcyjnym środkom ochrony. Nie ma bowiem gwarancji, że żądający udostępnienia danych będzie tylko jedynym ich dysponentem i wykorzysta je wyłącznie w procesie sądowym. W konsekwencji uczestnik postępowania uznał, że udostępnienie danych osobowych użytkowników portalu może prowadzić do naruszenia ich praw i wolności.
Decyzją z dnia [...] marca 2012 r., wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego – tekst jednolity: Dz. U. z 2000 r. nr 98, poz. 1071 ze zm. (dalej k.p.a.), art. 12 pkt 2, art. 22 w zw. z art. 23 o.d.o., GIODO odmówił uwzględnienia wniosku skarżącej spółki o nakazanie uczestnikowi postępowania udostępnienia żądanych danych osobowych. W uzasadnieniu podniósł, że z art. 18 o.d.o. wynika, iż organ może nakazać udostępnienie danych, jedynie po uprzednim dokonaniu oceny zachowania administratora tych danych, który wcześniej ich udostępnienia niezasadnie odmówił. Rolą organu jest więc zbadanie czy administrator danych osobowych, do którego zwrócono się z konkretnym żądaniem udostępnienia danych, właściwie się do niego ustosunkował. To administrator danych osobowych jest bowiem obowiązany do zbadania czy istnieją podstawy prawne do uwzględnienia skierowanego do niego żądania w zakresie udostępnienia danych osobowych, a GIODO – do kontroli tego procesu.
Uchylenie z dniem 7 marca 2011 r. art. 29 o.d.o. nie oznacza, jak mylnie wskazał uczestnik postępowania, że w obecnie obowiązującym brzmieniu tej ustawy brak jest podstaw do wydania przez GIODO decyzji nakazującej udostępnienie danych. Kwestię udostępnienia danych, jako działania zawierającego się w pojęciu przetwarzanie danych, aktualnie regulują przepisy art. 23 o.d.o. - w przypadku danych zwykłych oraz art. 27 o.d.o. - w przypadku danych szczególnie chronionych. Skarżąca zwróciła się do uczestnika postępowania o udostępnienie numeru IP osoby, która dokonała wpisu na należącym do niej forum internetowym, a więc informacji zaliczanej do danych osobowych zwykłych. Przetwarzanie danych osobowych zwykłych jest zgodne z prawem wówczas, gdy administrator danych legitymuje się posiadaniem co najmniej jednej, spośród wymienionych w art. 23 ust. 1 o.d.o., materialnych przesłanek dopuszczalności przetwarzania.
W ocenie organu, uczestnik postępowania słusznie odmówił udostępnienia skarżącej żądanych danych. Za uwzględnieniem tego żądania nie przemawiała żadna z przesłanek zawarta w przepisie art. 23 ust. 1 o.d.o. Uczestnik nie dysponował zgodą osoby, która w dniu [...] czerwca 2009 r. o godz. [...] posługując się nickiem [...] dokonała na portalu [...] wpisu godzącego w dobre imię skarżącej, na udostępnienie numeru IP jej komputera (pkt 1), obowiązek udostępnienia tej informacji nie był niezbędny do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), udostępnienie to nie było niezbędne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to konieczne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), ani niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4). Nie sposób też uznać, iż do realizacji żądania skarżącej powinno dojść z uwagi na przesłankę z art. 23 ust. 5 o.d.o. Przepis ten wyraźnie stanowi, iż przetwarzanie danych jest dopuszczalne wtedy, gdy jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. We wniosku o udostępnienie danych skierowanym do uczestnika postępowania skarżąca nie powołała się na prawnie usprawiedliwiony cel, dla którego realizacji konieczne byłoby pozyskanie przez nią żądanego numeru IP. Dopiero we wniosku o nakazanie udostępnienia danych wystosowanym przez skarżącą do organu wskazała, iż informacja ta jest niezbędna dla podjęcia działań prawnych zmierzających do zapewnienia ochrony prawnej naruszonych dóbr osobistych.
Organ dodał, iż z art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną nie wynika niedopuszczalność udostępniania podmiotom innym niż organy państwa informacji, o których mowa w ust. 1-5 tego artykułu. Według organu, powyższy przepis jedynie zobowiązuje usługodawcę do udostępniania informacji organom państwa i nie należy go interpretować rozszerzająco jako zakazu udostępniania tych informacji innym podmiotom. Jeśli zamiarem ustawodawcy byłoby ograniczenie możliwości udostępnienia informacji, o których mowa w art. 18 ust. 1-5 ww. ustawy, tylko do organów określonych w art. 18 ust. 6 tej ustawy, wskazałby to wprost w treści przepisu, np. przy użyciu zwrotu "wyłącznie".
Po rozpoznaniu wniosku skarżącej o ponowne rozpatrzenie sprawy, decyzją z dnia [...] czerwca 2012 r., działając na podstawie art. 138 § 1 pkt 1 k.p.a., art. 12 pkt 2 oraz art. 22 w związku z art. 23 o.d.o., GIODO utrzymał w mocy zaskarżoną decyzję. W uzasadnieniu tego rozstrzygnięcia organ powtórzył argumentację zawartą w decyzji pierwszoinstancyjnej.
Ustosunkowując się do sformułowanego we wniosku o ponowne rozpatrzenie sprawy twierdzenia, iż o istnieniu uprawnienia, do zrealizowania którego niezbędne było pozyskanie wnioskowanych danych, są przepisy art. 23, art. 24 w związku z art. 43 Kodeksu cywilnego w związku z art. 23 ust. 1 pkt 2 o.d.o., organ wskazał, że przesłanka dopuszczalności przetwarzania danych znajduje zastosowanie gdy w przepisie prawa jednoznacznie określone jest uprawnienie do przetwarzania danych osobowych. Nie ulega zatem wątpliwości, iż powołane przez skarżącą przepisy prawa cywilnego dotyczą dochodzenia przez osobę fizyczną bądź prawną przed sądem cywilnym swoich praw w związku z naruszeniem przez inny podmiot ich dóbr osobistych, natomiast nie statuują uprawnienia do przetwarzania danych osobowych.
Organ nie podzielił również stanowiska skarżącej spółki, że do złożenia pozwu przeciwko osobie, która dopuściła się naruszenia dóbr osobistych niezbędne jest posiadanie jej danych osobowych. Jedyną przesłanką, która mogłaby w tej sprawie mieć zastosowanie przy ocenie zasadności odmowy przez uczestnika udostępnienia skarżącej żądanych danych jest przesłanka ustanowiona w treści art. 23 ust. 1 pkt 5 o.d.o. Uprawdopodobnienie przez skarżącą potrzeby posiadania danych dopiero w postępowaniu przed GIODO nie konwaliduje tego braku w relacji pomiędzy skarżącą i uczestnikiem. Organ bowiem nie może zastępować strony w realizacji uprawnień przysługujących jej na mocy ustawy o ochronie danych osobowych; jego rolą jest jedynie ocena decyzji podjętej przez uczestnika na tle stanu faktycznego przedstawionego przez strony. Dlatego nie można uznać, że uczestnik postępowania naruszył prawo odmawiając skarżącej udostępnienia danych w sytuacji gdy skarżąca nie wykazała w jakim celu są jej one niezbędne.
Na powyższą decyzję skarżąca wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, żądając uchylenia w całości zaskarżonej oraz poprzedzającej ją decyzji i przekazania sprawy do ponownego rozpoznania, alternatywnie uchylenia zaskarżonej decyzji w całości i przekazania sprawy do ponownego rozpoznania.
Skarżąca wniosła o przeprowadzenie dowodu z następujących dokumentów:
- postanowienia Sądu Okręgowego w P. z dnia [...] kwietnia 2010 r., [...], na okoliczność, że odmowa nakazania udostępnienia danych w niniejszej sprawie uniemożliwia ochronę dóbr osobistych skarżącej w drodze procesu cywilnego i uniemożliwia dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej oraz
- pisma uczestnika postępowania z dnia [...] grudnia 2009 r. na okoliczność, że uczestnik miał wiedzę, iż odmowa udostępnienia danych w niniejszej sprawie uniemożliwia ochronę dóbr osobistych skarżącej w drodze procesu cywilnego i uniemożliwia dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Zarzuciła zaskarżonej decyzji:
naruszenie prawa materialnego, które miało wpływ na wynik sprawy, a mianowicie art. 23 ust. 1 pkt 2 o.d.o. przez jego niewłaściwe zastosowanie polegające na przyjęciu, że nakazanie udostępnienia danych nie jest niezbędne dla zrealizowania uprawnienia wynikającego z przepisu prawa, mimo że odmowa nakazania udostępnienia danych w niniejszej sprawie uniemożliwia ochronę dóbr osobistych skarżącego w drodze procesu cywilnego,
naruszenie prawa materialnego, które miało wpływ na wynik sprawy, a mianowicie art. 23 ust. 1 pkt 5 w zw. z ust. 5 pkt 2 o.d.o. przez jego niewłaściwe zastosowanie polegające na przyjęciu, że udostępnienie danych nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez skarżącego, mimo że odmowa nakazania udostępnienia danych w niniejszej sprawie uniemożliwia ochronę dóbr osobistych skarżącego w drodze procesu cywilnego i uniemożliwia dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej,
naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, a mianowicie art. 6, art. 7, art. 77 § 1, art. 80 k.p.a. w zw. z art. 22 o.d.o. polegające na przyjęciu, że:
uczestnik postępowania nie wiedział, iż odmowa udostępnienia danych w niniejszej sprawie uniemożliwia ochronę dóbr osobistych wnioskodawcy w drodze procesu cywilnego i uniemożliwia dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej,
w postępowaniu przed organem skarżąca mogła powoływać się tylko na twierdzenia i dowody, które podnosiła żądając od uczestnika udostępnienia danych i w postępowaniu przed organem skarżąca nie mogła powoływać nowych twierdzeń i dowodów,
co w konsekwencji doprowadziło do nieuzasadnionej odmowy nakazania udostępnienia danych.
W uzasadnieniu skargi skarżąca podniosła na wstępie, powołując się na orzecznictwo sądów administracyjnych, że prawo do ochrony danych osobowych jako jeden z elementów prawa do ochrony własnej prywatności ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie.
Natomiast prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5 o.d.o. może być oparty także na przepisach prawa cywilnego. Za taki cel sama ustawa uznaje dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej (art. 23 ust. 4 pkt 2 o.d.o.). Skarżąca jest przedsiębiorcą i w związku z prowadzoną przez nią działalnością gospodarczą zostały sformułowane wypowiedzi naruszające jej dobra osobiste. Dlatego uzasadnione jest powoływanie się na art. 23 ust. 1 pkt 5 w zw. z ust. 5 pkt 2 o.d.o. Uczestnik postępowania wiedział, że odmowa udostępnienia żądanych danych uniemożliwia skarżącej ochronę dóbr osobistej w procesie cywilnym, gdyż w sprawie z jej powództwa uczestnik - w wykonaniu postanowienia Sądu Okręgowego w P. - odmówił udostępnienia danych osobowych. Powyższą okoliczność potwierdza pismo uczestnika z dnia [...] grudnia 2009 r.
Prezentowane przez organ stanowisko w niniejszej sprawie w konsekwencji prowadzi do przyjęcia prekluzji dowodowej, która w postępowaniu administracyjnym jest instytucją nieznaną. Z tych powodów bezpodstawne organ twierdzi, że w postępowaniu przed nim skarżąca mogła powoływać się tylko na twierdzenia i dowody, które podnosiła żądając udostępnienia danych od uczestnika, natomiast nie mogła powoływać nowych twierdzeń i dowodów.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Stosownie do treści art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. nr 153, 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.
Skarga analizowana pod tym kątem nie zasługuje na uwzględnienie.
Kompetencje GIODO zostały określone w art. 18 ust. 1 o.d.o. Stosownie do treści tego przepisu, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień,
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usunięcie danych osobowych.
Powyższy przepis stanowi materialnoprawną podstawę do wydawania przez GIODO decyzji administracyjnych w rozumieniu art. 107 k.p.a.
W myśl art. 7 pkt 2 o.d.o., przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Przesłanki dopuszczalności przetwarzania danych osobowych zostały określone w art. 23 ust. 1 o.d.o. Zgodnie z tym przepisem, przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę;
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
3) jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
5) jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Brzmienie art. 23 o.d.o. wskazuje, iż wszelkie przetwarzanie danych, które nie jest dozwolone, jest zakazane. Ustawa w sposób taksatywny wyszczególnia okoliczności, które tworzą warunki niezbędne do legalizacji przetwarzania danych osobowych (w tym także poszczególnych jego składników, a więc np. zbierania danych). Przesłanki wymienione w wyż. cyt. przepisie art. 23 ust. 1 o.d.o. mają charakter autonomiczny i niezależny. Wystarczy zatem wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione.
W niniejszej sprawie nie została spełniona żadna z przesłanek wymienionych w przepisie art. 23 ust. 1 o.d.o. Uczestnik postępowania nie dysponował zgodą na udostępnienie nr IP komputera osoby, która w dniu [...] czerwca 2009 r. o godz. [...] posługując się nickiem [...] dokonała wpisu godzącego w dobre imię skarżącej. Udostępnienie tej informacji nie było niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
W tym miejscu zaakcentować należy, że przepisy rozdziału 4 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną – Dz. U. nr 144, poz. 1204 ze zm. (dalej ś.u.d.e.) stanowią lex specialis w stosunku do przepisów ustawy o ochronie danych osobowych. W myśl art. 18 ust. 1 ś.u.d.e., usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi:
1) nazwisko i imiona usługobiorcy,
2) numer ewidencyjny PESEL lub - gdy ten numer nie został nadany - numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość,
3) adres zameldowania na pobyt stały,
4) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3,
5) dane służące do weryfikacji podpisu elektronicznego usługobiorcy,
6) adresy elektroniczne usługobiorcy.
Odnosząc powyższy przepis do rozpatrywanej sprawy, należy stwierdzić, że użytkownik portalu internetowego nie ma obowiązku podawania danych osobowych, może bowiem - tak jak w niniejszej sprawie osoba posługująca się nickiem [...] - występować na internetowym forum dyskusyjnym posiadając status "gościa". Skoro dane osobowe nie są potrzebne do świadczenia tego rodzaju usługi drogą elektroniczną, to dobrowolnie podane przez użytkownika dane osobowe mogą być przetwarzane jedynie po uzyskaniu jego zgody. Wyjątkiem (przewidzianym w art. 18 ust. 6 ś.u.d.e.) jest obowiązek udzielenia informacji o danych osobowych organom państwa na potrzeby prowadzonych przez nie postępowań. Jednak okoliczność ta nie ma miejsca w niniejszej sprawie.
Nie jest również trafny zarzut naruszenia art. 23 ust. 1 pkt 2 o.d.o. w związku z art. 23, art. 24 i art. 43 Kodeksu cywilnego. Powyższe przepisy nie uprawniają administratora danych do przetwarzania danych osobowych, lecz stanowią podstawę do dochodzenia roszczeń przez osoby fizyczne i osoby prawne w związku z naruszeniem ich dóbr osobistych przez inny podmiot.
Nie zachodziła także konieczność udostępnienia danych dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Udostępnienie danych nie było też niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego. Wreszcie nie została spełniona przesłanka, o której mowa w art. 23 ust. 1 pkt 5 o.d.o., a to z uwagi na (bezsporną między stronami) okoliczność, iż we wniosku z dnia [...] lipca 2009 r. o udostępnienie numeru IP osoby, która dokonywała wpisów na portalu [...], posługując się nickiem [...], skarżąca nie wskazała prawnie usprawiedliwionego celu, dla którego realizacji konieczne byłoby pozyskanie przedmiotowego numeru. Dopiero na etapie postępowania przed organem podała, że informacja ta jest jej niezbędna dla podjęcia działań prawnych zmierzających do zapewnienia ochrony prawnej naruszonych dóbr osobistych. Zdaniem Sądu, słusznie organ przyjął, że późniejsze wskazanie celu, dla którego realizacji konieczne jest pozyskanie określonych danych osobowych, nie może zostać konwalidowane w postępowaniu przed organem. Rolą organu jest bowiem kontrola stanowiska uczestnika pod kątem zgodności z przepisami regulującymi przetwarzanie danych osobowych. Twierdzenie skarżącej, iż uczestnikowi znany był prawnie usprawiedliwiony cel, nie zasługuje na uwzględnienie. Uczestnik postępowania odmówił bowiem udostępnienia skarżącej żądanych danych osobowych w dniu [...] lipca 2009 r., zaś wzmiankowane przez skarżącą pismo uczestnika z dnia [...] grudnia 2009 r. dotyczy odpowiedzi na pismo Sądu Okręgowego w P. [...] z dnia [...] listopada 2009 r. [...]. Również wydane w dniu [...] kwietnia 2009 r. postanowienie w ww. sprawie cywilnej o zawieszeniu postępowania z uwagi na niewykazanie po stronie skarżącego legitymacji biernej do występowania w postępowaniu cywilnym nie może świadczyć o tym, że w dniu [...] lipca 2009 r. uczestnik postępowania wiedział, iż żądanie udostępnienia danych osobowych użytkownika [...] jest uwarunkowane podjęciem działań prawnych w celu ochrony jego dóbr osobistych. Według Sądu, organ dokonał prawidłowej oceny stanowiska uczestnika postępowania przyjętego na tle stanu faktycznego przedstawionego przez skarżącą w skierowanym do niego wniosku z dnia [...] lipca 2009 r. o usunięcie wypowiedzi naruszających jej dobra osobiste oraz podanie adresów IP uczestników dyskusji. W świetle powyższego, nie sposób podzielić zarzutu skarżącej odnośnie naruszenia art. 23 ust. 1 pkt 5 w zw. z ust. 4 pkt 2 o.d.o. (skarżąca omyłkowo powołała ust. 5 pkt 2). Samo powołanie się we wniosku z dnia [...] lipca 2009 r. na naruszenie dóbr osobistych nie jest jednoznaczne z deklaracją wystąpienia na drogę procesu cywilnego z tego względu.
Uznając za nieuzasadnione zarzuty skarżącej w zakresie naruszenia przez organ art. 6, art. 7, art. 77 § 1 i art. 80 k.p.a., podnieśc należy, że postępowanie administracyjne w rozpoznawanej sprawie zostało przeprowadzone przez GIODO (zarówno w pierwszej, jak i w drugiej instancji) w sposób wnikliwy i rzetelny. Organ wszechstronnie rozpatrzył zgromadzony materiał dowodowy, a wydane przez niego decyzje zawierały wyczerpujące uzasadnienie faktyczne i prawne.
Mając na uwadze powyższe, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 p.p.s.a. oddalił skargę.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło