II SA/Wa 699/17
WyrokWSA w Warszawie2018-01-31
Skład orzekający: Adam Lipiński, Maria Werpachowska, Janusz Walawski
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy Generalny Inspektor Ochrony Danych Osobowych (GIODO) miał podstawy prawne do odmowy nakazania operatorowi telekomunikacyjnemu udostępnienia danych osobowych właściciela adresu IP, mimo że wnioskodawca zamierzał dochodzić roszczeń cywilnych i karnych wobec tej osoby?Ratio decidendi
Operator telekomunikacyjny, świadcząc usługi, przetwarza dane abonenta objęte tajemnicą telekomunikacyjną. Udostępnienie tych danych podmiotom nieuczestniczącym w działalności telekomunikacyjnej jest dopuszczalne wyłącznie na podstawie wyraźnego upoważnienia ustawowego i gdy jest to konieczne dla realizacji celów ściśle określonych przepisami. Przepisy Prawa telekomunikacyjnego, dotyczące tajemnicy telekomunikacyjnej, stanowią lex specialis w stosunku do ogólnych przepisów ustawy o ochronie danych osobowych i przewidują dalej idącą ochronę danych. Wnioskodawca powinien zwrócić się do organów ścigania, które są uprawnione do uzyskiwania takich danych.Stan faktyczny
R. Z. zwrócił się do operatora telekomunikacyjnego o udostępnienie danych osobowych właściciela adresu IP, z którego miały być wprowadzane jego dane osobowe do wniosków kredytowych. Operator odmówił, powołując się na tajemnicę telekomunikacyjną. GIODO utrzymał w mocy decyzję o odmowie nakazania udostępnienia danych. R. Z. zaskarżył decyzję GIODO, argumentując, że potrzebuje danych do wytoczenia powództwa cywilnego i postępowania karnego.Rozstrzygnięcie
Oddalono skargę.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Adam Lipiński (spr.), Sędziowie WSA Maria Werpachowska, Janusz Walawski, , Protokolant specjalista Aleksandra Weiher, po rozpoznaniu na rozprawie w dniu 31 stycznia 2018 r. sprawy ze skargi R. Z. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2017 r. nr [...] w przedmiocie nakazu udostępnienia danych osobowych - oddala skargę -
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] marca 2017 r. działając na podstawie art. 138 § 1 pkt 1 Kodeksu postępowania administracyjnego oraz art. 5, art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922), w związku z art. 159 i art. 161 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2016 r. poz. 1489 ze zm.), utrzymał w mocy poprzedzającą decyzję z dnia [...] listopada 2016 r., o odmowie nakazania [...] Sp. z o.o. z siedzibą w W. udostępnienia R. Z. danych osobowych właściciela adresu IP o numerze [...].
W uzasadnieniu decyzji Generalny Inspektor Ochrony Danych Osobowych wskazał co następuje:
R. Z. złożył do GIODO wniosek o nakazanie [...] Sp. z o.o. z siedzibą w W., w drodze decyzji administracyjnej, udostępnienia imienia, nazwiska i adresu właściciela adresu IP o numerze [...].
Zainteresowany przedstawił okoliczności zawierające opis sposobu niezgodnego z prawem przetwarzania jego danych osobowych. Wskazał, iż w dniu [...] września 2015 r. ktoś zaczął wprowadzać jego dane osobowe do wniosków kredytowych i zapytań na różnych stronach internetowych w tym: [...], [...].,[...]. Otrzymał kilkadziesiąt telefonów z banków, instytucji parabankowych i pośredników finansowych w celu zweryfikowania wniosków, zapytań i danych w celu zawarcia umowy pożyczki/kredytu. R. Z. nadmienił, iż on sam tych danych tych nie podawał.
Zainteresowany poinformował GIODO, iż zwrócił się do instytucji, od których otrzymywał telefony w sprawie zawarcia umów, o udzielenie informacji skąd jego dane i w jakim zakresie zostały wprowadzone do systemów tych podmiotów.
Od firmy [...] Sp. z o.o. w W. uzyskał odpowiedź, że dane zostały wprowadzone w dniu [...] września 2015 r. o godz. 13:58:56 przez osobę posługująca się adresem IP o numerze [...], dla którego dostawcą usługi jest [...] Sp. z o.o.
Gdy w celu wytoczenia powództwa cywilnego i postępowania karnego wobec osoby która dopuściła się przetwarzania jego danych osobowych, R. Z. zwrócił się do [...] Sp. z o.o. o wskazanie danych osobowych osoby posługującej się wyżej wskazanym adresem IP, Spółka ta odmówiła ich udostępnienia.
Generalny Inspektor w wyniku postepowania administracyjnego ustalił następujący stan faktyczny:
Skarżący w piśmie z dnia [...] listopada 2015 r. otrzymał na swoją prośbę od firmy [...] Sp. z o.o. z siedzibą w W. informację dotyczącą przetwarzania jego danych osobowych przez ten podmiot, z której wynikało, że jego dane osobowe są przetwarzane od dnia [...] września 2015 r. od godziny 13:58:56, a użytkownik wprowadzający dane skarżącego korzystał w tym celu z zakończenia sieci o adresie IP [...].
Skarżący pismem z dnia [...] listopada 2015 r. zwrócił się do [...] Sp. z o.o. z wnioskiem o udostępnienie informacji w zakresie udostępnienia danych osobowych właściciela numeru IP [...], t. j. imienia i nazwiska (nazwy) i adresu zamieszkania (siedziby), informując jednocześnie o zamiarze wystąpienia z roszczeniem przed sądem powszechnym, przeciwko właścicielowi ww. adresu IP. Wniosek ten wpłynął do Spółki [...] w dniu [...] listopada 2015 r.
[...] Sp. z o.o. pismem z dnia [...] grudnia 2015 r. odpowiedział skarżącemu, iż w oparciu o obowiązujące przepisy prawa, [...] Sp. z o.o. gwarantuje przestrzeganie tajemnicy telekomunikacyjnej, ze szczególnym uwzględnieniem poufności informacji przekazywanych podczas korzystania z usług, danych dotyczących Abonentów sieci [...]. W piśmie wskazano, że dane, o których udostępnienie skarżący wnioskował, mogą zostać udostępnione na wniosek organów do tego uprawnionych.
GIODO odebrał od [...] Sp. z o.o. wyjaśnienia, z których wynika, że Spółka przetwarza dane osobowe właściciela adresu IP nr [...], które zostały pozyskane w związku z zawarciem umowy o świadczenie usług telekomunikacyjnych. Podstawę pozyskania danych osobowych stanowi art. 23 ust. 1 ustawy o ochronie danych osobowych w związku z art. 180a ust. 1 pkt 1 i art. 180c ustawy - Prawo telekomunikacyjne. [...] Sp. z o.o. przetwarza dane osobowe właściciela adresu IP o numerze [...] w zbiorze o nazwie "[...]", a ich zakres obejmuje numer MSISDN oraz dane retencyjne, określone w rozporządzeniu Ministra Infrastruktury z dnia 28 grudnia 2009 r. w sprawie szczegółowego wykazu danych oraz rodzajów operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych obowiązanych do ich zatrzymywania i przechowywania (tj. Dz.U. 2009 nr 226 poz. 1828). Dane dotyczące właściciela adresu IP o numerze [...] są przetwarzane przez spółkę [...] w następujących celach: w celu świadczenia usług, archiwizacji, na potrzeby prowadzonej działalności gospodarczej, realizacji obowiązku zatrzymania i przechowywania danych (retencja) przez okres 12 miesięcy, a także w celu udostępniania danych uprawnionym podmiotom, a także sądowi i prokuratorowi, na zasadach i w trybie określonym w przepisach odrębnych.
W tym stanie faktycznym Generalny Inspektor decyzją z dnia [...] listopada 2016 r. odmówił uwzględnienia skargi R. Z.
R. Z. wniósł od tej decyzji środek odwoławczy, po rozpatrzeniu którego, organ decyzją z dnia [...] marca 2017 r. utrzymał w mocy poprzedzające rozstrzygnięcie.
Odnosząc się do zarzutów sformułowanych we wniosku o ponowne rozpatrzenie sprawy, GIODO wskazał, że ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przetwarzaniem danych są wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Z kolei za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 ustawy). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2).
Ustawa wymaga, aby każde przetwarzanie (w tym udostępnianie) danych odbywało się na podstawie prawnej. Podstawy te wymienia w art. 23 ust. 1 - jeśli chodzi o tzw. dane zwykłe, jak np. imię, nazwisko, adres. Jedną z nich jest niezbędność przetwarzania danych osobowych dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2). Tym samym ustawa o ochronie danych osobowych odsyła do przepisów szczególnych, regulujących działalność określonych podmiotów i instytucji, wskazujących w jakich przypadkach i w jakim zakresie mogą one przetwarzać dane osobowe, aby obowiązki i uprawnienia nałożone na nie mocą tych przepisów mogły być realizowane.
W przedmiotowej sprawie zastosowanie znajdują przepisy Prawa telekomunikacyjnego, ponieważ [...] Sp. z o.o. jest przedsiębiorcą telekomunikacyjnym i świadczy na rzecz osób, których dane dotyczą usługi telekomunikacyjne. Jako przedsiębiorca telekomunikacyjny, [...] Sp. z o.o. przetwarza w zbiorze dane osobowe swoich abonentów i jest zobowiązany do ochrony ich danych osobowych w świetle tzw. tajemnicy telekomunikacyjnej, o której mowa w art. 159 ust. 1 Prawa telekomunikacyjnego. Tajemnicą tą objęte są m.in. dane dotyczące użytkownika, do których zalicza się m.in. jego imię i nazwisko, adres miejsca jego zamieszkania (art. 161 ust. 2 Prawa telekomunikacyjnego).
Stosownie do brzmienia art. 159 ust. 2 tej ustawy, zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że: będzie to przedmiotem usługi lub będzie to niezbędne do jej wykonania (pkt 1), nastąpi za zgodą nadawcy lub odbiorcy, których dane te dotyczą (pkt 2), dokonanie tych czynności jest niezbędne w celu rejestrowania komunikatów i związanych z nimi danych transmisyjnych, stosowanego w zgodnej z prawem praktyce handlowej dla celów zapewnienia dowodów transakcji handlowej lub celów łączności w działalności handlowej (pkt 3), będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi (pkt 4). W myśl art. 159 ust. 3 Prawa telekomunikacyjnego, z wyjątkiem przypadków określonych ustawą, ujawnianie lub przetwarzanie treści albo danych objętych tajemnicą telekomunikacyjną narusza obowiązek zachowania tajemnicy telekomunikacyjnej.
Prawo telekomunikacyjne dopuszcza zbieranie czy udostępnianie danych objętych tajemnicą telekomunikacyjną, ale tylko wówczas, gdy dotyczy to usługi świadczonej użytkownikowi albo gdy dane te są niezbędne do jej wykonania.
Natomiast przetwarzanie tych danych w innych celach, jest dopuszczalne jedynie na podstawie przepisów ustawowych. Tym samym przepisy Prawa telekomunikacyjnego odwołują się do innych ustaw przyznających wprost podmiotom nieuczestniczącym w prowadzeniu działalności telekomunikacyjnej prawo do przetwarzania ściśle określonych kategorii informacji - wymienionych w art. 159 ust. 1 Prawa telekomunikacyjnego, pozyskiwanych od podmiotów prowadzących tego rodzaju działalność (działalność telekomunikacyjną). Zezwolenie to dotyczy wyłącznie sytuacji, gdy przetwarzanie wskazanych kategorii informacji (stanowiących tajemnicę telekomunikacyjną) jest niezbędne dla realizacji ściśle określonych odrębnymi przepisami zadań.
W związku z powyższym, GIODO podtrzymał swoje stanowisko wyrażone w poprzedzającej decyzji, uznając, iż powołane przepisy art. 159 ust. 2 pkt 4 i ust. 3 oraz art. 161 ust. 1 Prawa telekomunikacyjnego przewidują dalej idącą ochronę danych osobowych abonentów objętych tajemnicą telekomunikacyjną, niż art. 23 ust. 1 ustawy o ochronie danych osobowych - zezwalając na ich udostępnianie podmiotowi nieuczestniczącemu w działalności telekomunikacyjnej lub pozyskanie przez podmiot nieuczestniczący w takiej działalności pod warunkiem istnienia wyraźnego ustawowego upoważnienia w tym zakresie i wyłącznie wówczas, gdy jest to konieczne dla realizacji celów ściśle określonych obowiązującymi przepisami.
W takiej natomiast sytuacji, zgodnie z regułą wyrażoną w art. 5 ustawy o ochronie danych osobowych, zastosowanie znajdują przepisy przewidujące dalej idącą ochronę danych osobowych. Stosownie do brzmienia powołanego art. 5 ustawy o ochronie danych osobowych - jeżeli przepisy innych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.
Jednocześnie, przepisy art. 159 ust. 2 pkt 4 i ust. 3 oraz art. 161 ust. 1 Prawa telekomunikacyjnego - odnoszące się wyłącznie do informacji objętych tajemnicą telekomunikacyjną (a więc także do imienia i nazwiska oraz adresu zamieszkania abonenta), należy uznać za szczególne (lex specialis) w stosunku do ogólnej normy z art. 23 ust. 1 ustawy o ochronie danych osobowych (lex generalis). Wykluczają one zatem stosowanie art. 23 ust. 1 ustawy ochronie danych osobowych na zasadzie lex specialis derogat legi generali.
Za powyższym stanowiskiem organu przemawia również stanowisko wyrażone w treści wyroku NSA z dnia 26 stycznia 2009 r. sygn. akt I OSK 174/08, który orzekł, iż cyt.: "przepis art. 159 ust. 2 Prawa telekomunikacyjnego jest przepisem przewidującym silniejszą ochronę danych, niż przepis art. 23 ust. 1 ustawy o ochronie danych osobowych i dlatego to on znajdzie zastosowanie jako podstawa legalizująca przetwarzanie danych objętych tajemnicą telekomunikacyjną. (...). Zgodnie z wymienionym przepisem [tj. art. 5 u.o.d.o. - przyp. GIODO], jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. To, że w Prawie telekomunikacyjnym zawarte są uregulowania dalej chroniące procesy przetwarzania danych osobowych objętych tajemnicą telekomunikacyjną - art. 159 ust. 2 i art. 161 ust. 2, nie oznacza, że ustawa o ochronie danych osobowych nie znajduje zastosowania w całości. Wymienione przepisy Prawa telekomunikacyjnego wyłączają stosowanie ustawy o ochronie danych osobowych tylko w zakresie, w jakim przewidują dalej idącą ochronę danych osobowych od tej, jaka została zagwarantowana tą ostatnią ustawą. Przepis art. 159 ust. 2 Prawa telekomunikacyjnego, w myśl którego zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że wystąpią okoliczności wymienione w pkt 1-4 art. 159 ust. 2 ustawy, jest przepisem przewidującym silniejszą ochronę danych niż przepis art. 23 ust. 1 ustawy o ochronie danych osobowych i dlatego to on znajdzie zastosowanie jako podstawa legalizująca przetwarzanie danych objętych tajemnicą telekomunikacyjną, W takiej sytuacji dojdzie więc do częściowego wyłączenia przepisów ustawy o ochronie danych osobowych. Wyłączenie to dotyczyć będzie przewidzianych w tej ustawie przesłanek legalizujących przetwarzanie danych osobowych - art. 23 ust. 1 ustawy. Ocena legalności przetwarzania danych objętych tajemnicą telekomunikacyjną odbywać się będzie z uwzględnieniem zasad określonych w art. 159 ust. 2 Prawa telekomunikacyjnego, jako przepisu przewidującego wyższy poziom ochrony. Powyższe nie oznacza jednak, że przetwarzanie danych objętych tajemnicą telekomunikacji pozostaje poza kognicją Generalnego Inspektora Ochrony Danych Osobowych. Przepisy Prawa telekomunikacyjnego nie przewidują możliwości żądania przez osobę zainteresowaną, na drodze postępowania administracyjnego, przywrócenia stanu zgodnego z prawem". Wskazane stanowisko podzielił również WSA w Warszawie w wyroku z dnia 18 czerwca 2012 r. o sygn. II SA/Wa 842/12.
Organ za bezzasadne uznał zarzuty, że stanowisko wyrażone w zaskarżonej decyzji odbiega od linii orzeczniczej sądów administracyjnych.
Każda sprawa administracyjna przed GIODO rozpatrywana jest indywidualnie, w oparciu o określony dla danej sprawy stan faktyczny oraz na podstawie zebranego w sprawie materiału dowodowego. Orzeczenia sądów administracyjnych oraz pogląd doktryny stanowią ważną wykładnię dla organu rozstrzygającego sprawę, niemniej jednak zgodnie z obowiązującym porządkiem prawnym nie stanowią one podstawy wydania decyzji o określonej treści.
Odnosząc się zaś do żądania skarżącego zabezpieczenia postępowania poprzez uniemożliwienie usunięcia (utraty) przez [...] Sp. z o.o. żądanych danych osobowych - z uwagi na nieterminowość prowadzenia postępowania przez GIODO a także termin 12 miesięcy przechowywania tych danych przez administratora – organ wskazał, że przepisy o ochronie danych osobowych oraz przepisy Kpa nie dają takiej kompetencji organowi administracji publicznej, który rozpatruje sprawy indywidualne w drodze decyzji administracyjnej. Dlatego też, niemożliwym jest zrealizowanie tego żądania przez Generalnego Inspektora.
R. Z. w skardze do Wojewódzkiego Sadu Administracyjnego w Warszawie wniósł o:
Uchylenie zaskarżanej decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2017 r. i poprzedzającej ją decyzji z dnia [...] listopada 2016 r. i wrócenie sprawy do organu, w celu prawidłowego przeprowadzenia postępowania administracyjnego;
lub
Zmianę (uchylenie) zaskarżanej decyzji i orzeczenie co do istoty sprawy, poprzez nakazanie [...] Sp. z o.o. z siedzibą w W. udostępnienia danych osobowych właściciela adresu IP nr [...], zgodnie z wnioskiem skarżącego;
Nadto wniósł o:
Przeprowadzenie dowód z dokumentów znajdujących się w aktach sprawy oraz załączonych do przedmiotowej skargi;
Zasądzenie od organu na rzecz skarżącego zwrotu kosztów wywołanych przedmiotową skargą według norma prawem przewidzianych - w tym opłaty od skargi.
Zaskarżonej decyzji skarżący zarzucił naruszenie:
art. 159 ust. 2 pkt. 4 ustawy - Prawo telekomunikacyjne, poprzez jego pominięcie i jedynie szczątkowe powołanie w treści zaskarżanej decyzji oraz przyjęcie, że w sprawie nie zachodzą inne powody uzasadniające udostępnienie danych przez [...] Sp. z o.o. w W. na wniosek skarżącego.
art. 18 ust. 1 pkt. 2 ustawy o ochronie danych osobowych, poprzez przyjęcie, że [...] Sp. z o.o. z/s w W. nie naruszył przepisów tej ustawy ochrony danych osobowych, odmawiając skarżącemu wydania danych i zaniechanie nakazania przez organ udostępnienia skarżącemu tych danych osobowych, zgodnie z jego wnioskiem.
art. 7 w zw. z art. 77 § 1 i art. 80 Kpa, poprzez zaniechanie rozpoznania całokształtu sprawy i dobrowolne, oderwane od wiedzy i doświadczenia życiowego, pobieżne rozpoznanie materiału dowodowego, co skutkowało odmową uwzględnienia wniosku o nakazanie udostępnienia danych osobowych i utrzymaniu tej decyzji przez organ.
art. 7 Kpa, poprzez oczekiwanie przez GIODO konkretnej podstawy prawnej na podstawie, której mają być skarżącemu udostępnione dane osobowe, gdy organ z urzędu bada taki stan rzeczy i zobowiązany jest działać w słusznym interesie strony.
całkowite pominięcie przez GIODO dyspozycji art. 126 § 2 pkt. 1 w zw. z art. 187 § 1 Kpa, z której jasno wynika, że skarżący musi w pozwie cywilnym o ochronę danych osobowych wskazać dane osobowe (imię, nazwisko i adres) pozwanego, które to dane są w posiadaniu [...] Sp. z o.o. w W.
W uzasadnieniu skargi, R. Z. podkreślił, iż jego usprawiedliwionym celem uzyskania danych osobowych osoby posługującej się IP o numerze [...], była chęć wystąpienia przeciwko tej osobie z powództwem cywilnym oraz założenia jej sprawy karnej. Cel ten powinien być wystarczający dla GIODO do wydania decyzji uwzględniającej jego wniosek.
Na poparcie swojej argumentacji wskazał wyroki NSA: z dnia 21 lutego 2014 r., I OSK 2324/12; z dnia 19 maja 2011 r. o sygn. akt I OSK 1079/10; z dnia 21 lutego 2014 r. o sygn. akt I OSK 2324/12; 21 sierpnia 2013 r., sygn. akt I OSK 1666/12; z dnia 19 stycznia 2015 r., sygn. akt I OSK 1099/13 i wyroki WSA w Warszawie: z dnia 2 grudnia 2013 r., sygn. akt II SA/Wa 1400/1; z dnia 9 listopada 2012 r., sygn. akt II SA/Wa 124/12; z dnia 16 listopada 2016 r. sygn. akt II SA/Wa 1075/16 oraz glosę Mariusza Czyżak do wyroku NSA z dnia 21 lutego 2014 r. I OSK 2324/12, opublikowaną w internetowym Kwartalniku Antymonopolowy i Regulacyjny 2014, nr 8(3), obszernie cytując fragmenty uzasadnień tych wyroków oraz wskazanej glosy.
W uzasadnieniu skargi R. Z. prawo do wystąpienia przeciwko osobie, posługującej się jego danymi osobowymi z powództwem cywilnym albo potrzebę założenia tej osobie sprawy karnej, wywodził z zasady przyrodzonej i niezbywalnej godność człowieka, stanowiącej źródło wolności i praw człowieka i obywatela (wyrok SN z dnia 21 marca 2007 r., sygn. akt I CSK 292/06). Podkreślił, że zasada ta jest nienaruszalna, a jej poszanowanie i ochrona jest obowiązkiem władz publicznych.
Wskazał także na art. 5 lit. a i b Konwencji z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych i nadmienił, iż odstąpienie od reguł tego przepisu, stosowanie do art. 9 ust. 2 lit. a Konwencji, jest dopuszczalne tylko wówczas, gdy taką możliwość przewiduje prawo wewnętrzne strony, jako środek konieczny w społeczeństwie demokratycznym (...) do zwalczania m.in, przestępczości. Podobne unormowanie zostało przewidziane w przepisach dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz. U. UE L.02.2001.37). W art. 5 ust. 1 tej dyrektywy uregulowana została zasada poufności komunikacji. A wyjątek od tej zasady przewidziany został w art. 15 ust. 1 tej dyrektywy, zgodnie z którym państwa członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych między innymi art. 5 tej dyrektywy, gdy takie ograniczenie stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratyczne do (...) wykrywania i karania przestępstw lub niedozwolone używania systemów łączności elektronicznej (...).
Skarżący argumentował także, powołując się na stanowisko doktryny (S. Piątek, Prawo telekomunikacyjne. Komentarz, II wydanie, wyd. C.H. Beck, Warszawa 2005, s. 866 i nast.), iż przepis art. 159 ust. 2 pkt. 4 Prawa telekomunikacyjnego dopuszcza nie tylko reguły przetwarzania danych osobowych, które są przewidziane w Prawie telekomunikacyjnym, ale także tytuły wynikające z ustawy o ochronie danych osobowych, zwłaszcza art. 23, a także innych ustaw.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, argumentując jak w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga jest chybiona.
Generalny Inspektor Ochrony Danych Osobowych w zaskarżonej decyzji prawidłowo dokonał oceny zgromadzonego materiału dowodowego w kontekście przepisów oraz art. 5, art. 12 pkt 2 i art. 22 oraz art. 23 ustawy o ochronie danych osobowych, w związku z art. 159 i art. 161 ustawy - Prawo telekomunikacyjne oraz w prowadzonym postępowaniu nie naruszył zasad procedury administracyjnej.
Zaskarżona i poprzedzająca ją decyzja są zgodne z prawem.
Wojewódzki Sąd Administracyjny w Warszawie dokonując oceny zgromadzonego materiału dowodowego (zwłaszcza w zakresie sugerowanym w pkt 3 żądań skargi) zauważył, iż wniosek, inicjujący sprawę przed GIODO wpłynął do organu dopiero w dniu [...] grudnia 2015 r.
Wniosek ten został poprzedzony innymi działaniami skarżącego.
Otóż pierwszym takim działaniem było złożenie przez skarżącego w dniu [...] kwietnia 2015 r. w Komendzie Miejskiej Policji w E. zawiadomienia o usiłowaniu podszywania się pod jego osobę w celu wyrządzenia szkody majątkowej lub osobistej, przez osobę wykorzystująca dane osobowe skarżącego. Jak wynika z postanowienia Komendy Miejskiej Policji w E. z dnia [...] września 2015 r., dochodzenie w tej sprawie – czynu dokonanego na szkodę R. Z., to jest zaistniałego w dniu [...] marca 2015 r. podszywania się pod inna osobę, wykorzystując jej wizerunek lub inne dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej, poprzez uzyskanie danych biometrycznych oraz danych osobowych pochodzących ze stron zeskanowanego dowodu osobistego, po uprzednim wprowadzeniu w błąd co do celu pozyskania tych danych w portalu [...], tj. o czyn z art. 190a § 2 Kk - zostało na zasadzie art. 322 § 1 Kpk umorzone wobec niewykrycia sprawcy czynu zabronionego. Skarżący postanowienie to otrzymał w dniu [...] września 2015 r.
Z akt sprawy administracyjnej wynika także, iż miesiąc później, to jest w dniu [...] listopada 2015 r. skarżący, na skutek własnych działań, uzyskał informację od [...] Sp. z o.o. w W., dotyczącą przetwarzania jego danych osobowych przez tą Spółkę, z której wynikało, że jego dane osobowe są przetwarzane od dnia [...] września 2015 r. od godziny 13:58:56, a użytkownik wprowadzający dane skarżącego korzystał z zakończenia sieci o adresie IP [...].
Posiadając tę informację skarżący nie informuje o tym Komendy Miejskiej Policji w E., w celu wznowienia umorzonego postępowania karnego, ani nie powiadamia Policji o powziętej od [...] Sp. z o.o. informacji, ale samodzielnie stara się znaleźć sprawcę – osobę posługującą się adresem IP o numerze [...]i w tym celu żąda ujawnienia danych osoby tej osoby od dostawcy usługi - [...] Sp. z o.o.
Z akt sprawy administracyjnej wynika, iż [...] Sp. z o.o. pismem z dnia [...] grudnia 2015 r. odmawia udzielenia skarżącemu żądanej informacji, wskazując na obowiązek przestrzegania tajemnicy telekomunikacyjnej i wskazując nadto, że dane takie mogą zostać udostępnione jedynie na wniosek organów do tego uprawnionych.
Wbrew temu pouczeniu, skarżący nadal nie zwraca się w tej sprawie do organów Policji, ale składa skargę do GIODO na niezasadną, w jego ocenie, odmowę ujawnienia przez operatora sieci teleinformacyjnej danych osobowych użytkownika zidentyfikowanego pod IP o numerze [...].
Istota sprawy sprowadza się zatem do oceny, czy operator sieci telekomunikacyjnej zasadnie odmówił podania w niniejszej sprawie danych osobowych swojego abonenta, odwołując się do tajemnicy telekomunikacyjnej i do oceny, czy GIODO, rozpatrujący skargę na takie zachowanie operatora, zasadnie odmówił skarżącemu wydania decyzji nakazującej operatorowi ujawnienia danych swojego abonenta.
W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie przepisy art. 159 ust. 2 pkt 4 i ust. 3 oraz art. 161 ust. 1 Prawa telekomunikacyjnego przewidują dalej idącą ochronę danych osobowych abonentów objętych tajemnicą telekomunikacyjną, niż art. 23 ust. 1 ustawy o ochronie danych osobowych - zezwalając na ich udostępnianie podmiotowi nieuczestniczącemu w działalności telekomunikacyjnej lub pozyskanie przez podmiot nieuczestniczący w takiej działalności pod warunkiem istnienia wyraźnego ustawowego upoważnienia w tym zakresie i wyłącznie wówczas, gdy jest to konieczne dla realizacji celów ściśle określonych obowiązującymi przepisami.
W takiej sytuacji, zgodnie z regułą wyrażoną w art. 5 ustawy o ochronie danych osobowych, zastosowanie znajdują przepisy przewidujące dalej idącą ochronę danych osobowych.
Trafnie zatem argumentował organ, iż przepisy art. 159 ust. 2 pkt 4 i ust. 3 oraz art. 161 ust. 1 Prawa telekomunikacyjnego - odnoszące się wyłącznie do informacji objętych tajemnicą telekomunikacyjną (a więc także do imienia i nazwiska oraz adresu zamieszkania abonenta), należy uznać za szczególne (lex specialis) w stosunku do ogólnej normy art. 23 ust. 1 ustawy o ochronie danych osobowych (lex generalis). Przepisy te wykluczają stosowanie art. 23 ust. 1 ustawy ochronie danych osobowych na zasadzie lex specialis derogat legi generali.
Pogląd powyższy znajduje odzwierciedlenie w orzecznictwie sądów administracyjnych.
W wyroku NSA z dnia 21 lutego 2014 r., sygn. akt I OSK 2324/12 wskazano, że tajemnica komunikowania się w sieciach telekomunikacyjnych sięga tylko do granic kolizji z obowiązującym porządkiem prawnym. Gdy zaś zachodzi podejrzenie sprzeczności z nim, reguła ta musi ulec przed wyższym dobrem. Trzeba też stwierdzić, że regulacja przepisów art. 159 ust. 4 ustawy Prawo telekomunikacyjne nie zawęża zakresu podmiotowego ujawniania danych osobowych, wskazując tylko przykłady ustawowego zwolnienia z tajemnicy telekomunikacyjnej oraz statuując bezwzględny obowiązek udzielania danych organom państwa na potrzeby prowadzonych przez nie postępowań.
Z kolei tezy w wyroku NSA z dnia 26 stycznia 2009 r., sygn. akt I OSK 174/08 stanowią, że: 1. Przepisy art. 192 ust. 1 pkt 1 w zw. z art. 209 ust. 1 pkt 24 i art. 210 ust. 1 Prawa telekomunikacyjnego, nie są przepisami, o jakich mowa w art. 5 ustawy o ochronie danych osobowych. 2. To, że w Prawie telekomunikacyjnym zawarte są uregulowania chroniące procesy przetwarzania danych osobowych objętych tajemnicą telekomunikacyjną (art. 159 ust. 2 i art. 161 ust. 2), nie oznacza, że ustawa o ochronie danych osobowych nie znajduje zastosowania w całości. Wymienione przepisy ustawy Prawa telekomunikacyjnego wyłączają stosowanie ustawy o ochronie danych osobowych tylko w zakresie, w jakim przewidują dalej idącą ochronę danych osobowych od tej, jaka została zagwarantowana tą ostatnią ustawą. 3. Przepis art. 159 ust. 2 Prawa telekomunikacyjnego jest przepisem przewidującym silniejszą ochronę danych, niż przepis art. 23 ust. 1 ustawy o ochronie danych osobowych i dlatego to on znajdzie zastosowanie jako podstawa legalizująca przetwarzanie danych objętych tajemnicą telekomunikacyjną.
Jak stwierdził NSA w wyroku z dnia 26 stycznia 2009 r. sygn. akt I OSK 174/08 - to, że w Prawie telekomunikacyjnym zawarte są uregulowania chroniące procesy przetwarzania danych osobowych objętych tajemnicą telekomunikacyjną (art. 159 ust. 2 i art. 161 ust. 2), nie oznacza, że ustawa o ochronie danych osobowych nie znajduje zastosowania w całości. Wymienione przepisy Prawa telekomunikacyjnego wyłączają stosowanie ustawy o ochronie danych osobowych tylko w zakresie, w jakim przewidują dalej idącą ochronę danych osobowych od tej, jaka została zagwarantowana tą ostatnią ustawą. W tym aspekcie wskazać także należy na wyrok NSA z dnia 10 października 2006 r., sygn. akt I OSK 1353/05 oraz wyrok WSA w Warszawie z dnia 28 marca 2017 r., sygn. akt II SA/Wa 779/16
Szczególnie przydatny do oceny niniejszego stanu faktycznego jest teza wyroku NSA z dnia 20 lutego 2013 r. sygn.. akt I OSK 368/12, odnosząca się do zamiaru pozwania przed sąd cywilny osoby nieznanej z imienia i nazwiska, jako uzasadnionej potrzeby posiadania danych osobowych. NSA stwierdza tu, "iż przepisy odrębne, w rozumieniu art. 159 ust. 2 pkt 4 Prawa telekomunikacyjnego, muszą w sposób wyraźny i jednoznaczny wskazywać powody, dla których ochrona tajemnicy telekomunikacyjnej może zostać przełamana. Przykładem w tym zakresie mogą być przepisy ustawy z 1990 r. o Policji, np. art. 19 ust. 6 pkt 3 w zw. z art. 19 ust. 12 tej ustawy. Nie spełnia natomiast takich wymagań art. 29 ust. 2 ustawy o ochronie danych osobowych, z uwagi na ogólny charakter i brak odwołania się do możliwości udostępnienia na jego podstawie danych stanowiących tajemnicę telekomunikacyjną."
Z powyższym wyrokiem korespondują tezy wyroku WSA w Warszawie z dnia 31 stycznia 2013 r., sygn. akt II SA/Wa 1112/12, odnoszące się wprost do zagadnienia pozyskiwania danych eksploatacyjnych w trybie ustawy z 2002 r. o świadczeniu usług drogą elektroniczną i trybu uzyskiwania danych osób i adresu IP komputera: 1. Nie jest trafny pogląd, iż art. 18 ust. 6 ustawy z 2002 r. o świadczeniu usług drogą elektroniczną nie ogranicza możliwości udostępnienia informacji, o których mowa w art. 18 ust. 1-5 powołanej ustawy do organów państwa na potrzeby prowadzonych przez nie postępowań, albowiem nie zawiera wskazania "wyłącznie" w odniesieniu do wymienionych organów. Zgodnie z treścią art. 18 ust. 6 powołanej ustawy jedynym uprawnionym do uzyskania danych eksploatacyjnych, gromadzonych przez usługodawcę, w rozumieniu tej ustawy, są organy państwa. Omawiana ustawa nie zawiera innego przepisu, który stanowiłby podstawę wydawania danych podmiotom innym niż organy państwa. Należy podzielić zapatrywanie, że gdyby wolą ustawodawcy było nadanie uprawnienia do pozyskania danych eksploatacyjnych innym podmiotom niż organy państwa, zawarłby w ustawie wyraźną normę przewidującą takie uprawnienie. 2. W sprawach karnych o zniesławienie albo w sprawach cywilnych o ochronę przewidzianą w art. 23 i art. 24 Kodeksu cywilnego, osoba zainteresowana może odpowiednio za pośrednictwem organów państwa lub sądu karnego, albo sądu cywilnego, dochodzić ujawnienia danych osobowych oskarżonego albo pozwanego, które są niezbędne do wszczęcia danego procesu. To o tych właśnie organach jest mowa w art. 18 ust. 6 ustawy z 2002 r. o świadczeniu usług drogą elektroniczną. Do tych organów winna się zgłosić osoba zainteresowana ze stosownym wnioskiem. Postępowanie takie toczy się bez udziału Generalnego Inspektora Ochrony Danych Osobowych i jest niezależne od jego decyzji. 3. Zgodnie z uregulowaniami stosownych przepisów postępowania cywilnego albo postępowania karnego i zgodnie z art. 18 ust. 6 ustawy z 2002 r. o świadczeniu usług drogą elektroniczną, wydawanie takich informacji jak adres IP komputera może nastąpić wyłącznie na żądanie sądu lub prokuratora, zawarte w odpowiednim postanowieniu tych organów.
Zaprezentowany wyżej pogląd, zawarty w cytowanym wyżej wyroku WSA w Warszawie jest adekwatny do regulacji zawartej art. 159 ust. 2 i art. 161 ust. 2 Prawa Telekomunikacyjnego, stanowiących tajemnicą telekomunikacyjną.
W niniejszej sprawie pamiętać trzeba także o wykładni, której powinno dokonywać się z uwzględnieniem przepisów Unii Europejskiej. W szczególności wskazać należy na art. 4 dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającą dyrektywę 2002/58/WE (Dz. Urz. UE. L 2006 Nr 105, str. 54). Przepisy te wskazują na udostępnianie danych jedynie właściwym organom krajowym, w szczególnych przypadkach i zgodnie z krajowym ustawodawstwem, co wyklucza udostępnienie danych innym podmiotom niż organy państwa.
Przenosząc zatem treść powyższych przepisów oraz ich wykładnię do niniejszego stanu faktycznego, uznać należy za prawidłowe decyzje podjęte w niniejszej sprawie przez GIODO.
Skarżący nie jest podmiotem uprawnionym do uzyskiwania informacji chronionych Prawem Telekomunikacyjnym. Uprawnionym do uzyskiwania takich informacji są wyłącznie określone podmioty państwowe (np. Policja, Prokuratura, Sądy).
W celu ujawnienia danych personalnych osoby posługującej się określonym numerem IP, skarżący powinien zwrócić się do organów ścigania. Skarżący mógł i powinien to zrobić niezwłocznie po dowiedzeniu się o numerze IP osoby posługującej się jego danymi osobowymi, wskazując organom ścigania potrzebę uzyskania takich danych w celach wystąpienia przeciwko sprawcy z powództwem cywilnym albo prywatnym aktem oskarżania. Nadto skarżący został przez operatora telekomunikacyjnego powiadomiony, iż dane personalne abonentów są objęte tajemnicą telekomunikacyjną i mogą być udostępnione jedynie uprawnionym do tego organom, jednakże informację tą skarżący zlekceważył.
Samowolne działanie skarżącego wobec operatora telekomunikacyjnego, sprowadzające się do żądania naruszenia przez tego operatora tajemnicy telekomunikacyjnej, poprzez ujawnienie skarżącemu danych osobowych określonego abonenta, nie może korzystać z przymiotu prawidłowego działania i ochrony prawnej. Dlatego Generalny Inspektor nie mógł wydać w niniejszej sprawie innej niż zaskarżona decyzji, zwłaszcza, iż ocena legalności przetwarzania danych objętych tajemnicą telekomunikacyjną zawsze odbywać się będzie z uwzględnieniem zasad określonych w art. 159 ust. 2 Prawa telekomunikacyjnego.
W niniejszej sprawie, wbrew twierdzeniom skargi, Generalny Inspektor Ochrony Danych Osobowych nie ograniczał prawa skarżącego do dochodzenia przed sądem powszechnym praw cywilnych, ani prawa do prywatnego aktu oskarżania, wobec osoby posługującej się danymi osobowymi skarżącego.
Fiasko działań skarżącego polegało na braku odpowiedniego i niezwłocznego powiadomienia organów ścigania o powziętej przez niego informacji, dotyczącej numeru IP abonenta danego operatora telekomunikacyjnego, posługującego się danymi osobowymi skarżącego.
Nadmienić także w tym miejscu należy, iż niezasadne było wywiedzione przez skarżącego we wniosku o ponowne rozpatrzenie sprawy żądanie zabezpieczenia postępowania, poprzez uniemożliwienie usunięcia przez operatora telekomunikacyjnego danych osobowych abonenta. Ani przepisy ustawy o ochronie danych osobowych, ani przepisy Kodeksu postępowania administracyjnego nie przyznają takiej kompetencji GIODO. Natomiast uprawnienia takie, pod postacią instytucji zabezpieczenia dowodów dla potrzeb postępowania, posiadają organy ścigania.
Reasumując, Wojewódzki Sąd Administracyjny w Warszawie nie dopatrzył się naruszenia prawa przez organ przy podejmowaniu zaskarżonej jak i poprzedzającej ją decyzji, które mogłyby stanowić o stwierdzeniu ich nieważności albo o uchyleniu tych rozstrzygnięć i dlatego, na mocy art. 151 w zw. z art. 132 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w sentencji wyroku.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 15.07.2026. · Źródło