Koniec 2018 roku przyniósł kolejny wyrok sądu administracyjnego w sprawie udostępniania danych na podstawie ustawy o świadczeniu usług drogą elektroniczną.

Sprawa udostępniania danych osoby, która rozsyłała obraźliwe, nękające i naruszające dobra osobiste wiadomości e-mail trafiła przed oblicze Naczelnego Sądu Administracyjnego, który 11 grudnia 2018 r. uznał, że Generalny Inspektor Ochrony Danych Osobowych (a w momencie orzekania przez NSA – Prezes Urzędu Ochrony Danych Osobowych) nie miał racji wydając decyzję, w której odmówił zobowiązania operatora do udostępniania danych naruszyciela dóbr osobistych.

Od Policji, aż do Naczelnego Sądu Administracyjnego

Sprawa trafiła do postępowania administracyjnego z inicjatywy adresata obraźliwych wiadomości e-mail po tym, jak organy ścigania uznały, że nie ma podstaw do ścigania czynu z oskarżenia publicznego.  Wcześniej osoba, której dobra zostały naruszone zwróciła się bowiem do Policji w celu podjęcia działań związanych z ustaleniem danych naruszyciela, jednak Policja odmówiła wszczęcia dochodzenia w sprawie. Nie zgadzając się z takim rozstrzygnięciem, pokrzywdzony wniósł do sądu prywatny akt oskarżenia. Jednakże nie dysponując wszystkimi danymi, które miały na celu identyfikację oskarżonego, sąd rejonowy zwrócił wniesiony akt oskarżenia i pokrzywdzonemu pozostało samodzielne dążenie do ustalenia danych osobowych naruszyciela.

Pokrzywdzony zwrócił się o udostępnienie danych najpierw do operatora, a gdy ten odmówił, poprosił również o interwencję ówczesnego Generalnego Inspektora Ochrony Danych Osobowych. Organ stwierdził jednak, że nie widzi podstaw do zobowiązania operatora do udostępnienia danych osobowych naruszyciela. Dopiero wojewódzki sąd administracyjny, który rozpatrywał złożoną przez adresata obraźliwych wiadomości skargę na decyzję GIODO, przyznał rację skarżącemu i uznał, że w omawianej sprawie należy udostępnić dane naruszyciela dóbr osobistych.

Z powyższym rozstrzygnięciem nie zgodził się z kolei GIODO i złożył skargę kasacyjną od wyroku WSA do Naczelnego Sądu Administracyjnego. NSA w uzasadnieniu swojego wyroku uznał, że przepisy ustawy o świadczeniu usług drogą elektroniczną nie wykluczają ujawnienia danych osobowych innym podmiotom czy osobom niż organy państwowe. Z brzmienia art. 18 ust. 6 ww. ustawy, zdaniem NSA, wynika jedynie obowiązek udzielenia informacji o danych organom państwa na potrzeby prowadzonych przez nie postępowań. Zdaniem Sądu, nie wynika natomiast zakaz udostępniania tych danych osobom, których prawa zostały naruszone.

Każdy przypadek należy badać indywidualnie

Naczelny Sąd Administracyjny w omawianym wyroku poparł tym samym argumentację przedstawioną w innym orzeczeniu NSA, które zapadło 21 sierpnia 2013 roku. Wcześniej w podobnym tonie wypowiedział się NSA w orzeczeniu z dnia 22 marca 2018 r.

Dopełnieniem dla przedstawionej wyżej linii orzeczniczej Naczelnego Sądu Administracyjnego, może być również wyrok NSA z dn. 3 czerwca 2015 roku, w którym zauważono, że nie każdy przypadek zwrócenia się o udostępnienie danych powinien być uznany za uzasadniony po stronie usługodawcy. W wyroku tym NSA zauważył, że udostępnienie danych powinno być uzależnione od szczegółowego zbadania konkretnego przypadku. W szczególności, w sytuacji, gdy wnioskodawca wykazał, że podjął próbę uzyskania danych osoby, która – jego zdaniem naruszyła dobra osobiste wnioskodawcy – i w związku z tym zamierza on rzeczywiście dochodzić swoich praw przed sądem cywilnym, należało wniosek taki uwzględnić. NSA zwrócił uwagę, że przepisy ustawy o świadczeniu usług drogą elektroniczną nie mogą bowiem uniemożliwiać działania przepisów kodeksu cywilnego (art. 23, 24 i 448 Kodeksu cywilnego, tj. przepisów dotyczących ochrony dóbr osobistych).

Prawnie usprawiedliwione cele uzasadniały udostępnienie danych, a czy…

Podkreślić należy, że wszystkie wyżej wymienione wyroki dotyczyły stanów faktycznych, w których obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W art. 23 ust. 1 pkt 5 tej ustawy znaleźć można było podstawę prawną do przetwarzania danych, w tym również ich udostępniania, gdy jest to niezbędne do wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców. Inaczej mówiąc, administrator forum internetowego albo usługodawca poczty elektronicznej mógł na tej podstawie udostępnić osobie, której dobra osobiste zostały naruszone, dane użytkownika zamieszczającego obraźliwy wpis lub dane nadawcy nękającego wiadomościami e-mail, gdyż w granicach „prawnie usprawiedliwionego celu”, zgodnie z dotychczasowym orzecznictwem, mieścił się zamiar wytoczenia powództwa. Elementem koniecznym pozwu jest m.in. oznaczenie imienia i nazwiska lub nazwy strony postępowania w przedmiocie powództwa o ochronę dóbr osobistych.

…prawnie uzasadniony interes również?

Ustawa o ochronie danych osobowych z 1997 r. zastąpiona została nową ustawą o ochronie danych osobowych, która weszła w życie 25 maja 2018 r. Jak było to wielokrotnie podkreślane, rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (RODO) jest aktem, który stosuje się bezpośrednio, co oznacza, że zasadnicze kwestie związane z ochroną i przetwarzaniem danych, w tym również podstawy prawne zgodnego z prawem przetwarzania danych znajdować się będą w RODO, a krajowe akty prawne o ochronie danych osobowych służyć mogą co najwyżej pewnemu doprecyzowaniu kwestii związanych z ochroną danych.

RODO, jako jedną z podstaw zgodnego z prawem przetwarzania danych wskazuje przetwarzanie niezbędne do celów wynikających z uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).

Wydaje się, że pomimo zmiany treści terminu „prawnie usprawiedliwione cele” na „uzasadniony interes”, aktualne pozostaną wyrażone do tej pory w doktrynie prawniczej i orzecznictwie poglądy dotyczące możliwości udostępniania danych na gruncie RODO w sytuacji, gdy związane jest to z zapobieganiem oszustwom, a także ma na celu poszukiwanie ochrony prawej w postaci zamiaru wytoczenia powództwa przeciwko naruszycielowi dóbr osobistych.

Na więcej praktycznych wskazówek pozostanie nam zapewne poczekać do czasu pojawienia się pierwszych orzeczeń, które dotyczyć będą stanów faktycznych zaistniałych na gruncie obowiązującego unijnego rozporządzenia o ochronie danych osobowych.

Autorem wpisu jest Jarosław Straś. Specjalista z zakresu prawa handlowego i problematyki dotyczącej ochrony danych osobowych, a także obowiązków przedsiębiorców telekomunikacyjnych na rzecz obronności i bezpieczeństwa oraz realizacji przez nich projektów dotowanych ze środków UE. W Kancelarii zajmuje się głównie obsługą prawną przedsiębiorców, w tym tworzeniem i restrukturyzacją firm. Prowadzi szkolenia i audyty dotyczące stosowania przepisów RODO oraz zarządzania systemem ochrony danych osobowych. Uczestnik konsultacji społecznych projektu przepisów wdrażających ogólne rozporządzenie o ochronie danych (RODO). Posiada certyfikat kompetencji Inspektora Ochrony Danych (luty 2018).