Czy dopuszczalne jest żądanie przekazania danych osobowych niezbędnych do wytoczenia powództwa o ochronę danych osobowych? Czy udostępnienie danych osobowych w celach procesowych mieści się w uzasadnionym interesie? Czy możliwe jest nakazanie przez PUODO udostępnienia danych osobowych osobie trzeciej, która potrzebuje tych informacji do obrony swego dobrego imienia i reputacji?
nieprawomocny wyrok WSA w Warszawie z 18 grudnia 2020 r. (II SA/Wa 989/20)
Jedynym celem RODO jest zawarowanie osobie fizycznej odpowiedniej ochrony jej danych osobowych a nie przyznawanie uprawnień informacyjnych innym podmiotom. W szczególności przepisy RODO nie dają uprawnień informacyjnych podmiotom, które zamierzają wytaczać powództwa osobom fizycznym, których dane osobowe objęte są ochroną. Mało tego, przepisy analizowanej regulacji nie dają takich uprawnień także organowi nadzoru. Prezes UODO nie może więc żądać od administratora danych osobowych ich ujawnienia osobie trzeciej, na potrzeby ewentualnego postępowania sądowego.
Sprawa zaczęła się od wysłanego przez anonimową osobę do Sanepidu listela, w którym oskarżono spółkę o wytwarzanie szkodliwych kosmetyków i produktów leczniczych. Zdaniem producenta doszło w ten sposób do naruszenia dobrego imienia, wiarygodności i reputacji, zatem zażądano od odbiorcy udostępnienia danych w postaci imienia, nazwiska, adresu IP zakończenia sieci i adresu poczty elektronicznej; Sanepid żądanych informacji nie przekazał, więc spółka wniosła skargę do PUODO domagając się nakazania udostępnienia danych.
PUODO stwierdził, że nie istnieje przepis pozwalający mu nakazać administratorowi ujawnienia danych osobowych osobie trzeciej. Uregulowania takiego brak wśród katalogu uprawnień organu (art. 58 ust. 1-3 RODO) — owszem, każde państwo może wyposażyć organ w inne mechanizmy (art. 58 ust. 6 RODO), ale polska ustawa o ochronie danych osobowych z 2018 r. takich rozwiązań nie zawiera, zatem nakazanie udostępnienia danych osobowych innej osobie niż sam zainteresowany jest niedopuszczalne (było natomiast możliwe na gruncie ustawy z 1997 r., tu PUODO powołał się na art. 18 ust. 1 d.uodo). Co więcej działając w zgodzie z zasadą jednolitości prawa europejskiego (motyw 129 RODO) szereg organów krajowych zgodnie przyjęło, iż niedopuszczalne jest wydawanie rozstrzygnięć nakazujących udostępnianie danych osobowych w oparciu o RODO.
W skardze do WSA spółka wskazała, iż wykazała ważną podstawę do przetwarzania danych osobowych w postaci zamiaru wytoczenia powództwa o ochronę dóbr osobistych. Oznacza to, że przekazanie danych osobowych jest niezbędne dla realizacji prawnie uzasadnionych interesów (art. 6 ust. 1 lit. f) RODO), zaś PUODO może wystąpić o dostarczenie tych danych jako „potrzebnych do realizacji zadań” (art. 58 ust. 1 lit. a) RODO), a także nakazać administratorowi „spełnienie żądania” wynikającego z RODO (art. 58 ust. 2 lit. c) RODO).
Wojewódzki Sąd Administracyjny rację w sporze urzędowi: żaden z przepisów RODO nie przynosi żadnych uprawnień dla osób trzecich — wszystkie prawa w zakresie ochrony prywatności przysługują osobom, których dane osobowe są przetwarzane (i chronione). W szczególności dotyczy to prawa dostępu do danych, które przysługuje wyłącznie osobie fizycznej, której dane są przetwarzane. RODO nie daje osobie trzeciej (powodowi) prawa żądania przekazania informacji niezbędnych do wytoczenia powództwa o ochronę dóbr osobistych, brak także regulacji pozwalających PUODO na nakazanie udostępnienia im danych osobowych.
Wbrew twierdzeniom strony skarżącej takiego uprawnienia nie sposób też wywieść z art. 6 ust. 1 lit. f) RODO. Ten przepis stanowiłby dla skarżącego podstawę prawną do przetwarzania konkretnych danych osobowych w sytuacji, gdyby skarżący był już w posiadaniu tych danych. Powyższa norma nie daje jednak skarżącemu uprawnienia do pozyskania takich danych osobowych bezpośrednio, czy też za pośrednictwem Prezesa UODO.
Skoro więc organ nie miał podstaw do uwzględnienia wniosku, prawidłowa była decyzja o umorzeniu postępowania ze względu na jego bezprzedmiotowość.
Zamiast komentarza: zaczynając od małej dygresji — niedawno widziałem kolejny wniosek policji o udostępnienie danych osobowych, w którym powołano się na art. 29 d.uodo; nic to, że niedługo minie 10 lat od jego uchylenia (i 3 lata od uchylenia całej ustawy), policja nadal ma swoje formułki i formularzyki. Jestem też zdania, że po uchyleniu tamtego przepisu brak było podstaw do domagania się wydania danych osobowych osobie trzeciej (na próżno podstawy szukać w art. 23 ust. 1 pkt 5, no a art. 18 ust. 1… wolne żarty). Natomiast cieszę się, że zaczynamy mieć jasność co do możliwości żądania ujawnienia cudzych danych osobowych na gruncie RODO — jak zawsze mawiałem: to są przepisy o ochronie, a nie o zasadach przetwarzania danych osobowych — a także, iż wątpliwości co do braku własnych kompetencji jeśli chodzi o zmuszenie administratora do przekazania danych nie ma PUODO.
Q.E.D.