Czy serwis internetowy musi udostępnić dane osobowe swoich użytkowników, jeśli wnioskodawca zamierza pozwać ich za treść komentarzy?

Krótkie pytanie: czy dopuszczalne jest udostępnienie danych osobowych użytkowników serwisu internetowego — autorów wypowiedzi na forum internetowym — którzy mieli dopuścić się naruszenia dóbr osobistych? Czy jednak w świetle przepisów ustawy o świadczeniu usług drogą elektroniczną przekazanie danych usługobiorców jest bezprawne? (wyrok NSA z 10 października 2015 r., I OSK 685/14).

Spór dotyczył kwestii udostępnienia pokrzywdzonemu danych osobowych użytkowników forum internetowego, którzy w komentarzach mieli dopuścić się zniesławienia. Zdaniem spółki opublikowane na forum komentarze naruszały jej dobra osobiste i stanowiły przestępstwo z art. 212 kk, wystąpiła zatem o udostępnienie — w celu wniesienia powództwa — danych w postaci imion i nazwisk, adresów zamieszkania, adresów e-mail oraz adresów IP, jako podstawę żądana wskazując art. 23 ust. 1 pkt 5 uoodo.

Administrator forum odmówił podania danych użytkowników, wskazując, że przepis ten jest wyłącznie podstawą do przetwarzania danych — ale nie nakłada na administratora obowiązku ich udostępnienia, zwłaszcza, że dane usługobiorców usługi świadczonej elektronicznie podlegają szczególnej ochronie.

art. 23 ust. 1 ustawy o ochronie danych osobowych
Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

W wydanej decyzji GIODO nakazał udostępnienie danych osobowych, wskazując, iż wystarczającą przesłanką jest usprawiedliwiony cel w postaci wniesienia pozwu o ochronę naruszonych dóbr osobistych.

Sprawa trafiła do sądu, który uchylił zaskarżoną decyzję: interes wnioskodawcy, który zamierza wnieść powództwo, nie może brać góry nad ochroną prywatności jednostki. Skoro zatem prawodawca określił inne zasady dostępu do danych osobowych (w tym przypadku prokuratura uzyskała dane na podstawie art. 18 ust. 6 uośude), to należy przyjąć, że nie było „niezbędności” w rozumieniu art. 23 ust. 1 pkt 5 uoodo.

Osoba, która zamierza występować przeciwko anonimom naruszającym jej prawa może domagać się ochrony, jednak wyłącznie pod kontrolą prokuratury i sądu — udostępnienie danych osobowych bezpośrednio przez administratora pozbawiłoby możliwość tej kontroli. W tym zakresie przepisy regulujące zasady ochrony danych użytkowników e-usług stanowią lex specialis wobec przepisów ustawy o ochronie danych osobowych, która w dodatku przewiduje uprawnienie do korzystania z tych usług anonimowo (wyrok WSA w Warszawie z 25 października 2013 r., II SA/Wa 605/13).

art. 18 ust. 6 uośude
Usługodawca nieodpłatnie udostępnia dane, o których mowa w ust. 1–5, organom państwa uprawnionym na podstawie odrębnych przepisów na potrzeby prowadzonych przez nie postępowań.

Odmiennie rzecz ocenił NSA, który uwzględnił skargę kasacyjną wnioskodawcy i uchylił zaskarżony wyrok: konsekwencją konstytucyjnego prawa do sądu jest prawo wniesienia powództwa o ochronę dóbr osobistych. Jeśli skorzystanie z tego prawa wymaga uzyskania danych osobowych użytkowników serwisu internetowego, to nie można przyjąć, iżby tylko organom państwa przysługiwało uprawnienie do ich uzyskania w toku postępowania sądowego. Tajemnica telekomunikacyjna nie może zatem chronić sprawców działań, które polegają na naruszeniu obowiązującego porządku prawnego w sieci.
Art. 18 ust. 6 uośude należy interpretować jako dopuszczający przetwarzanie danych osobowych przez wszystkie podmioty, gdy jest to niezbędne dla zrealizowania ich uprawnienia — skoro w przepisie nie ma słowa „wyłącznie”, to należy przyjąć, iż regulacja nie jest zawężona do organów państwa („istnieje potrzeba poszerzenia zakresu podmiotowego tego przepisu”).

Granice tajemnicy komunikowania się sięgają granic kolizji z porządkiem prawnym — wnioskodawca dostatecznie uprawdopodobniła, iż dane osobowe internautów są mu niezbędne dla ochrony dobrego imienia, stąd też miała prawo zażądać udostępnienia ich danych osobowych. Udostępnienie danych osobowych użytkowników serwisu następuje w takim przypadku na podstaawie art. 23 ust. 1 pkt 5 uoodo.

Zamiast komentarza: oczywiście w tym przypadku uważam, że rację miał WSA — przepisu art. 18 ust. 6 uośude nie można interpretować rozszerzająco, nawet jeśli taka potrzeba „istnieje”. Pogląd taki jest sprzeczny choćby z art. 5 uośude, który wprost przecież stanowi, iż ustawa ta jest wyłącznie „niezbędnym minimum” ochrony, zatem w przypadku kolizji z inną ustawą, która przydaje zwiększony poziom ochrony — stosować należy owe „mocniejsze” regulacje.

  • patchworked

    Nie wnikając w interpretację konkretnych przepisów, bardziej w kontekście filozofi prawa: moim zdaniem jest to sytuacja chora, gdy ktoś poczuje się urażony i tylko z tego powodu ma prawo do pozyskania moich danych od podmiotu, któremu je udostępniłem wyłącznie w celu świadczenia mi danej usługi.

    (…) konsekwencją konstytucyjnego prawa do sądu jest prawo wniesienia powództwa o ochronę dóbr osobistych.

    No i fajnie, niech „poszkodowany” idzie do sądu po nakaz wydania danych osobowych przez dostawcę. A jeśli sąd uzna, że żądanie jest absurdalne, to wyśle pacjenta na drzewo. Tak to imho powinno wyglądać.

  • IMHO nie będzie.
    Ale przynajmniej komentarze można jakoś spróbować zweryfikować (na co żaden przepis, wg takiej czy innej interpretacji, nie zezwala — to nie art. 14 uośude). Ale przecież usługa elektroniczna to także listel — idąc w ślad NSA mogę żądać udostępnienia danych abonenta jakiejś skrzynki email, ale przecież właściwie nie mogę podać treści wiadomości, która będzie podstawą roszczeń, bo mamy tajemnicę komunikowania się, a usługodawca (dostawca poczty) nie jest sądem.

  • Mike

    dlategoż nie podaje się prawdziwych danych na forach ani nigdzie gdzie są komentarze; póki co IP nie odpowiada osobie, więc można się obronić

  • Jednak nie z każdej usługi da się skorzystać całkowicie anonimowo.
    Poza tym — prawda :)

  • sjs

    Nie tylko chora, a nawet bardzo niebezpieczna. W ten sposób można wyciągnąć dane każdego, kto chociaż trochę jest dla wyciągającego niewygodny.

  • jan

    Ale czy osoba prowadząca forum/blog obowiązuje tajemnica telekomunikacyjna?

  • Tak, aczkolwiek w tym przypadku nazywa się to-to „danymi eksploatacyjnymi” (art. 18 ust. 5 uośude).

  • jan

    Ale ten artykuł nie mówi nic o tajemnicy. Natomiast prawo telekomunikacyjne definiuje przedsiębiorcę telekomunikacyjnego jako kogoś kogo działalność polega na dostarczaniu sieci telekomunikacyjnych, świadczeniu usług towarzyszących lub świadczeniu usług telekomunikacyjnych. Moim zdaniem strony internetowe w to się nie wpisują. Do tego istnieje rejestr prowadzony przez UKE, dostępny tu: https://www.uke.gov.pl/marta/ i nie znajduję tam portali. Dlatego dla mnie to trochę wątpliwe, że tajemnica telekomunikacyjna miałaby dotyczyć stron internetowych.

    A ogólnie tematu przekazywania danych, tu jest jeszcze jeden wyrok: http://orzeczenia.nsa.gov.pl/doc/D7CB48AB72 (II SA/Wa 569/14).

  • jan

    Irytujące jest milczenie redaktora po tym jak się wskaże, że jego interpretacja przepisów może nie być poprawna. Zniechęca to do prowadzenia dyskusji.

  • Po pierwsze nie zawsze dostrzegam wszystkie komentarze. Po drugie czasem wstrzymuję się z odpowiedzią, licząc, że włączy się ktoś inny.

    Po trzecie uważam, że art. 18 uośude traktuje o tajemnicy — bo ochrona danych osobowych i danych eksploatacyjnych to ochrona prywatności (danych osobowych, etc.), którą można naruszyć ujawniając informacje (niedochowując tajemnicy) — nawet jeśli nie używa słowa „tajemnica”. Po czwarte wszystko to dotyczy tajemnicy komunikowania się (korespondencji). Po piąte sformułowanie to pojawia się w uzasadnieniu wyroku. Po szóste ochrona tajemnicy telekomunikacyjnej nie dotyczy tylko operatorów, lecz każdego (art. 267 par. 2 kk). Po siódme nawet art. 159 PT nie jest adresowany wyłącznie do operatorów — także do mnie, jako blogodajcy, a nawet do P.T. Czytelników (gdyby im się zachciało grzebać).

  • jan

    OK – dzięki. Ma to sens, szkoda, że nie jest to napisane wprost. Swoją drogą, szkoda, że z czasem istniejące przepisy nie stają się precyzyjniejsze. Ale może to dlatego, że są ważniejsze rzeczy do przegłosowania w parlamencie.