Czy serwis internetowy musi udostępnić dane osobowe swoich użytkowników, jeśli wnioskodawca zamierza pozwać ich za treść komentarzy?

Krótkie pytanie: czy dopuszczalne jest udostępnienie danych osobowych użytkowników serwisu internetowego — autorów wypowiedzi na forum internetowym — którzy mieli dopuścić się naruszenia dóbr osobistych? Czy jednak w świetle przepisów ustawy o świadczeniu usług drogą elektroniczną przekazanie danych usługobiorców jest bezprawne? (wyrok NSA z 10 października 2015 r., I OSK 685/14).

Spór dotyczył kwestii udostępnienia pokrzywdzonemu danych osobowych użytkowników forum internetowego, którzy w komentarzach mieli dopuścić się zniesławienia. Zdaniem spółki opublikowane na forum komentarze naruszały jej dobra osobiste i stanowiły przestępstwo z art. 212 kk, wystąpiła zatem o udostępnienie — w celu wniesienia powództwa — danych w postaci imion i nazwisk, adresów zamieszkania, adresów e-mail oraz adresów IP, jako podstawę żądana wskazując art. 23 ust. 1 pkt 5 uoodo.

Administrator forum odmówił podania danych użytkowników, wskazując, że przepis ten jest wyłącznie podstawą do przetwarzania danych — ale nie nakłada na administratora obowiązku ich udostępnienia, zwłaszcza, że dane usługobiorców usługi świadczonej elektronicznie podlegają szczególnej ochronie.

art. 23 ust. 1 ustawy o ochronie danych osobowych
Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

W wydanej decyzji GIODO nakazał udostępnienie danych osobowych, wskazując, iż wystarczającą przesłanką jest usprawiedliwiony cel w postaci wniesienia pozwu o ochronę naruszonych dóbr osobistych.

Sprawa trafiła do sądu, który uchylił zaskarżoną decyzję: interes wnioskodawcy, który zamierza wnieść powództwo, nie może brać góry nad ochroną prywatności jednostki. Skoro zatem prawodawca określił inne zasady dostępu do danych osobowych (w tym przypadku prokuratura uzyskała dane na podstawie art. 18 ust. 6 uośude), to należy przyjąć, że nie było „niezbędności” w rozumieniu art. 23 ust. 1 pkt 5 uoodo.

Osoba, która zamierza występować przeciwko anonimom naruszającym jej prawa może domagać się ochrony, jednak wyłącznie pod kontrolą prokuratury i sądu — udostępnienie danych osobowych bezpośrednio przez administratora pozbawiłoby możliwość tej kontroli. W tym zakresie przepisy regulujące zasady ochrony danych użytkowników e-usług stanowią lex specialis wobec przepisów ustawy o ochronie danych osobowych, która w dodatku przewiduje uprawnienie do korzystania z tych usług anonimowo (wyrok WSA w Warszawie z 25 października 2013 r., II SA/Wa 605/13).

art. 18 ust. 6 uośude
Usługodawca nieodpłatnie udostępnia dane, o których mowa w ust. 1–5, organom państwa uprawnionym na podstawie odrębnych przepisów na potrzeby prowadzonych przez nie postępowań.

Odmiennie rzecz ocenił NSA, który uwzględnił skargę kasacyjną wnioskodawcy i uchylił zaskarżony wyrok: konsekwencją konstytucyjnego prawa do sądu jest prawo wniesienia powództwa o ochronę dóbr osobistych. Jeśli skorzystanie z tego prawa wymaga uzyskania danych osobowych użytkowników serwisu internetowego, to nie można przyjąć, iżby tylko organom państwa przysługiwało uprawnienie do ich uzyskania w toku postępowania sądowego. Tajemnica telekomunikacyjna nie może zatem chronić sprawców działań, które polegają na naruszeniu obowiązującego porządku prawnego w sieci.
Art. 18 ust. 6 uośude należy interpretować jako dopuszczający przetwarzanie danych osobowych przez wszystkie podmioty, gdy jest to niezbędne dla zrealizowania ich uprawnienia — skoro w przepisie nie ma słowa „wyłącznie”, to należy przyjąć, iż regulacja nie jest zawężona do organów państwa („istnieje potrzeba poszerzenia zakresu podmiotowego tego przepisu”).

Granice tajemnicy komunikowania się sięgają granic kolizji z porządkiem prawnym — wnioskodawca dostatecznie uprawdopodobniła, iż dane osobowe internautów są mu niezbędne dla ochrony dobrego imienia, stąd też miała prawo zażądać udostępnienia ich danych osobowych. Udostępnienie danych osobowych użytkowników serwisu następuje w takim przypadku na podstaawie art. 23 ust. 1 pkt 5 uoodo.

Zamiast komentarza: oczywiście w tym przypadku uważam, że rację miał WSA — przepisu art. 18 ust. 6 uośude nie można interpretować rozszerzająco, nawet jeśli taka potrzeba „istnieje”. Pogląd taki jest sprzeczny choćby z art. 5 uośude, który wprost przecież stanowi, iż ustawa ta jest wyłącznie „niezbędnym minimum” ochrony, zatem w przypadku kolizji z inną ustawą, która przydaje zwiększony poziom ochrony — stosować należy owe „mocniejsze” regulacje.