II SA/Wa 2163/20

WyrokWSA w Warszawie2021-05-07

Skład orzekający: Janusz Walawski, Piotr Borowiecki, Joanna Kruszewska Grońska

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy organ nadzorczy (Prezes UODO) ma podstawę prawną do nakazania administratorowi danych udostępnienia danych osobowych użytkowników serwisu internetowego osobie trzeciej na potrzeby ewentualnego wytoczenia przez nią powództwa cywilnego, gdy sama deklaracja zamiaru wytoczenia powództwa nie jest wystarczająca do wykazania niezbędności udostępnienia danych?
Ratio decidendi
Organ nadzorczy nie może nakazać udostępnienia danych osobowych użytkowników serwisu internetowego osobie trzeciej na potrzeby ewentualnego wytoczenia powództwa cywilnego jedynie na podstawie deklaracji zamiaru wytoczenia powództwa. Konieczne jest wykazanie rzeczywistej potrzeby udostępnienia danych, dokonanie wyważenia interesów oraz ocena, czy nie narusza to praw i wolności osób, których dane dotyczą. Brak takiego wyważenia i oceny stanowi naruszenie przepisów postępowania i prawa materialnego.
Stan faktyczny
Sprawa dotyczyła skargi spółki A. S. A. na decyzję Prezesa Urzędu Ochrony Danych Osobowych, która utrzymała w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych nakazującą spółce udostępnienie danych osobowych (numerów IP i adresów e-mail) użytkowników portalu internetowego J. N. w związku z obraźliwymi wpisami. Spółka odmówiła udostępnienia danych, argumentując, że nie jest to niezbędne, a organy państwa dysponują własnymi środkami do uzyskania takich informacji. Organ nadzorczy uznał, że udostępnienie danych jest uzasadnione celem ochrony praw J. N. przed sądem. Sąd administracyjny uchylił decyzje organów, uznając, że nie przeprowadzono należytej analizy niezbędności udostępnienia danych i nie wyważono interesów stron.
Rozstrzygnięcie
Wojewódzki Sąd Administracyjny w Warszawie uchylił zaskarżoną decyzję Prezesa UODO oraz poprzedzającą ją decyzję Generalnego Inspektora Ochrony Danych Osobowych w zakresie punktu pierwszego, a także zasądził od Prezesa UODO na rzecz strony skarżącej zwrot kosztów postępowania sądowego.

Pełny tekst orzeczenia

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Janusz Walawski, Sędzia WSA Piotr Borowiecki (spr.), Sędzia WSA Joanna Kruszewska Grońska, po rozpoznaniu w trybie uproszczonym w dniu 7 maja 2021 r. sprawy ze skargi A. S. A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2020 r. nr [...] w przedmiocie nakazu udostępnienia danych osobowych 1) uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2014 r. w zakresie punktu pierwszego; 2) zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz strony skarżącej A. S. A. z siedzibą w W. kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania sądowego. Zaskarżoną decyzją z dnia [...] września 2020 r., nr [...] Prezes Urzędu Ochrony Danych Osobowych (dalej także: "Prezes UODO" lub "organ nadzorczy"), działając na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jednolity Dz. U. z 2020 r., poz. 256 ze zm. - dalej: "k.p.a.") oraz art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2019 r. poz. 1781 - dalej także: "u.o.d.o."), w wyniku rozpoznania wniosku [...] z siedzibą w [...] (dalej także: "skarżąca spółka" lub "strona skarżąca") o ponowne rozpatrzenie sprawy zakończonej decyzją administracyjną Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2014 r., nr [...], wydaną w wyniku rozpatrzenia skargi J. N. (dalej także: "wnioskodawca" lub "uczestnik postępowania") i nakazującą spółce [...] z siedzibą w [...] udostępnienia J. N. danych osobowych użytkowników portalu internetowego [...]., występujących pod nickami: [...]; [...]; [...]; [...]; [...]; [...]; [...]; [...]; [...]; [...]; [...]; [...]; [...]; [...], w zakresie numerów IP ich komputerów oraz adresów e-mail (pkt 1 decyzji) oraz w pozostałym zakresie umarzającą postępowanie (pkt 2 decyzji) - utrzymał w mocy w/w decyzję z dnia [...] listopada 2014 r. Zaskarżona decyzja Prezesa UODO została wydana w następującym stanie faktycznym. W dniu [...] kwietnia 2014 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga J. N. z dnia [...] kwietnia 2014 r., w której wnioskodawczyni, będąc reprezentowana przez radcę prawnego, wniosła do organu nadzorczego o nakazanie spółce [...] udostępnienie wnioskodawczyni danych osobowych w zakresie imion, nazwisk, adresów zamieszkania adresów poczty elektronicznej oraz numerów IP komputerów użytkowników: [...], [...], [...], [...], [...], [...], [...], [...], [...], [...], [...], [...], [...], [...], którzy w dniach i godzinach wskazanych w załączniku do skargi zamieścili na forum internetowym skarżącej spółki obraźliwe wpisy pod adresem J. N. W uzasadnieniu wniosku J. N. podniosła, że w związku ze zniewagami, jakich wobec niej dopuścili się wymienieni powyżej użytkownicy portalu [...], umieszczając dotyczącej jej komentarze, zamierza wytoczyć im procesy. W związku z powyższym, organ nadzorczy wszczął z urzędu postępowanie wyjaśniające, w ramach którego podjął stosowne czynności zmierzające do zgromadzenia odpowiedniego materiału dowodowego, ustalając stan faktyczny konieczny do wydania rozstrzygnięcia. Organ nadzorczy ustalił, że na forum internetowym [...] - portalu [...]osoby posługujące się wskazanymi powyżej nickami w dniach i godzinach szczegółowo wskazanych w załączniku do skargi umieściły wpisy o treściach, które - w ocenie wnioskodawczyni J. N. - naruszają jej dobre imię. Z ustaleń wynikało, że w piśmie z dnia [...] stycznia 2014 r. wnioskodawczyni, reprezentowana przez radcę prawnego, zwróciła się do skarżącej spółki [...] z wnioskiem o udostępnienie danych ww. osób, w zakresie imion, nazwisk, adresów zamieszkania, adresów e-mail oraz numerów IP komputerów, wskazując w uzasadnieniu wniosku, że zamierza ona wobec tych osób wytoczyć procesy. Ustosunkowując się do powyższego wniosku skarżąca spółka w piśmie z dnia [...] stycznia 2014 r. odmówiła wnioskodawczyni udzielenia żądanych informacji, wskazując, że wydaje dane osobowe oraz eksploatacyjne użytkowników prowadzonych przez siebie serwisów internetowych na żądanie organów państwa, stosownie do regulacji art. 18 ust. 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, zgodnie z którym usługodawca udziela informacji o danych, o których mowa w ust. 1 - 5 (m.in. dane osobowe oraz dane eksploatacyjne, którymi są adresy IP komputerów) organom państwa na potrzeby prowadzonych postępowań. Strona skarżąca zauważyła jednocześnie, że w przypadku postępowania karnego sądy, policja, prokuratura przy użyciu dostępnych im środków prawnych (m.in. przewidzianych w przepisach art. 488, art. 218, art. 236a ustawy z dnia 6 czerwca 1997 r. - Kodeks postępowania karnego /tekst jednolity Dz. U. z 2020 r., poz. 30), ustalają niezbędne informacje. Stron skarżąca podniosła ponadto, że przyjmuje się, iż skarga pokrzywdzonego wniesiona do właściwych organów ścigania może być skierowana także przeciwko anonimowemu sprawcy - w takiej sytuacji zabezpieczenie dowodów może być połączone z poszukiwaniem dowodów oraz podejmowaniem przez policję czynności zmierzających do wykrycia sprawców przestępstwa. Skarżąca spółka stwierdziła jednocześnie, że wielokrotnie otrzymywała i realizowała żądania wydania danych pochodzących z sądów i prokuratur na terenie całego kraju. W konsekwencji, skarżąca spółki uznała, że - przy przyjęciu założenia, iż podstawą prawną żądania wydania danych użytkowników internetowego serwisu są przepisy ustawy o ochronie danych osobowych, uznać należy, że wobec istnienia wyżej opisanych możliwości uzyskania dostępu do danych za pośrednictwem odpowiednich organów ochrony prawnej - nie została spełniona przesłanka określona w art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2016 r., poz. 922 ze zm. - dalej także jako: "u.o.d.o. z 1997 r."), albowiem uzyskanie danych bezpośrednio od skarżącej spółki nie jest niezbędne dla prawnie usprawiedliwionych celów realizowanych przez odbiorcę danych. Ponadto, skarżąca spółki poinformowała, że w okolicznościach niniejszej sprawy spełniona została przesłanka negatywna, o której mowa w art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, a mianowicie udostępnienie danych osobowych użytkowników portalu bezpośrednio stronie wnoszącej skargę do organu nadzorczego może prowadzić do naruszenia prawa i wolności osób, których dane dotyczą. Jednocześnie, skarżąca spółka poinformowała, że ze stron forum [...] zostało usuniętych 400 wypowiedzi ww. użytkowników (dowód: załącznik do pisma skarżącej spółki z dnia [...] kwietnia 2014 r., a także pismo skarżącej spółki z dnia [...] lipca 2014 r.). Ustosunkowując się do wezwania organu nadzorczego o złożenie stosownych wyjaśnień, skarżąca spółka wskazała, że: "Umożliwienie użytkownikom Internetu zamieszczania wypowiedzi na forum portalu [...] stanowi usługę świadczoną drogą elektroniczną, w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Wszelkie dane użytkowników zamieszczających wypowiedzi na stronach powyższych serwisów przetwarzane są w oparciu o przepisy przywołanej ustawy w celu świadczenia usługi polegającej na umożliwieniu użytkownikom Internetu zamieszczania wypowiedzi na stronach serwisów internetowych, w zbiorze danych osobowych o nazwie Użytkownicy internetowego wydania[...] i portalu [...]". Uzasadniając odmowę udostępnienia J. N. żądanych przez nią danych, skarżąca spółka wskazała, że z uwagi na brzmienie art. 18 ust. 6 ustawy oświadczeniu usług drogą elektroniczną może ona udostępnić dane jedynie organom państwa na potrzeby prowadzonych przez nie postępowań. Ponadto, skarżąca spółka zauważył, że "(...) przyjmuje się, iż skarga pokrzywdzonego wniesiona do właściwych organów ścigania może być skierowana także przeciwko anonimowemu sprawy - w takiej sytuacji zabezpieczenie dowodów może być połączone z poszukiwaniem dowodów oraz podejmowaniem przez policję czynności zmierzających do wykrycia sprawców przestępstwa. Z powyższego wynika, że zarówno policja, jak i sąd, po wszczęciu postępowania sądowego, dysponują instrumentami prawnymi pozwalającymi na przeprowadzenie określonych czynności dowodowych, mających na celu ustalenie danych osobowych oskarżonego. [...] wielokrotnie otrzymywała i realizowała żądania wydania danych pochodzących z sądów i prokuratur z terenu całego kraju". W związku z powyższym, skarżąca spółka stwierdziła, że wobec opisanej wyżej możliwości uzyskania dostępu do danych za pośrednictwem odpowiednich organów, pozyskanie ich bezpośrednio od niej nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez odbiorcę danych, o czym stanowi art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. Ponadto, skarżąca spółka podkreśliła, że wnioskodawczym nie wykazała w żaden sposób, iż pozyskanie danych użytkowników jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów przez nią realizowanych. Skarżąca spółka uznała bowiem, że lakoniczne stwierdzenie, iż "w związku z tymi zniewagami Pani J. N. zamierza wytoczyć procesy osobom nadużywającym jej dobre imię" nie może być uznane za wystarczające. Skarżąca spółka wyraziła także wątpliwość, czy pozyskane przez J. N. dane nie zostałyby w efekcie wykorzystane przez nią w innym, niż zadeklarowany przez nią cel, co mogłoby naruszyć prawa i wolności osób, których dane dotyczą. Ponadto, skarżąca spółka wskazała, że mając na uwadze ważne interesy wnioskodawczyni, jako osoby, która z uwagi na sprawowane funkcje pozostaje w sferze zainteresowania społecznego i musi liczyć się z krytycznymi ocenami swoich działania oraz interesy użytkowników portalu, którzy interesy takie wyrażają, przyjęła jednak, że to interesy osób, których dane mają być udostępnione, zasługują na ochronę (dowód: pismo skarżącej spółki z dnia [...] lipca 2014 r.). Z ustaleń wynikało ponadto, że skarżąca spółka, jako administrator serwisów [...] - portalu [...], przetwarza dane osobowe użytkowników posługujących się wskazanymi nickami w zakresie adresów IP ich komputerów i adresów poczty elektronicznej (w przypadku niektórych również kodów pocztowych), natomiast nie przetwarza ich danych osobowych w zakresie imion, nazwisk i adresów zamieszkania (dowód: pismo skarżącej spółki z dnia [...] lipca 2014 r.). W wyniku analizy zgromadzonego materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych - działając na podstawie art. 104 § 1 k.p.a. oraz art. 105 § 1 k.p.a. w zw. z art. 12 pkt 2, art. 22, art. 18 ust. 1 pkt 2 w związku z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - decyzją z dnia [...] listopada 2014 r. nakazał spółce [...] z siedzibą w [...]udostępnienie J. N. danych osobowych użytkowników portalu internetowego [...], występujących pod nickami: [...]; [...]; [...]; [...]; [...]; [...]; [...]; [...]; [...]; [...]; [...]; [...]; [...]; [...], w zakresie numerów IP ich komputerów oraz adresów e-mail (pkt 1 decyzji), zaś w pozostałym zakresie umorzył postępowanie (pkt 2 decyzji). W uzasadnieniu wydanej decyzji Generalny Inspektor Ochrony Danych Osobowych zauwazył na wstępie, że każda ze wskazanych w art. 7 pkt 2 u.o.d.o. z 1997 r. form przetwarzania danych osobowych powinna znaleźć oparcie w jednej z przesłanek warunkujących legalność procesu przetwarzania danych osobowych, enumeratywnie wymienionych w art. 23 ust. 1 pkt 1-5 cyt. ustawy. Jednocześnie, organ nadzorczy zauważył, że materialne przesłanki przetwarzania danych osobowych wskazane w art. 23 ust. 1 pkt 1-5 u.o.d.o. z 1997 r. mają charakter równorzędny i autonomiczny, co oznacza, że spełnienie którejkolwiek z nich stanowi wystarczającą podstawę przetwarzania danych osobowych. Generalny Inspektor Ochrony Danych Osobowych wskazał, że w szczególności art. 23 ust. 1 pkt 2 u.o.d.o. z 1997 r. zezwala na przetwarzanie danych osobowych, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, zaś art. 23 ust. 1 pkt 5 tej ustawy stanowi, że przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Mając na względzie powyższe, Generalny Inspektor Ochrony Danych Osobowych nie podzielił stanowska skarżącej spółki, jakoby kierowany pod adresem podmiotu świadczącego usługi drogą elektroniczną wniosek o udostępnienie danych osobowych użytkowników tych usług (a zatem - jak ma to miejsce w niniejszej sprawie - użytkowników portalów internetowych [...]), pochodzący od podmiotów innych, niż organy państwa i uzasadniony względami innymi, niż potrzeby prowadzonych przez nie postępowań (jak w przypadku wniosku J. N.) nie mógł zostać uwzględniony z uwagi na art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną. Generalny Inspektor Ochrony Danych Osobowych zauważył wprawdzie, że przepis art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną stanowi, iż usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań, co - zdaniem organu nadzorczego - świadczy o tym, iż przepis ten stanowi przepis prawa, o którym mowa w art. 23 ust. 1 pkt 2 u.o.d.o. z 1997 r., nakładający wprost na określone podmioty określone prawa i obowiązki w zakresie przetwarzania danych osobowych użytkowników usług świadczonych drogą elektroniczną. Niemniej jednak, Generalny Inspektor Ochrony Danych Osobowych uznał, że istnienie wspomnianego art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną w żadnym razie nie wyklucza jednak przetwarzania danych osobowych użytkowników usług świadczonych drogą elektroniczną w sytuacji, gdy spełnione zostaną inne przesłanki przetwarzania tych danych określone przepisami ustawy o ochronie danych osobowych, samodzielne i niezależne od przesłanki z art. 23 ust. 1 pkt 2 u.o.d.o. z 1997 r. (np. przesłanka z art. 23 ust. 1 pkt 5 tej ustawy). Generalny Inspektor Ochrony Danych Osobowych stwierdził w konsekwencji, że oczywiście nieuprawnionym byłby wniosek o wyłączeniu stosowania w procesie przetwarzania danych osobowych użytkowników usług świadczonych drogą elektroniczną przepisu art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. Organ nadzorczy podkreślił, iż powyższy pogląd organu dotyczący tego, że art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną nie wyklucza stosowania ustawy o ochronie danych osobowych i tym samym nie wyłącza możliwości udostępnienia danych podmiotom innym, niż wskazane w tym przepisie, został uznany za trafny również w dotychczasowym orzecznictwie Naczelnego Sądu Administracyjnego. W tym miejscu, Generalny Inspektor Ochrony Danych Osobowych, wskazując na wyrok Naczelnego Sądu Administracyjnego z dnia 21 sierpnia 2013 r., sygn. akt I OSK 1666/12 - podkreślił, iż z brzmienia art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną wynika jedynie obowiązek udzielenia informacji o danych organom państwa na potrzeby prowadzonych przez nie postępowań. Nie wynika natomiast zakaz udostępniania tych danych osobom, których prawa zostały naruszone. Mając powyższe na względzie, Generalny Inspektor Ochrony Danych Osobowych stwierdził, iż wniosek J. N. o udostępnienie jej danych osobowych pozwalających na identyfikację użytkowników portalów internetowych [...] (tj. informacji o adresach IP urządzeń, z których zamieszczono te wpisy oraz imiona i nazwiska, adresy zamieszkania oraz adresu e-mail) znajduje prawne uzasadnienie w art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i jako taki powinien zostać przez skarżącą spółkę uwzględniony. Generalny Inspektor Ochrony Danych Osobowych uznał, iż niezbędność dysponowania przez J. N. informacjami indywidualizującymi osoby, przeciwko którym zamierza ona skierować powództwo w związku z zarzutem nieuprawnionej ingerencji w sferę jej dóbr osobistych oraz prywatny akt oskarżenia, nie budzi wątpliwości. Organ nadzorczy stwierdził, że w sytuacji, gdy J. N. nie dysponuje zasadniczo żadnymi informacjami o osobach, które w określonych datach i godzinach, posługując się określonymi pseudonimami zamieściły na portalu [...] kwestionowane wpisy na jej temat - poza tymi, które wnikały z ich opublikowania (tj. oprócz dat, godzin i treści publikacji, pseudonimami, którymi posłużyły się te osoby w celu ukrycia swojej tożsamości), zasadnym jest przyjęcie, że podejmowanie przez nią działań służących ustaleniu tożsamości tych osób, w celu pociągnięcia ich do odpowiedzialności cywilnej oraz karnej w związku z treścią tych publikacji, mieści się w pojęciu jej prawnie usprawiedliwionych celów. W tej sytuacji, Generalny Inspektor Ochrony Danych Osobowych uznał, że skarżąca spółka [...] bezpodstawnie odmówiła J.N. udostępnienia wnioskowanych przez nią danych osobowych autorów kwestionowanych wpisów wskazanych w inicjującej przedmiotowe postępowanie skardze, uniemożliwiając jej tym samym podjęcie dalszych działań służących takiej identyfikacji autorów kwestionowanych wpisów, która pozwoli na skuteczne zainicjowanie przeciwko nim planowanych postępowań sądowych. Odnosząc się jednak do wniosku J.N. o nakazanie udostępnienia jej przez skarżącą spółkę danych osobowych użytkowników portalu [...]w zakresie ich imion, nazwisk i adresów zamieszkania, organ nadzorczy wskazał, iż w toku prowadzonych czynności wyjaśniających ustalił, iż skarżąca spółka, jako administrator danych, nie posiada danych osobowych ww. osób w żądanym przez J. N. zakresie. W konsekwencji, Generalny Inspektor Ochrony Danych Osobowych uznał, że skoro w analizowanym przypadku brak jest po stronie administratora danych wszystkich danych osobowych, których udostępnienia domaga się J.N., nie ma możliwości wydania decyzji załatwiającej sprawę przez jej rozstrzygnięcie co do istoty, a więc zachodzi podstawa do umorzenia postępowania w tym zakresie, na podstawie art. 105 § 1 k.p.a. W piśmie z dnia [...] listopada 2014 r. skarżąca spółka wniosła do organu nadzorczego o ponowne rozpatrzenie sprawy i uchylenie spornej decyzji z dnia [...] listopada 2014 r. W uzasadnieniu środka zaskarżenia skarżąca spółka podniosła, że Generalny Inspektor Ochrony Danych Osobowych bezzasadnie pominął przepisy art. 16 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, zgodnie z którym do przetwarzania danych osobowych w rozumieniu ustawy o ochronie danych osobowych, w związku ze świadczeniem usług drogą elektroniczną, stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej. Skarżąca spółka stwierdziła w konsekwencji, że - w jej ocenie - art. 18 ust. 6 cyt. ustawy jest jednym ze wspomnianych wyżej wyjątków i nie przewiduje udzielania informacji o danych eksploatacyjnych podmiotom innym, niż organy państwa wskazane w tym przepisie. Skarżąca spółka uznała zatem, że jedynymi organami uprawnionymi do żądania udostępnienia przez skarżącą spółkę danych osobowych są w przedmiotowej sprawie sądy, prokuratury oraz policja. Skarżąca spółka podkreśliła jednocześnie, iż brak jest przesłanki niezbędności udostępnienia danych dla realizacji prawnie usprawiedliwionego celu przez J.N., a ewentualne udostępnienie spornych danych osobowych mogłoby zagrozić prawom osób, których dane te dotyczą. W wyniku ponownego rozpatrzenia sprawy Prezes Urzędu Ochrony Danych Osobowych, działając na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, decyzją z dnia [...] września 2020 r., nr [...], utrzymał w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2014 r. nakazującej udostępnienie J.N. danych osobowych w zakresie numerów IP komputerów użytkowników portalu internetowego [...] oraz adresów ich poczty elektronicznej e-mail, a także umarzającej postępowanie w pozostałym zakresie. W uzasadnieniu decyzji, odnosząc się do zarzutów skarżącej spółki dotyczących kwestii regulacji ustawy o świadczeniu usług drogą elektroniczną, które odnoszą się do kwestii udostępnienia danych osobowych, Prezes UODO wskazał, że art. 16 cyt. ustawy przestał obowiązywać w dniu 4 maja 2019 r., zaś art. 18 ust. 6 tej ustawy nie wyklucza Prezesa UODO z grupy organów państwa, które mogą nakazywać udostępnienie danych osobowych. Prezes Urzędu Ochrony Danych Osobowych, powołując się na wyrok Naczelnego Sądu Administracyjnego z dnia 10 listopada 2015 r., sygn. I OSK 685/14 - wskazał, że przepis art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną, stanowiący literalnie o obowiązku usługodawcy udzielania informacji o danych tamże określonych organom państwa na potrzeby prowadzonych przez nie postępowań, należy interpretować jako dopuszczający przetwarzanie danych osobowych przez wszystkie podmioty, gdy jest to niezbędne dla zrealizowania ich uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Organ nadzorczy stwierdził, że przepis ten nie został zawężony do organów państwa, skoro nie posłużono się zwrotem "wyłącznie", a istnieje potrzeba poszerzenia zakresu podmiotowego tego przepisu. Organ nadzorczy podkreślił, że udostępnienie spornych danych osobowych znajduje oparcie w przepisie art. 21 ust. 1 pkt 5 u.o.d.o. z 1997 r., który dopuszcza to w sytuacji, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych osobowych albo odbiorcę danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. W konsekwencji, organ nadzorczy uznał, że Generalny Inspektor Ochrony Danych Osobowych miał prawną podstawę do nakazania skarżącej spółce udostępnienia danych osobowych w przedmiotowej sprawie. Ustosunkowując się z kolei do zarzutów skarżącej spółki dotyczących braku dowodów na zamiar wystąpienia przez J. N. z powództwem, Prezes UODO wskazał na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 18 lipca 2014 r., sygn. II SA/Wa 569/14, w którym sąd ten orzekł, że z brzmienia art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną wynika jedynie obowiązek udzielenia informacji o danych, organom państwa, na potrzeby prowadzonych przez nie postępowań. Nie wynika natomiast, jak zauważył organ nadzorczy, zakaz udostępniania tych danych osobom, których prawa zostały naruszone. Prezes UODO stwierdził, że zgodnie z art. 23 ustawy o świadczeniu usług drogą elektroniczną, do uzyskania adresu IP nie jest konieczne wystąpienie z powództwem, lecz wystarczy już sam zamiar, co oznacza, że nie można też oceniać, czy wpisy zasługują na ochronę z art. 24 kodeksu cywilnego, chroniącego m.in. nazwisko lub pseudonim. Organ nadzorczy zauważył, iż w niniejszej sprawie J. N. precyzyjnie wskazała swój zamiar wytoczenia powództwa przeciwko osobom, których dotyczy skarga, gdyż zadeklarowała podjęcie dalszych działań oraz zainicjowanie postępowań sądowych. Ponadto, organ nadzorczy uznał, że z przepisów prawa nie wynika zakaz udostępnienia danych osobowych autorów kwestionowanych wpisów J. N., której prawa zostały naruszone. Prezes UODO stwierdził, że niezbędność dysponowania przez J. N. informacjami indywidualizującymi osoby, przeciwko którym zamierza ona skierować powództwo w związku z zarzutem nieuprawnionej ingerencji w sferę jej dób osobistych oraz prywatny akt oskarżenia, nie budzi wątpliwości. Organ nadzorczy wskazał jednocześnie, że w sytuacji, gdy J. N. nie dysponuje zasadniczo żadnymi informacjami o osobach, które w określonych dniach i godzinach, posługując się określonymi pseudonimami (nickami), zamieściły na portalu [...] kwestionowane wpisy na jej temat - poza tymi, które wynikały z ich opublikowania (tj. data, godzina, treść publikacji, pseudonim autora), zasadnym jest przyjęcie, że podejmowanie przez nią działań służących ustaleniu tożsamości tych osób, w celu pociągnięcia ich do odpowiedzialności cywilnej oraz karnej w związku z treścią tych publikacji, mieści się w pojęciu prawnie usprawiedliwionych celów. Organ nadzorczy, powołując się na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 lutego 2010 r., sygn. II SA/Wa 1598/09 - uznał, że prawo do swobodnej, anonimowej wypowiedzi, nie może chronić osób, które naruszają prawa innych osób, od odpowiedzialności za wypowiedziane słowa. Organ nadzorczy podkreślił, że w sieci nikt nie jest i nie może być anonimowy. Mając powyższe na względzie, Prezes UODO stwierdził, że skarżąca spółka bezpodstawnie odmówiła J. N. udostępnienia wnioskowanych danych osobowych autorów kwestionowanych wpisów internetowych, uniemożliwiając jej tym samym podjęcie dalszych działań służących takiej identyfikacji autorów kwestionowanych wpisów, która pozwoli na skuteczne zainicjowanie przeciwko nim planowanych postępowań sądowych. W piśmie z dnia [...] września 2020 r. skarżąca spółka, reprezentowana przez radcę prawnego, działając za pośrednictwem organu nadzorczego, wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2020 r., zaskarżając ją w części utrzymującej w mocy decyzję Generalnego Inspektora Danych Osobowych z dnia [...] listopada 2014 r., tj. w części nakazującej skarżącej spółce udostępnienie J. N. danych osobowych użytkowników portalu internetowego. Wnosząc w petitum skargi o uchylenie zaskarżonej decyzji Prezesa UODO z dnia [...] września 2020 r. oraz poprzedzającej ją decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2014 r. w zaskarżonej części, a także o zasądzenie od organu nadzorczego na rzecz strony skarżącej zwrotu kosztów postępowania sądowego, skarżąca spółka zarzuciła organowi nadzorczemu: 1. naruszenie prawa materialnego, mające wpływ na wynik sprawy, w tym w szczególności: - naruszenie art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - przez jego błędną wykładnię i przyjęcie, że udostępnienie danych użytkownika serwisu internetowego osobie trzeciej jest niezbędne dla wypełnienia celu, jakim jest ochrona praw tej osoby przed sądem, podczas gdy sądy oraz inne organy ochrony prawnej dysponują odpowiednimi środkami prawnymi do uzyskania niezbędnych informacji, - naruszenie art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. - przez jego błędną wykładnię i przyjęcie, że warunkiem wystarczającym nakazania udostępnienia danych, w oparciu o tę normę, jest stwierdzenie prawnie usprawiedliwionego celu realizowanego przez odbiorcę danych oraz niezastosowanie zasady proporcjonalności, a w szczególności pominięcie interesu osób, których dane objęte żądaniem udostępnienia dotyczą, podczas gdy wydanie decyzji nakazującej udostępnienie danych poprzedzić powinno wyważenie interesów odbiorcy danych oraz interesów osób, których dane dotyczą, - naruszenie art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. - przez jego błędną wykładnię i przyjęcie, że udostępnienie danych użytkownika serwisu internetowego nie naruszy jego praw i wolności i w konsekwencji, iż skarżąca spółka nie miała w niniejszej sprawie podstaw do odmowy udostępnienia danych, podczas gdy z okoliczności sprawy wynika, iż w razie udostępnienia żądanych danych J. N. do naruszenia takiego dojdzie, - naruszenie art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. - przez jego błędną wykładnię i przyjęcie, że sama deklaracja J. N. co do pozyskania danych użytkowników serwisu internetowego na potrzeby dochodzenia roszczeń na drodze sądowej przesądza o dopuszczalności przetwarzania danych osobowych na podstawie tego przepisu, podczas gdy samo takie oświadczenie nie może zostać uznane za wystarczające dla ustalenia spełnienia przesłanki niezbędności, stanowiące w konsekwencji podstawę udostępnienia danych osobowych w oparciu o przepisy ustawy, której celem jest ochrona danych osobowych; 2) naruszenie przepisów postępowania, mogące mieć istotny wpływ na wynik sprawy, w szczególności: - naruszenie art. 138 § 1 pkt 1 k.p.a. w zw. z art. 18 ust. 1 pkt 2 u.o.d.o. z 1997 r. - poprzez utrzymanie w mocy decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2014 r., wskutek uznania jej za decyzję prawidłową i przyjęcie, że w niniejszej sprawie skarżąca spółka naruszyła przepisy ustawy o ochronie danych osobowych i zachodzi podstawa do wydania decyzji nakazującej udostępnienie danych osobowych, podczas gdy wobec braku podstaw do nakazania J. N. udostępnienia danych osobowych w niniejszej sprawie sporna decyzja z dnia [...] listopada 2014 r. powinna zostać uchylona w zaskarżonej części. W uzasadnieniu skargi strona skarżąca zauważyła na wstępie, że zgodnie z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, który znajduje zastosowanie w niniejszej sprawie z uwagi na dyspozycję przepisu art. 160 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. W tej sytuacji, strona skarżąca stwierdziła, że udostępnienie danych na podstawie przywołanego przepisu opiera się zatem na przesłance niezbędności udostępnienia danych, przesłance prawnie usprawiedliwionego celu realizowanego przez odbiorcę danych oraz na negatywnej przesłance naruszenia praw i wolności osoby, której dane dotyczą. Skarżąca spółka zarzuciła, że rozpatrując niniejszą sprawę, Prezes UODO błędnie przyjął, iż udostępnienie danych użytkowników forum dyskusyjnego portalu [...] J. N. jest niezbędne dla wypełnienia celu, jakim jest ochrona jej praw przed sądem. Skarżąca spółka zauważyła bowiem, że sądy oraz inne organy ochrony prawnej dysponują odpowiednimi środkami prawnymi do uzyskania niezbędnych informacji. W tym miejscu, strona skarżąca wskazała, że w przypadku postępowania karnego sądy, policja, czy też prokuratury przy użyciu dostępnych im środków prawnych (m.in. art. 488 i art. 218, czy też art. 236a k.p.k.) ustalają niezbędne informacje. W związku z powyższym, skarżąca spółka podniosła, że zarówno policja, prokuratura, jak i sąd po wszczęciu postępowania sądowego dysponują instrumentami prawnymi pozwalającymi na przeprowadzenie określonych czynności dowodowych, mających na celu ustalenie danych osobowych oskarżonego. Powołując się na stanowisko wyrażone w uzasadnieniu wyroku Naczelnego Sądu Administracyjnego z dnia 3 czerwca 2015 r., sygn. akt I OSK 2496/13, skarżąca spółka stwierdziła, że jeśli zatem istnieje inna możliwość uzyskania danych osobowych, które - zdaniem wnioskodawcy - naruszają jego dobra osobiste (np. z pomocą organów państwowych), to nie można wówczas mówić, że żądanie udostępnienia w/w danych, skierowane do usługodawcy - jest niezbędne. Skarżąca spółka wskazała, że o spełnieniu przesłanki niezbędności możemy mówić tylko wtedy, gdy zobowiązanie administratora do udostępnienia danych jest jedynym sposobem na zrealizowanie celu przez odbiorcę danych. Mając powyższe na względzie, skarżąca spółka stwierdziła, że nie ulega wątpliwości, iż w omawianej sprawie, wobec opisanych wyżej możliwości wszczęcia postępowania karnego, uzyskanie danych przez J. N. na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nie jest niezbędne dla wypełnienia celu, jakim jest ochrona jej praw przed sądem. Tym samym, w ocenie skarżącej spółki, należy przyjąć, iż przesłanka z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. nie została spełniona. Powyższe, w ocenie skarżącej spółki, oznacza, że istnieje możliwość uzyskania dostępu do danych za pośrednictwem odpowiednich organów ochrony prawnej (Policja, prokuratura, czy też sąd), a więc nie ma podstaw do nieuzasadnionej ochrony J. N., która może poddać proces udostępniania danych stosownej kontroli organów, które z kolei wyposażone w odpowiednie środki prawne dokonywać mogą właściwej weryfikacji żądań. Skarżąca spółka zarzuciła ponadto, że w toku postępowania organ nadzorczy pominął potrzebę dokonania wyważenia interesów odbiorcy danych w aspekcie prawa do dochodzenia roszczeń oraz interesów osób, których dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności. Tymczasem, jak zauważyła strona skarżąca, nakazanie jej udostępnienia danych osobowych nie może się - jak błędnie przyjął organ nadzorczy - opierać jedynie na przesłance prawnie usprawiedliwionego celu realizowanego przez odbiorcę danych, albowiem wymagane jest, by udostępnienie danych podyktowane było niezbędnością i nie naruszało praw i wolności osoby, której dane dotyczą. Ponadto, strona skarżąca zarzuciła, że rozstrzygając niniejszą sprawę organ nadzorczy oparł się wyłącznie na konstatacji, iż wobec stwierdzenia wnioskodawcy wskazującego na cel pozyskania danych związany z dochodzeniem roszczeń, przyjąć należy zaistnienie przesłanki niezbędności. Według skarżącej spółki, wydając sporne rozstrzygnięcia organ nadzorczy, wbrew wytycznym zawartym w uzasadnieniu wyroku Naczelnego Sądu Administracyjnego z dnia 21 sierpnia 2013 r., sygn. akt I OSK 1666/12, nie zastosował zasady proporcjonalności i pominął całkowicie interes osób, których dane objęte są żądaniem udostępnienia, tym samym stając się w istocie rzecznikiem wyłącznie interesów wnioskodawcy. Zdaniem strony skarżącej, organ nadzorczy nakazując wydanie danych osobowych nie podjął się indywidualnej oceny okoliczności sprawy, nie dokonał wyważenia przeciwstawnych interesów, jakimi są prawo do ochrony danych osobowych i prawo ochrony czci, godności, dobrego imienia, z uwzględnieniem wymogów wynikających z zasady proporcjonalności, tak aby stosowane środki były adekwatne do zagrożenia dobra wymagającego w danej sprawie większej ochrony, co doprowadziłoby do stwierdzenia przez organ, czy żądane przez wnioskodawcę dane rzeczywiście są mu potrzebne, aby wszcząć postępowanie sądowe, czy też tylko po to, by dowiedzieć się, kto jest autorem wpisu zamieszczonego w Internecie. Strona skarżąca wskazała, że stosując zgodnie z przywołanym wyżej wyrokiem Naczelnego Sądu Administracyjnego zasadę proporcjonalności, należy wziąć pod uwagę, że mamy do czynienia w niniejszej sprawie z kolizją interesów kierownika jednostki organizacyjnej gminy z interesami osób fizycznych, pracowników jednostki, zaś zależność występująca między autorami wpisów, a wnioskodawcą rodzi zatem szczególne obawy o możliwość wystąpienia nadużyć w zakresie wykorzystania uzyskanych danych. Skarżąca spółka podniosła ponadto, że organ nadzorczy, podejmując decyzję nakazującą udostępnienie danych osobowych J. N., obowiązany był rozstrzygnąć zaistniały konflikt dóbr użytkowników serwisu oraz wnioskodawcy, na rzecz ochrony prywatności użytkowników i stosownie do art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. odmówić udostępnienia danych, albowiem ich udostępnienie spowodowałoby istotne naruszenie dóbr osobistych osób, których dane dotyczą, a tym samym zachodziła przesłanka negatywna wydania danych z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. Skarżąca spółka zauważyła jednocześnie, że wobec braku instrumentów pozwalających na jakąkolwiek kontrolę wykorzystania udostępnionych danych, nie ma żadnych gwarancji, że udostępnione dane zostaną wykorzystane w procesie sądowym, a kontrolę nad ich wykorzystaniem będzie wykonywał sąd. Skarżąca spółka uznała, że istnieje możliwość wykorzystania udostępnionych danych osobowych w celu niezgodnym z tym, dla którego były udostępnione, co jest niepokojące zwłaszcza w aspekcie występującej w niniejszej sprawie zależności między autorami wpisów a wnioskodawczynią J. N. Ponadto, skarżąca spółka podniosła, że przepisy obowiązujących ustaw nie zawierają normy prawnej pozwalającej na rozstrzygnięcie zachodzącej w niniejszej sprawie kolizji praw i wolności. Skarżąca spółka zaznaczyła, że z jednej strony mamy do czynienia z prawem żądającego udostępnienia danych osobowych do dochodzenia naruszonych praw przed sądem, z drugiej zaś - jak podkreśliła skarżąca spółka - występuje prawo prywatności oraz do poufności komunikacji gwarantowane nie tylko przez międzynarodowe instrumenty prawne dotyczące praw człowieka, w szczególności Europejską Konwencję o Ochronie Praw Człowieka i Podstawowych Wolności, ale również przez Konstytucję RP, która w art. 49 stanowi, że "Zapewnia się wolność i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony". Skarżąca spółka, powołując się na wyrok Naczelnego Sądu Administracyjnego z dnia 21 sierpnia 2013 r., sygn. akt I OSK 1666/12, stwierdziła, że warunkami domagania się udostępnienia danych, jakie zgromadził administrator serwisu internetowego, są proporcjonalność środków i celów oraz równowaga pomiędzy ochroną różnych dóbr: wolności wypowiedzi i prawa do ochrony dóbr osobistych. Mając powyższe na względzie, skarżąca spółka zarzuciła, że Prezes UODO dokonał w niniejszej sprawie błędnej wykładni art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r., niezasadnie przyjmując, iż sama deklaracja J. N., co do pozyskania danych użytkowników serwisu internetowego na potrzeby dochodzenia roszczeń na drodze sądowej, przesądza o dopuszczalności przetwarzania danych osobowych na podstawie tego przepisu. Według strony skarżącej, J. N. nie wykazała w żaden wiarygodny sposób, iż pozyskanie danych użytkowników jest niezbędne dla wypełnienia przez nią prawnie usprawiedliwionych celów. Skarżąca spółka uznała, że lakoniczne stwierdzenie, iż J. N. "zamierza wytoczyć procesy osobom nadużywającym jej dobre imię" nie może być uznane za wystarczające (tak również: wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 stycznia 2014 r., sygn. akt II SA/Wa 1082/13), zaś zaakceptowanie stanowiska organu nadzorczego sprowadzałoby rozstrzyganie takich spraw do bezrefleksyjnego ustalenia, czy wnioskujący jedynie zadeklarował zamiar wytoczenia powództwa. Skarżąca spółka uznała, że udostępnianie danych każdemu podmiotowi, który tego zażąda, uzasadniając krótko, iż uzyskane dane są mu potrzebne do dochodzenia roszczeń na drodze sądowej, oznaczałoby w istocie, iż przepisy ustawy o ochronie danych osobowych, której celem jest ochrona danych stałyby się podstawą do w zasadzie niekontrolowanego wypływu tych danych. W konsekwencji, strona skarżąca stwierdziła, że zaakceptowanie stanowiska organu nadzorczego, w myśl którego do realizacji usprawiedliwionego celu przez odbiorcę danych dochodzi w każdej sytuacji, w której wnioskodawca wskazuje na cel związany z dochodzeniem roszczeń przed sądem, prowadziłoby do uznania, iż każdorazowo interes wnioskodawcy przeważa nad interesem osób, których dane dotyczą. Według strony skarżącej, taka interpretacja pozostaje jednak w niezgodzie z brzmieniem art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r., jak również z celem tej ustawy, jakim jest przecież ochrona prywatności i ochrona danych osobowych. Niezależnie od powyższego, skarżąca spółka podkreśliła, iż ochrona danych osobowych użytkowników forum dyskusyjnego portalu [...] ma dla niej fundamentalne znaczenie, albowiem strona skarżąca w ramach prowadzonej działalności internetowej w sposób szczególny dba o ochronę danych użytkowników. Według skarżącej spółki, wszelkie naruszenia w zakresie ochrony tych danych rodzić będą konsekwencje prawne, w tym odpowiedzialność odszkodowawczą, a także godzić będą w istotę opartego na zaufaniu stosunku prawnego łączącego skarżącą spółkę, jako usługodawcę usług świadczonych drogą elektroniczną, z odbiorcami tych usług. W odpowiedzi na skargę Prezes Urzędu Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując swoje dotychczasowe stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji. Odnosząc się do zarzutów skarżącej spółki, organ nadzorczy powołał się m.in. na wyrok Naczelnego Sądu Administracyjnego z dnia 10 listopada 2015 r., sygn. I OSK 685/14, w którym NSA uznał, że przepis art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną, należy interpretować jako dopuszczający przetwarzanie danych osobowych przez wszystkie podmioty, gdy jest to niezbędne dla zrealizowania ich uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. W konsekwencji, Prezes UODO stwierdził, że skarżąca spółka bezpodstawnie odmówiła J. N. udostępnienia wnioskowanych przez nią danych osobowych autorów kwestionowanych wpisów na portalu internetowym, uniemożliwiając jej tym samym podjęcie dalszych działań służących takiej identyfikacji autorów kwestionowanych wpisów, która pozwoli na skuteczne zainicjowanie przeciwko nim planowanych postępowań sądowych. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje. Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2021 r., poz. 137), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego. Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity Dz. U. z 2019 r., poz. 2325 ze zm. - dalej także: "P.p.s.a."). Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej. Należy zauważyć, że w tej sytuacji, Wojewódzki Sąd Administracyjny w Warszawie, dokonując oceny legalności zaskarżonych rozstrzygnięć Prezesa Urzędu Ochrony Danych Osobowych, zobowiązany jest - co do zasady - zbadać ich zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - zwane także: "RODO"). Niemniej jednak, w niniejszej sprawie Sąd zobowiązany był uwzględnić fakt, iż zgodnie z art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego. W świetle powyższych regulacji intertemporalnych odnoszących się do postępowań prowadzonych przez poprzedni organ nadzorczy - Generalnego Inspektora Ochrony Danych Osobowych, ustawodawca przyjął, iż postępowania, które nie zostały zakończone do dnia wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, a więc do dnia 25 maja 2018 r., mają być nadal prowadzone przez nowy organ nadzorczy - Prezesa Urzędu Ochrony Danych Osobowych, w oparciu o stare przepisy, a więc u.o.d.o. z 1997 r. i zasady określone w Kodeksie postępowania administracyjnego, przy jednoczesnym uwzględnieniu faktu, iż - zgodnie z art. 160 ust. 3 u.o.d.o. - czynności dokonane w tych postępowaniach pozostają skuteczne. W tej sytuacji, Sąd badając legalność obu spornych decyzji organu nadzorczego zobowiązany był uwzględnić fakt, iż - w świetle art. 160 ust. 2 u.o.d.o. - zarówno analizowane postępowanie, jako wszczęte i niezakończone przed dniem wejścia w życie aktualnie obowiązującej ustawy, jak i obie wspomniane decyzje administracyjne muszą być oceniane w zakresie ich zgodności z poprzednio obowiązującą ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga spółki [...] z siedzibą w [...] zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2020 r., jak i poprzedzająca ją decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2014 r. w części nakazującej skarżącej spółce udostępnienie J. N. danych osobowych użytkowników portalu internetowego [...] w zakresie numerów IP ich komputerów oraz adresów e-mail (a więc w części określonej w punkcie 1 tej decyzji) - naruszają w sposób istotny obowiązujące przepisy prawa. Analizując niniejszą sprawę, Sąd doszedł bowiem do wniosku, że organ nadzorczy, wydając obie sporne decyzje administracyjne, dopuścił się przede wszystkim - mogącego mieć zasadniczy wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., a także art. 107 § 3 k.p.a. w zw. z art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz w związku z art. 160 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, które to naruszenie polegało przede wszystkim na niedokładnym ustaleniu zamiaru podmiotu wnioskującego o udostępnienie mu danych osobowych na potrzeby postępowania sądowego, a w szczególności, nieustaleniu w toku postępowania wyjaśniającego, czy w warunkach konkretnego stanu faktycznego powoływanie się przez tę osobę na wolę wszczęcia postępowania sądowego nie ma charakteru pozornego. W konsekwencji, zdaniem Sądu, organ nadzorczy dopuścił się uchybienia polegającego na naruszeniu art. 7 i art. 77 k.p.a. w związku z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, z uwagi na nieprzeprowadzenie oceny realności podawanej podstawy faktycznej uruchomienia w konkretnej sprawie postępowania sądowego, co mogło mieć istotny wpływ na wynik sprawy, albowiem udostępnienie danych osobowych, na podstawie art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r., musi być niezbędne. Organ nadzorczy dopuścił się jednocześnie naruszenia art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r., polegającego na jego błędnej wykładni i w konsekwencji nieprawidłowemu przyjęciu, że sama deklaracja J.N. co do pozyskania danych użytkowników serwisu internetowego na potrzeby dochodzenia roszczeń na drodze sądowej przesądza o dopuszczalności przetwarzania danych osobowych na podstawie tego przepisu, podczas gdy samo takie oświadczenie nie może zostać uznane za wystarczające dla ustalenia spełnienia przesłanki niezbędności, stanowiącej w konsekwencji podstawę udostępnienia danych osobowych w oparciu o przepisy cyt. ustawy, której celem jest ochrona danych osobowych. Przechodząc do oceny legalności obu spornych decyzji, należy zauważyć na wstępie, że istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy - w świetle przepisów art. 18 ust. 1 pkt 2 w związku z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - organ nadzorczy w ogóle miał uprawnienie do zobowiązywania skarżącej spółki [...], jako administratora danych osobowych, do udostępniania będących w jego posiadaniu danych osobowych internautów (użytkowników portalu internetowego) osobie trzeciej, na potrzeby ewentualnego wytoczenia przez ową osobę trzecią powództwa cywilnego o ochronę dóbr osobistych. Rozstrzygając powyższą wątpliwość, przede wszystkim należy mieć na względzie to, iż zgodnie z konstytucyjną zasadą legalizmu, w oparciu o którą muszą działać wszystkie podmioty publiczne, Prezes UODO, jako organ nadzorczy (wcześniej zaś Generalny Inspektor Ochrony Danych Osobowych), będąc podmiotem publicznym może podejmować wyłącznie takie działania, które znajdują swoje źródło w przepisach obowiązującego prawa. Nie ulega więc wątpliwości, że aby organ nadzorczy mógł podjąć określone działania, musi mieć do tego stosowne umocowanie ustawowe. Na marginesie zauważyć trzeba, iż w świetle obecnie obowiązujących przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), co do zasady uprawnienia proceduralne i materialne przyznane zostały wyłącznie osobom, których danych osobowych dotyczy ochrona. Osobami tymi są więc te, których dane osobowe są chronione przez powyższy akt prawny, a nie jakiekolwiek inne osoby trzecie. W konsekwencji, wskazać należy, że z przepisów RODO nie przysługują żadne uprawnienia osobom trzecim, czyli innym niż te, których danych osobowych dotyczy ochrona. W szczególności, przepisy RODO nie dają uprawnień informacyjnych podmiotom, które zamierzają wytaczać powództwa osobom fizycznym, których dane osobowe objęte są ochroną. Mało tego, przepisy RODO nie dają takich uprawnień także organowi nadzorczemu. Prezes UODO nie może więc żądać od administratora danych osobowych ich ujawnienia osobie trzeciej, na potrzeby ewentualnego postępowania sądowego. Takiego uprawnienia nie sposób wywieść z art. 6 ust. 1 lit. f RODO, albowiem przepis ten stanowiłby dla podmiotu skarżącego (wnoszącego o udostępnienie danych) podstawę prawną do przetwarzania konkretnych danych osobowych w sytuacji, gdyby podmiot ten był już w posiadaniu tych danych. Powyższa norma nie daje jednak podmiotowi składającemu skargę uprawnienia do pozyskania takich danych osobowych bezpośrednio od administratora, czy też za pośrednictwem Prezesa UODO. Co więcej, uprawnienie takie nie wynika również z treści art. 58 ust. 1 lit. a RODO, gdyż ten przepis dotyczy wyłącznie zakresu zadań organu nadzorczego, i nie sposób z niego wywieść, by organ nadzorczy mógł zobowiązywać administratora danych do ich ujawniania osobom trzecim. Warto zauważyć ponadto, że omawianego uprawnienia nie osób również skutecznie wywieść z treści art. 58 ust. 2 lit. c RODO. Nie ulega bowiem wątpliwości, że RODO zajmuje się przecież prawem do ochrony danych osobowych, a nie dóbr osobistych. Stąd użyte we wspomnianym wyżej przepisie art. 58 ust. 2 lit. c RODO sformułowanie "osoby, której dane dotyczą" musi być rozumiane w ten sposób, że chodzi tu o osobę, której dane są przetwarzane, a nie o jakąkolwiek inną osobę trzecią. Na marginesie, zauważyć należy także, iż uprawnienie do żądania udostępnienia przez administratora danych osobie trzeciej przetwarzanych przez niego danych osobowych (tak, jak w niniejszej sprawie) nie przysługuje Prezesowi UODO także na podstawie przepisów obecnie obowiązującej ustawy z 10 maja 2018 r. o ochronie danych osobowych. Powyższe uwagi nie mogą mieć jednak istotnego znaczenia w niniejszej sprawie, albowiem - jak zauważył Sąd na wstępie wszelkich rozważań - badając legalność obu spornych decyzji organu nadzorczego wydanych w analizowanej sprawie, uwzględnić trzeba fakt, iż - w świetle art. 160 ust. 2 u.o.d.o. - zarówno analizowane postępowanie, jako wszczęte i niezakończone przed dniem wejścia w życie aktualnie obowiązującej ustawy, jak i obie wspomniane decyzje administracyjne muszą być oceniane w zakresie ich zgodności z poprzednio obowiązującą ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W tej sytuacji, wskazać należy, że - wbrew zarzutom skarżącej spółki, w niniejszej sprawie dla Sądu niesporne było, że dochodzenie roszczeń przed sądem może być podstawą do przetwarzania danych osobowych, w oparciu o art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Jednocześnie, uznać należy, że nie jest trafne stanowisko, jakoby jedyną podstawą udostępnienia spornych danych internautów - użytkowników portalu internetowego prowadzonego przez skarżącą spółkę [...] może być wyłącznie art. 18 ust. 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, który expressis verbis ogranicza katalog podmiotów upoważnionych do żądania udostępnienia danych do organów państwa. Wojewódzki Sąd Administracyjny w Warszawie w składzie orzekającym w niniejszej sprawie w całej rozciągłości podziela stanowisko prezentowane w judykaturze, z którego wynika, że dla nakazania przez Generalnego Inspektora Ochrony Danych Osobowych - na podstawie art. 18 ust. 1 pkt 2 w związku z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. - udostępnienia danych osobowych osób na potrzeby wniesienia pozwu do sądu przez jednostkę wnioskującą o te dane - konieczne jest wnikliwe przeanalizowanie i zweryfikowanie przez organ nadzorczy, iż zamiar tej jednostki skorzystania z prawa do sądu jest realny i rzeczywisty. W ocenie Sądu, niedopuszczalne jest bowiem powoływanie się na wolę skorzystania z przysługującego prawa do sądu po to, aby w istocie jedynie poznać dane osobowe innej osoby, gdyż stanowiłoby to niezasługujące na ochronę nadużycie art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. (tak m.in. /w:/ wyrok Naczelnego Sądu Administracyjnego z dnia 10 listopada 2015 r., sygn. akt I OSK 1173/14). W orzecznictwie sądowym, jak słusznie wskazał organ nadzorczy, przyjmuje się wprawdzie, że umożliwienie podjęcia czynności prawnych zmierzających do ochrony swoich dóbr osobistych na drodze cywilnej jest działaniem w granicach prawa, pozwalającym na odstępstwo od zasady ochrony danych osobowych (por. m.in. wyrok NSA z dnia 18 kwietnia 2014 r., sygn. akt I OSK 2789/12, czy też wyrok NSA z dnia 10 listopada 2015 r., sygn. akt I OSK 1210/14). Niemniej jednak, właściwe załatwienie danej sprawy wymaga od organu nadzorczego podjęcia działań zmierzających do ustalenia, czy udostępnienie danych osobowych na potrzeby wniesienia pozwu do sądu przez stronę wnioskującą o te dane jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów. W ramach tego typu postępowania organ nadzorczy powinien wnikliwe przeanalizować i zweryfikować, czy zamiar skorzystania przez podmiot wnioskujący o udostępnienie danych z prawa do sądu jest realny i rzeczywisty. W orzecznictwie wskazuje się bowiem, że niedopuszczalne jest powoływanie się na wolę skorzystania z przysługującego prawa do sądu wyłącznie po to, aby w istocie jedynie poznać dane osobowe innej osoby. Taka motywacja stanowiłaby niezasługujące na ochronę nadużycie art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Z tego względu, w judykaturze wskazuje się, że organ nadzorczy musi dokładnie ustalić zamiary podmiotu wnioskującego o udostępnienie mu danych na potrzeby postępowanie sądowego, w szczególności, czy w warunkach konkretnego stanu faktycznego powoływanie się przez ten podmiot na wolę wszczęcia postępowania sądowego nie ma charakteru pozornego. Organ zobowiązany jest zatem ocenić realność podawanej podstawy faktycznej uruchomienia w konkretnej sprawie postępowania sądowego. Ocena, czy cel wnioskodawcy jest prawnie usprawiedliwiony, należy nie tylko do kompetencji organu nadzorczego, ale także do jego obowiązków w ramach realizacji normy prawnej określonej w ar. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. (por. m.in. wyrok NSA z dnia 10 listopada 2015 r., sygn. akt I OSK 1173/14, czy też wyrok NSA z dnia 10 listopada 2015 r., sygn. akt I OSK 1210/14; podobnie: /w:/ wyrok NSA z dnia 22 marca 2018 r., sygn. akt I OSK 454/16). W konsekwencji, uznać należy - zdaniem Sądu - że zarówno Generalny Inspektor Ochrony Danych Osobowych, jako organ nadzorczy wydający sporną decyzję z dnia [...] listopada 2014 r. nakazującą w jej punkcie 1 udostępnienie przez stronę skarżącą wnioskodawczyni J. N. danych osobowych użytkowników portalu internetowego prowadzonego przez spółkę [...] w zakresie numerów IP ich komputerów oraz adresów e-mail, a także Prezes UODO, wydając zaskarżoną decyzję z dnia [...] września 2020 r., zobowiązani byli - w świetle art. 7 i art. 77 k.p.a. w związku z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. - dokładnie ustalić zamiary podmiotu wnioskującego o udostępnienie mu danych na potrzeby postępowania sądowego, w szczególności, precyzyjne wyjaśnić w toku postępowania sprawdzającego, czy w warunkach konkretnego stanu faktycznego powoływanie się przez tę osobę na wolę wszczęcia postępowania sądowego nie ma charakteru pozornego. Organ nadzorczy zobowiązany był zatem ocenić realność podawanej podstawy faktycznej uruchomienia w konkretnej sprawie postępowania sądowego, albowiem zgodnie z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. udostępnienie danych osobowych musi być niezbędne. Owszem, o ile w pełni zgodzić się należy z organem nadzorczym, że zbyt daleko idąca jest sugestia skarżącej spółki, jakoby wykazanie przez podmiot wnioskujący o udostępnienie danych osobowych usprawiedliwionego celu posiadania danych internautów może nastąpić dopiero po zainicjowaniu przez ten podmiot postępowania sądowego, tym niemniej jednocześnie uznać trzeba jednak, że skoro elementem niezbędnym dla zastosowania art. 18 ust. 1 pkt 2 w związku z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r., jest wykazanie, iż udostępnienie spornych danych osobowych - znajdujące oparcie w przepisie art. 21 ust. 1 pkt 5 u.o.d.o. z 1997 r. - jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych osobowych albo odbiorcę danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. W konsekwencji, Sąd stwierdził, że organ nadzorczy, działając na podstawie art. 18 ust. 1 pkt 2 w związku z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r., zobowiązany był ex officio w toku spornego postępowania ocenić realność żądania udostępnienia danych osobowych na potrzeby postępowania sądowego, m.in. w oparciu o inne dowody (art. 75 § 1 k.p.a.). Istotne jest bowiem, aby organ nadzorczy ustalił, że udostępnienie danych osobowych nie będzie stanowić celu samego w sobie dla jednostki o nie wnioskującej, lecz posłużą one dla realizacji przez tę jednostkę przysługującego jej prawa do sądu. Zdaniem Sądu, uznać należy jednocześnie, że organ nadzorczy, nakazując ujawnienie danych, musi każdorazowo - przy uwzględnieniu indywidualnych okoliczności danej sprawy - dokonać wyważenia przeciwstawnych interesów, jakimi są prawo do ochrony danych osobowych i prawo do ochrony czci, godności, czy też dobrego imienia danego podmiotu występującego o udostępnienie danych osobowych. Nie ulega wątpliwości, że udostępnienie danych użytkowników portalu internetowego prowadzonego przez skarżącą spółkę jest możliwe, ale tylko po wyważeniu przeciwstawnych interesów, stosownie do okoliczności każdego przypadku oraz przy należytym uwzględnieniu wymogów wynikających z zasady proporcjonalności. W tej sytuacji, Generalny Inspektor Ochrony Danych Osobowych, wydając jako organ nadzorczy sporną decyzję z dnia [...] listopada 2014 r., obowiązany był zatem ex officio uwzględnić nie tylko racje (interesy) podmiotu wnioskującego o żądane informacje, ale także administratora danych oraz - co istotne - podmiotów, których te informacje dotyczą, a które z istoty postępowania o wyjawienie ich danych nie są i nie mogą być czynnie działającymi stronami tego postępowania administracyjnego (podobnie: m.in. /w:/ wyrok Naczelnego Sądu Administracyjnego z dnia 10 listopada 2015 r., sygn. akt I OSK 1173/14). Analizując dopuszczalność udostępnienia żądanych danych oraz wartości prawnych (interesów) podlegających ważeniu przez organ nadzorczy, nie można oczywiście abstrahować od każdorazowego stanu faktycznego sprawy. Oznacza to, że w stanie faktycznym niniejszej sprawy organ nadzorczy zobowiązany był - analizując żądanie J. N. zawarte w jej skardze z dnia [...] kwietnia 2014 r. - uwzględnić fakt, iż wnioskowane informacje dotyczą osób (internautów) korzystających, co do zasady, z wolności komunikowania się (art. 49 zdanie pierwsze Konstytucji RP) oraz wolności wypowiedzi i krytyki (art. 54 ust. 1 Konstytucji RP), które podlegają ochronie konstytucyjnej, tak samo jak prawo do ochrony danych osobowych (art. 51 ust. 1 Konstytucji RP), czy też prawo do sądu (art. 45 ust. 1 Konstytucji RP). Tymczasem, analiza uzasadnienia wydanych w niniejszej sprawie obu decyzji administracyjnych wskazuje, że organ nadzorczy tych wartości nie wziął pod uwagę, a w każdym razie nie uzewnętrznił takiego zabiegu w motywach przedmiotowych decyzji, tak aby mógł on podlegać weryfikacji przez skarżącą spółkę, jako adresata decyzji oraz sąd administracyjny. Zdaniem Sądu, organ nadzorczy nie wyjaśnił, dlaczego z występujących w sprawie wartości przyznał prymat prawu do sądu, albowiem nie uwzględnił i nie przedstawił racji wynikających z innych wartości chronionych prawnie, a przemawiających przeciwko takiemu zabiegowi. Tymczasem, uznać należy, że bezrefleksyjny automatyzm w udostępnianiu informacji o osobach korzystających z wolności wypowiedzi w Internecie może wywoływać tzw. efekt mrożący, zniechęcający do prezentowania własnych racji i poglądów, a zatem godzić w wolność myśli i słowa. W tej sytuacji, należy przestrzegać konstytucyjnie chronionej zasady proporcjonalności (art. 31 ust. 3 Konstytucji RP) przy udostępnianiu tego rodzaju informacji. Zgodzić się należy zarówno z wnioskodawczynią J. N., jak i organem nadzorczym, że osoba dokonująca naruszeń w przestrzeni Internetowej musi mieć świadomość, iż nie może nadużywać swoich praw, naruszając prawa innych, albowiem wolność wyrażania swoich poglądów związana jest z ponoszeniem za te poglądy odpowiedzialności. Sąd ma jednocześnie pełną świadomość tego, iż w dużej części wypowiedzi prezentowane w przestrzeni internetowej nie stanowią konstruktywnej formy zabrania głosu w kwestii objętej zainteresowaniem publicznym i w ramach kultury tej dyskusji, a przeciwnie - wskazują na wolę ich autora bezpośredniego naruszenia chronionych praw innego podmiotu, z czym nie wiąże się przeważająca korzyść społeczna. Wówczas uznać trzeba, iż wypowiedzi te stanowią nadużycie wolności słowa, niezasługujące na ochronę przybierającą postać zachowania danych ich autora w anonimowości. W ocenie Sądu, nie ulega wątpliwości, że osoba formułująca wypowiedzi w przestrzeni internetowej - tak jak i w świecie rzeczywistym - musi być wszak świadoma odpowiedzialności za swoje słowa. Warto ponadto zauważyć, że istotą tego rodzaju usługi jest anonimowość usługobiorców korzystających z ogólnie dostępnych internetowych portali dyskusyjnych, zapewniająca wolność i swobodę wypowiedzi, co jest zasadniczym celem takich portali (por. wyrok Sądu Najwyższego z dnia 8 lipca 2011 r., sygn. akt IV CSK 665/10, OSN z 2012 r. nr 2, poz. 27). Oznacza to konieczność wzięcia pod uwagę przez organ nadzorczy funkcji i specyfiki konkretnej wypowiedzi formułowanej w przestrzeni internetowej przy ocenie, czy rzeczywiście mimo zniechęcających skutków takiego zabiegu dla użytkowników Internetu zasadne jest udostępnienie danych osobowych podmiotowi na potrzeby prowadzenia postępowania sądowego wobec określonych tego typu użytkowników, którzy mieli w opinii owego podmiotu naruszać jego prawa. Nie jest to możliwe bez uwzględnienia przez organ treści każdej z wypowiedzi stanowiących podstawę zgłoszonego żądania udostępnienia danych osobowych na potrzeby postępowania sądowego, jej kontekstu faktycznego oraz funkcji i celu. W orzecznictwie wskazuje się, iż powyższa materia musi być analizowana przez organ przez pryzmat wartości prawnie chronionych w danej sprawie, w tym konstytucyjnych, z uwzględnieniem określonych w art. 7 k.p.a. interesów: społecznego i słusznego interesu stron (por. m.in. wyrok NSA z dnia 10 listopada 2015 r., sygn. akt I OSK 1173/14). Mając powyższe na względzie, niewątpliwie za słuszny interes strony pragnącej poznać dane osobowe celem przeprowadzenia postępowania sądowego może być uznana wola skorzystania z prawa do sądu. Niemniej jednocześnie interes społeczny może wyrażać się w tym, aby chronić anonimowość autorów wypowiedzi sformułowanej w przestrzeni sieciowej właśnie z uwagi na jej znaczenie (konkretne korzyści) społeczne (dla sfery publicznej). Nie można bowiem abstrahować od tego, że niekiedy wypowiedzi stanowiące asumpt do wystąpienia przez dany podmiot na drogę sądową wobec ich autora - mają znaczący walor społeczny z uwagi na to, że zwracają uwagę na istotny problem, czy też nieprawidłowości objęte zainteresowaniem publicznym. Zdaniem Sądu, nie ulega wątpliwości, że związanie rygorami procedury administracyjnej oznacza, iż organ nadzorczy jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego Państwa (art. 8 § 1 k.p.a.). W tej sytuacji, organ nadzorczy, uwzględniając powyższą zasadę, zobowiązany jest przede wszystkim dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony skarżącej. Organ nadzorczy jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 § 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 k.p.a. Mając na uwadze powyższe, Sąd uznał, że organ nadzorczy nie wykazał w uzasadnieniu obu spornych decyzji spełnienia niezbędnych przesłanek przewidzianych w art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, a mianowicie, że udostępnienie żądanych w sprawie danych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów przeważających nad prawami i wolnościami osób, których te dane dotyczą. Naruszyło to zatem także art. 7 k.p.a., nakazujący wyważenie występujących w sprawie interesów. Tymczasem kwestia ta jest szczególnie istotna w stanie faktycznym niniejszej sprawy, albowiem - z uwagi na jej specyfikę - wskazane osoby (użytkownicy portalu internetowego prowadzonego przez skarżącą spółkę) same nie mogą reprezentować swojego interesu, lecz musi go uwzględnić z urzędu organ nadzorczy. W tej sytuacji, powyższe ustalenia powinny znaleźć wyjaśnienie w uzasadnieniu obu decyzji, stosownie do art. 107 § 3 k.p.a., pozwalając jednoznacznie zweryfikować to, czy organ nadzorczy wziął pod uwagę wszystkie istotne w sprawie wartości prawne, ocenił je z należytą uwagą i proporcjonalnością, a następnie przyznał prymat określonym z nich z uwagi na sprecyzowane argumenty na gruncie konkretnego stanu faktycznego. Analizowane działanie organu nadzorczego w sposób istotny naruszało zatem również zasadę zaufania obywateli do organów praworządnego państwa i stosowanego przez nie prawa, wyrażonej w art. 8 § 1 k.p.a. Nie ulega bowiem wątpliwości, że zasada zaufania wyrażona w przepisie art. 8 § 1 k.p.a. ma kontekst konstytucyjny i unijny (europejski), zaś organy administracji publicznej są obowiązane, w ramach wykładni zgodnej z prawem UE i Konstytucją RP, uwzględniać fakt, iż zasada zaufania, również w aspekcie procesowym, jest zasadniczym elementem zasady demokratycznego państwa prawa i jako taka ma swoje umocowanie i źródło w art. 2 Konstytucji RP. W związku z powyższym, skoro działanie organu nadzorczego nie spełniało w sposób ewidentny powyższych warunków, stanowiło to podstawę do wyeliminowania z obrotu prawnego zarówno zaskarżonej decyzji Prezesa UODO z dnia [...] września 2020 r., jak i poprzedzającej ją decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2014 r. w części nakazującej skarżącej spółce udostępnienie J. N. danych osobowych użytkowników portalu internetowego [...] w zakresie numerów IP ich komputerów oraz adresów e-mail (a więc w części określonej w punkcie 1 tej decyzji). Biorąc powyższe pod uwagę, Wojewódzki Sad Administracyjny w Warszawie - działając na podstawie art. 145 § 1 pkt 1 lit. a i c P.p.s.a. - orzekł, jak w pkt. 1 sentencji wyroku. Zasądzając jednocześnie od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącej spółki kwotę 697 złotych tytułem zwrotu kosztów postępowania sądowego, w tym kosztów zastępstwa procesowego, Sąd działał na podstawie przepisów art. 200 i art. 205 § 2 w związku z art. 209 P.p.s.a.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 12.07.2026. · Źródło