Czy osoba, która zamierza pozwać autora niepochlebnego — zniesławiającego, znieważającego — komentarza opublikowanego w internecie, może domagać się przekazania przez wydawcę serwisu danych osobowych niezbędnych do prowadzenia batalii sądowej? Czy jednak nakazanie przez PUODO udostępnienia danych osobowych internautów jest niedopuszczalne? (nieprawomocny wyrok WSA w Warszawie z 27 listopada 2020 r., II SA/Wa 1542/20).
Sprawa dotyczyła nieprzychylnych pewnej spółce anonimowych komentarzy opublikowanych w sieci (chodziło o Fejsbóka i Gógla). Zdaniem spółki nierzetelne i nieprawdziwe wypowiedzi naruszały jej dobra osobiste, zatem wystąpiła do Prezesa Urzędu Ochrony Danych Osobowych o nakazanie usługodawcom udostępnienia danych osobowych internautów w postaci imienia i nazwiska, adresu zamieszkania, adresu e-mail i adresu IP. W piśmie wskazano, iż informacje te są niezbędne zarówno do wniesienia prywatnego aktu oskarżenia o pomówienie, podania danych osobowych pozwanego wymaga także powództwo cywilne (art. 187 par. 1 kpc).
art. 58 ust. 2 lit. c) rozporządzenia 2016/679
Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:
c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;
W odpowiedzi PUODO stwierdził, że norma prawna przewidująca możliwość nałożenia obowiązku udostępnienia danych osobowych osobie trzeciej nie wynika z RODO ani z ustawy o ochronie danych osobowych, a więc odmówił wszczęcia postępowania.
art. 64 ustawy o ochronie danych osobowych
W celu realizacji swoich zadań Prezes Urzędu ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej.
W skardze na to postanowienie spółka powołała się na przepis pozwalający nakazać organowi spełnienie żądania osoby wynikającego z RODO, a także na generalny przepis przyznający PUODO prawo wglądu we wszystkie informacje, także objęte tajemnicą prawnie chronioną.
Wojewódzki Sąd Administracyjny nie podzielił zarzutów spółki: rozporządzenie o ochronie danych osobowych wymienia precyzyjny katalog uprawień nadzorczych (art. 58 ust. 1 RODO) i naprawczych (art. 58 ust. 2 RODO) Prezesa Urzędu Ochrony Danych Osobowych. Wśród nich jest przepis pozwalający nakazać administratorowi spełnienie żądania osoby, której dane osobowe dotyczą (np. dostępu do danych, sprostowania danych, usunięcia danych, etc.,etc.) — katalog ten uregulowany jest wyczerpująco — ale przepis pozwalający na nakazanie udostępnienia danych osobowych internautów osobie trzeciej nie istnieje. Uprawnienie takie przysługiwało GIODO (podstawą był art. 18 ust. 1 d.uodo — nb. tam jest sześć punktów i nie dostrzegam wyraźnej podstawy), natomiast biorąc pod uwagę obowiązujący stan prawny i zasadę, że organy administracji publicznej działają w granicach i na podstawie prawa — aktualnie takiej możliwości brak (por. „PUODO nie może nakazać udostępnienia danych osobowych osobie trzeciej”).
Żądanie udostępnienia danych osobowych nie znajduje także oparcia w art. 64 uodo, który rzeczywiście zezwala PUODO na wgląd w dane objęte np. tajemnicą zawodową czy tajemnicą przedsiębiorstwa — ale nie oznacza, że organ może zmusić usługodawcę do udostępnienia danych osobowych internautów osobie, która zamierza wytoczyć przeciwko nim sprawy sądowe.
Kompetencji tego rodzaju — spór dotyczy wszakże nie tylko prywatności, ale też swobody wypowiedzi — nie można domniemywać, zaś konstatacja taka jest wystarczającą „inną uzasadnioną przyczyną” dla odmowy wszczęcia postępowania przez PUODO (art. 61a kpa).