ZSPR.440.195.2019
Na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.), art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) oraz art. 6 ust. 1 lit f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani J.Ż., zam. […], na odmowę udostępnienia przez administratora portalu […], Pana A.W. prowadzącego działalność gospodarczą pod firmą […] z siedzibą w P., danych osobowych w zakresie numeru IP komputera, imienia i nazwiska, adresu e-mail użytkowników posługujących się nickami: (…) oraz (…), Prezes Urzędu Ochrony Danych Osobowych
- nakazuje Panu A.W. prowadzącemu działalność gospodarczą pod firmą […] z siedzibą w P., udostępnienie na rzecz Pani J.Ż., zam. […], danych osobowych w zakresie numeru IP komputera, adresu e-mail użytkowników posługujących się nickami: (…) oraz (…),
- w pozostałym zakresie umarza postępowanie.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie Urząd Ochrony Danych Osobowych) wpłynęła skarga Pani J.Ż., zam. […] (dalej jako: Skarżąca) na odmowę udostępnienia przez administratora portalu […] prowadzącego działalność gospodarczą pod firmą […] z siedzibą w P. (dalej jako: […]), danych osobowych w zakresie numeru IP komputera, imienia i nazwiska, adresu e-mail użytkowników posługujących się nickami: (…) oraz (…).
Skarżąca w treści swojego wniosku wskazała, że cyt.: ,,w związku ze złożonym w dniu […] sierpnia 2016 r. w Komendzie Powiatowej Policji zawiadomieniem o popełnieniu na moją szkodę i szkodę moich najbliższych przestępstwa stalkingu oraz skierowanym do Sądu Rejonowego […] prywatnym aktem oskarżenia o popełnienie przestępstwa z art. 212 Kodeksu karnego wnoszę o zwrócenie się do portalu internetowego: […] […], Adres redakcji: […] P., Redaktor Naczelny: […] o udostępnienie adresu IP komputera, z którego dokonywane są logowania oraz e-maila i imienia i nazwiska użytkownika występującego pod Nickiem: (…) i (…) w celu przedstawienia jako dowody w powyższych sprawach’’. W uzasadnieniu swojego wniosku wskazała także, że cyt.: ,,Wpisy pojawiają się również pod wiadomościami na portalu […] pod wiadomościami zamieszczanymi na tym portalu. Zamieszczane są przez użytkowników występujących pod Nickiem (…) i (…) (wydruki print screen komentarzy w załączeniu). Z uwagi na fakt, że są one w tym samym, dosłownym brzmieniu, co komentarze zamieszczane przez C.K., przeciwko któremu skierowałam akt oskarżenia, zachodzi duże prawdopodobieństwo (graniczące z pewnością), iż pochodzą one od C.K.. Mając powyższe na uwadze, a w szczególności fakt, iż obecnie po nowelizacji kodeksu postępowania karnego, która weszła w życie 1 lipca 2015 r., generalną zasadą jest, że inicjatywa dowodowa leży w gestii strony, wnoszę jak na wstępie.’’ Do akt sprawy Skarżąca przedłożyła kopie aktu oskarżenia wraz z załącznikami zawierającymi wydruki print screen komentarzy z […].08.2016 r., […].08.2016 r., […].08.2016 r.
W związku z powyższym Skarżąca wniosła o wydanie decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem poprzez udostępnienie ww. danych w zakresie numeru IP komputera, imienia i nazwiska, adresu e-mail użytkowników posługujących się nickami: (…)
oraz (…).
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- Skarżąca w dniu […] sierpnia 2016 r. w Komendzie Powiatowej Policji złożyła zawiadomienie o popełnieniu na jej szkodę i szkodę jej najbliższych przestępstwa stalkingu oraz skierowała do Sądu Rejonowego […] prywatny akt oskarżenia o popełnienie przestępstwa z art. 212 Kodeksu karnego. W związku z powyższym zwróciła się do portalu internetowego: […] […], Adres redakcji: […], Redaktor Naczelny: A.W. o udostępnienie adresu IP komputera, z którego dokonywane są logowania oraz e-maila i imienia i nazwiska użytkownika występującego pod Nickiem: (…) i (…) w celu przedstawienia jako dowody w powyższych sprawach (kopia prywatnego aktu oskarżenia z […] sierpnia 2016 r. wraz załącznikami i kopia korespondencji skierowanej do ww. podmiotu w aktach sprawy).
- Skarżąca w dniu […] października 2016 r. zwróciła się do administratora ww. serwisu Pana A.W. redaktora naczelnego portalu […] z wnioskiem o udostępnienie danych osobowych w zakresie imienia, nazwiska oraz adresu IP komputera, adresu e-mail użytkowników posługujących się nickami: (…) oraz (…), którzy dopuścili się w ocenie Skarżącej popełnienia przestępstw z art. 190a Kodeksu karnego i art. 212 Kodeksu karnego na jej szkodę w celu przedstawienia tych informacji, jako dowody w powyższych sprawach toczących się przed Sądem. Jednocześnie Skarżąca nadmieniła, że wniosek o udostępnienie danych osobowych autorów wpisów o nicku (…) i (…) motywowany jest także zamiarem dochodzenia swoich praw przed sądem o naruszenie dób osobistych w zakresie wpisów dokonywanych przez te osoby, cyt. ,, a w szczególności faktem, że wpisy mogły pochodzić od osoby oskarżonej o czyn z art. 190a § 1 k.k. przeciwko której przed Sądem Rejonowym […] toczy się postępowanie karne o sygn. akt […], w którym jestem osobą pokrzywdzoną.’’ Wskazała, że brak ww. danych osobowych wskazanych użytkowników uniemożliwia jej dochodzenie jej praw o naruszenie dób osobistych przed sądem.
- Ww. podmiot […] odmówił udostępnienia wnioskowanych przez Skarżącą danych, wskazując przed Generalnym Inspektorem Ochrony Danych Osobowych w piśmie z […] kwietnia 2017 r., że nie otrzymał korespondencji od Pani J.Ż. z dnia […].10.2016 r. Powołał się na okoliczność, że strona internetowa, o której pisze Skarżąca, nie prowadzi działalności zarobkowej. Ponadto wskazał, że udostępnienie danych osobowych w postaci numeru IP komputera zostanie przez niego udostępnione tylko na wyraźne żądanie Prokuratury.
- Skarżąca w piśmie z dnia […].06.2017 r. poinformowała, że Prokurator Rejonowy Prokuratury […] skierował do Sądu przeciwko C.K. akt oskarżenia o przestępstwo z art. 190a k.k. Sprawa zawisła przed Sądem Rejonowym […] i toczy się pod sygn. akt […]. Do tej sprawy Skarżąca zgłosiła się w charakterze oskarżyciela posiłkowego. Sprawa z oskarżenia prywatnego o zniesławienie o sygn. akt […] została połączona ze sprawą o sygn. akt […] z uwagi na tożsamość sprawcy oraz fakt, że zniesławiające wpisy w Internecie wpisują się w uporczywe nękanie, tj. stanowią element czynu zarzucanego C.K. w sprawie o sygn. akt […].
- Z regulaminu korzystania z serwisu […] wynika, że prenumerata cyfrowa portalu jest usługą świadczoną drogą elektroniczną przez […] na zamówienie użytkowników. W ramach usługi prenumeraty cyfrowej portalu […] […] użytkownik otrzymuje dostęp do treści cyfrowych objętych danym okresem prenumeraty. Usługa prenumeraty cyfrowej ww. portalu jest świadczona wyłącznie dla użytkowników, którzy posiadają konto użytkownika. Aby otrzymać dostęp do treści cyfrowych zależy zalogować się na konto użytkownika, złożyć w portalu […] zamówienie (poprzez kliknięcie ikony ,,zamawiam i płacę’’) oraz zapłacić cenę tam wskazaną. […] zastrzega sobie prawo do usuwania treści oraz blokowania możliwości zamieszczania komentarzy pod artykułami w stosunku do osób, które naruszyły niniejszy regulamin (regulamin korzystania z serwisu w aktach sprawy).
- W toku postępowania zaistniała konieczność przeprowadzenia czynności kontrolnych u Pana A.W. prowadzącego działalność gospodarczą pod firmą […] z miejscem wykonywania w P., w toku których ustalono, że ww. adres jest adresem zamieszkania Pana A.W. i nie jest tam prowadzone biuro. Portalem […] Pan A.W. zarządza zdalnie. Zgodnie z wpisem do CEIDG (nr REGON […], nr NIP […]) przedsiębiorca wykonuje działalność gospodarczą m.in. w zakresie artystycznej i literackiej działalności twórczej, działalności portali internetowych, przetwarzania danych i zarządzania stronami internetowymi (hosting) i podobna działalność. Domena […] została zarejestrowana przez Pana A.W. prowadzącego działalność gospodarczą pod firmą (…) z miejscem prowadzenia w P. w […] S.A. z siedzibą w S.
- W toku kontroli Pan A.W. wyjaśnił, że nie wpłynął do niego wniosek bezpośrednio od Pani J.Ż., zam. […], z dnia […] października 2016 r. o udostępnienie jej danych osobowych użytkowników portalu (…) posługujących się nickami (…) i (…). Pan A.W. wyjaśnił, że nie potwierdzał odbioru przedmiotowej przesyłki. Z kopią ww. wniosku zapoznał się w momencie, gdy otrzymał kopię wniosku od GIODO.
- Jak wyjaśnił Pan A.W., przetwarza on dane użytkowników portalu […] posługujących się nickami (…) i (…) w zakresie adresówe-mail (adresy te podawane są przy rejestracji) oraz numerów IP komputera, z którego dodawane były komentarze do artykułów zamieszczonych w portalu […] Ww. wyjaśnił, że w bazie danych jest tylko jeden użytkownik o nicku (…) i jeden użytkownik o nicku (…).
W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Na wstępie wskazać należy, że z dniem wejścia w życie ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r. poz. 1000 ze zm.), tj. 25 maja 2018 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej: Kpa. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne.
W dniu 25 maja 2018 r. zaczęło obowiązywać Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej: rozporządzeniem 2016/679, którego przepisy regulują kwestie związane z przetwarzaniem danych osobowych osób fizycznych. Od tego dnia Prezes Urzędu zobowiązany jest stosować przepisy ww. rozporządzenia 2016/679 do wszystkich postępowań administracyjnych, które prowadzi. Prezes Urzędu wydając rozstrzygnięcie w danej sprawie uwzględnia bowiem stan prawny obowiązujący w chwili wydawania tego rozstrzygnięcia.
W czasie, gdy miało miejsce zdarzenie opisane przez Skarżącą, obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 zm.), zwana dalej również ustawą. Ww. ustawa określała zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ustawy. Zgodnie z art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych było dopuszczalne, gdy było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Ww. przesłankę przetwarzania danych osobowych zgodnie z prawem (stanowiącą odpowiednik art. 23 ust. 1 pkt 5 ustawy) określa obecnie art. 6 ust. 1 lit f) rozporządzenia 2016/679. Zgodnie z tym przepisem przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Jak wykazało przeprowadzone postępowanie administracyjne, Skarżąca ma podstawy do uzyskania danych w zakresie numeru IP komputera, adresu e-mail użytkowników posługujących się nickami: (…) oraz (…).
Prezes Urzędu Ochrony Danych Osobowych nie podziela stanowiska […], z którego wynika, że podmiot ten w momencie wniesienia przez Skarżącą wniosku o udostępnienie danych nie podlegał przepisom ustawy o ochronie danych osobowych zgodnie z art. 3a, ponieważ Pan A.W. jako osoba fizyczna, przetwarzał dane wyłącznie w celach osobistych lub domowych (zatem nie prowadził działalności w celach zarobkowych). Przeczy temu sam regulamin korzystania z usług serwisu […], z którego wynika, że wynika, że prenumerata cyfrowa portalu jest usługą świadczoną drogą elektroniczną przez […] na zamówienie użytkowników. W ramach usługi prenumeraty cyfrowej portalu […] użytkownik otrzymuje dostęp do treści cyfrowych objętych danym okresem prenumeraty. Usługa prenumeraty cyfrowej ww. portalu jest świadczona wyłącznie dla użytkowników, którzy posiadają konto użytkownika. Aby otrzymać dostęp do treści cyfrowych zależy zalogować się na konto użytkownika, złożyć w portalu (…) zamówienie (poprzez kliknięcie ikony ,,zamawiam i płacę’’) oraz zapłacić cenę tam wskazaną.
Ponadto, Prezes Urzędu Ochrony Danych Osobowych nie podziela także stanowiska (…), z którego wynika, że kierowany pod adresem podmiotu świadczącego usługi drogą elektroniczną wniosek o udostępnienie danych osobowych osób korzystających z tych usług pochodzący od podmiotów innych, niż organy państwa i uzasadniony względami innymi niż potrzeby prowadzonych przez nie postępowań nie może zostać uwzględniony.
Stosownie do brzmienia przepisu art. 18 ust. 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2019 poz. 123 t.j.) , usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań. Powyższy przepis istotnie kształtuje po stronie usługodawcy świadczącego usługi drogą elektroniczną obowiązek udostępnienia danych osobowych osób korzystających z tych usług organom państwa, na potrzeby prowadzonych przez nie postępowań. Tym samym art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną stanowi przepis prawa, o którym mowa w art. 23 ust. 1 pkt 2 ustawy (obecnie art. 6 ust. 1 lit. c) rozporządzenia 2016/679), nakładający wprost na określone podmioty określone prawa i obowiązki w zakresie przetwarzania danych osobowych usługobiorców usług świadczonych drogą elektroniczną. Organy państwa powołujące się na potrzeby prowadzonych postępowań, są zatem uprawnione do pozyskania niezbędnych dla tych celów danych osobowych osób korzystających z usług świadczonych drogą elektroniczną, a przetwarzanych przez podmioty świadczące te usługi – legitymują się bowiem przesłanką zezwalającą na takie ich przetwarzanie określoną w art. 23 ust. 1 pkt 2 ustawy (obecnie art. 6 lit. c) rozporządzenia 2016/679). Istnienie omawianego art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną w żadnym razie nie wyklucza jednak przetwarzania danych osobowych użytkowników usług świadczonych drogą elektroniczną w sytuacji, gdy spełnione zostaną inne przesłanki przetwarzania tych danych określone przepisami ustawy, samodzielne i niezależne od przesłanki z art. 23 ust. 1 pkt 2 ustawy (obecnie art. 6 lit. c) rozporządzenia 2016/679) – np. przesłanka z art. 23 ust. 1 pkt 5 ustawy (obecnie odpowiednikiem ww. przesłanki jest art. 6 ust. 1 lit. f) rozporządzenia 2016/679).
Stosownie do brzmienia art. 16 ust. 1 ustawy o świadczeniu usług drogą elektroniczną, do przetwarzania danych osobowych w rozumieniu ustawy o ochronie danych osobowych, w związku ze świadczeniem usług drogą elektroniczną, stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej. Na tle omówionych regulacji ustawy o świadczeniu usług drogą elektroniczną oczywiście nieuprawnionym byłby wniosek o wyłączeniu stosowania - w procesie przetwarzania danych osobowych osób korzystających z usług świadczonych drogą elektroniczną - art. 23 ust. 1 pkt 5 ustawy (obecnie art. 6 ust. 1 lit. f) rozporządzenia 2016/679), czy istnieniu jakiejkolwiek szczególnej tajemnicy, obejmującej dane osobowe takich osób. Na stanowisku, że z brzmienia art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną wynika jedynie obowiązek udzielenia informacji o danych organom państwa na potrzeby prowadzonych przez nie postępowań, nie wynika natomiast zakaz udostępniania tych danych osobom, których prawa zostały naruszone, stanął również Naczelny Sąd Administracyjny w wyroku z dnia 21 sierpnia 2013 r. w sprawie o sygn. akt I OSK 1666/12.
Odnosząc powyższe do okoliczności rozpatrywanej sprawy wskazać należy, że w ocenie Prezesa Urzędu Ochrony Danych Osobowych wniosek Skarżącej o udostępnienie danych osobowych ww. użytkowników o nicku (…) i (…), w tym numer ich adresów IP i adresów e-mail, znajdował uzasadnienie prawne w art. 23 ust. 1 pkt 5 ustawy, a obecnie ma uzasadnienie w art. 6 lit. f rozporządzenia 2016/679, i jako taki powinien zostać przez podmiot uwzględniony. Skarżąca, bowiem uzasadniła wniosek zamiarem wystąpienia przeciwko autorowi tego wpisu na drogę sądową i niezbędnością żądanych danych z punktu widzenia możliwości dochodzenia wobec tej osoby roszczeń na drodze sądowej o zniesławienie oraz o ochronę dóbr osobistych. W myśl art. 212 § 1 ustawy z dnia 6 czerwca 1997 r. - Kodeks karny (Dz. U. z 2018 r., 1600 tj.) kto pomawia inną osobę, grupę osób, instytucję, osobę prawną lub jednostkę organizacyjną niemającą osobowości prawnej o takie postępowanie lub właściwości, które mogą poniżyć ją w opinii publicznej lub narazić na utratę zaufania potrzebnego dla danego stanowiska, zawodu lub rodzaju działalności, podlega grzywnie albo karze ograniczenia wolności.§ 2 Jeżeli sprawca dopuszcza się czynu określonego w § 1 za pomocą środków masowego komunikowania, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Ponadto, Skarżąca podjęła już korki prawne i w dniu […] sierpnia 2016 r. w Komendzie Powiatowej Policji złożyła zawiadomienie o popełnieniu na jej szkodę i szkodę jej najbliższych przestępstwa stalkingu oraz skierowała do Sądu Rejonowego […] prywatny akt oskarżenia o popełnienie przestępstwa z art. 212 Kodeksu karnego na jej szkodę. Jednocześnie zgodnie z treścią art. 24 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2018 r., poz. 1025) ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny (§1). Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych (§2).
Zindywidualizowanie autorów kwestionowanych wpisów stanowi niezbędny warunek dochodzenia przeciwko nim roszczenia związanego z zarzucaną bezprawną ingerencją w sferę dóbr osobistych Skarżącej. Przepisy normujące procedurę cywilną wymagają bowiem, aby każde pismo procesowe zawierało oznaczenie sądu, do którego jest skierowane, imię i nazwisko lub nazwę stron, ich przedstawicieli ustawowych i pełnomocników, oznaczenie rodzaju pisma, osnowę wniosku lub oświadczenia oraz dowody na poparcie przytoczonych okoliczności, podpis strony albo jej przedstawiciela ustawowego lub pełnomocnika, wymienienie załączników, a gdy pismo procesowe jest pierwszym pismem w sprawie, powinno ponadto zawierać oznaczenie miejsca zamieszkania lub siedziby stron, ich przedstawicieli ustawowych i pełnomocników oraz przedmiotu sporu, pisma zaś dalsze - sygnaturę akt, co wynika z art. 126 § 1 i 2 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2018 r., poz. 1360).
W tym miejscu należy wyjaśnić, czym jest adres IP i czy stanowi on daną osobową w rozumieniu rozporządzenia 2016/679. Zgodnie z art. 4 pkt. 1 rozporządzenia 2016/679 "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Informacje, które wiążą się z określoną osobą – choćby pośrednio – niosą pewien komunikat o niej. Dlatego też informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej wprost, jak i taka, która odnosi się bezpośrednio do przedmiotów czy urządzeń, ale poprzez możliwość powiązania tych przedmiotów czy urządzeń z określoną osobą pośrednio stanowi informację także o niej samej. Adres IP (Internet Protocol Address) jest unikatowym numerem przyporządkowanym urządzeniom sieci komputerowych. Jest zatem informacją dotycząca komputera a nie konkretnej osoby fizycznej, zwłaszcza wtedy gdy możliwe jest współużyczenie jednego adresu IP przez wielu użytkowników w ramach sieci lokalnej. Adres IP nie zawsze wobec tego może być traktowany jako dane osobowe w rozumieniu rozporządzenia 2016/679. Jednak tam gdzie adres IP jest na dłuższy okres czasu lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową, jest to bowiem informacja umożliwiająca identyfikację konkretnej osoby fizycznej [wyrok Naczelnego Sądu Administracyjnego z dnia 19 maja 2011 r., sygn. akt I OSK 1079/10].
Mając na uwadze powyższe, niezbędność dysponowania przez Skarżącą informacjami indywidualizującymi osoby, przeciwko którym zamierza ona skierować powództwo w związku z zarzutem nieuprawnionej ingerencji w sferę jej dóbr, nie budzi wątpliwości. W sytuacji, gdy Skarżąca nie dysponuje zasadniczo żadnymi informacjami o osobach, które posługując się nazwami użytkowników (…) oraz (…) zamieściły na stronie internetowej (…),wpisy naruszający jej dobra osobiste, wyłącznie poza tymi, które wynikały z ich opublikowania (tj. – oprócz daty, godziny, treści publikacji), którymi posłużyły się te osoby w celu ukrycia swojej tożsamości, zasadnym jest przyjęcie, że podejmowanie przez Skarżącą działania służą ustaleniu tożsamości tych osób, w celu pociągnięcia ich do odpowiedzialności cywilnej i karnej w związku z treścią publikacji i mieszczą się w pojęciu prawnie usprawiedliwionego celu. Oczywistym jest, że pozyskanie (przetwarzanie) danych osobowych w ww. celu w każdym przypadku zostanie uznane przez osoby, których dane te dotyczą, za sprzeczne z ich interesem. Okoliczność ta – zwłaszcza mając na uwadze prawne gwarancje obrony przed roszczeniami strony przeciwnej – nie świadczy jednak o naruszeniu ich praw i wolności. Przyjęcie przeciwnego stanowiska skutkowałoby bezzasadną ochroną tego, kto mógł dopuścić się bezprawnej ingerencji w sferę prawnie chronionych interesów innej osoby (zwłaszcza przekonany o anonimowości, jaką gwarantuje mu sieć Internet) przed ewentualną odpowiedzialnością za jego działania.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych […] bezpodstawnie odmówiło Skarżącej udostępnienia wnioskowanych danych w zakresie adresów e-mail oraz numerów IP urządzeń, na których dokonano wpisów, uniemożliwiając jej tym samym podjęcie dalszych działań służących identyfikacji tych osób, w celu wszczęcia postępowania sądowego. Dla potwierdzenia słuszności prezentowanego w niniejszej sprawie stanowiska raz jeszcze powołać warto wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 lutego 2010 r. (sygn. akt II SA/Wa 1598/09), w którym wskazano w szczególności cyt.: „(...) prawo do swobodnej, anonimowej wypowiedzi, nie może chronić osób, które naruszają prawa innych osób, od odpowiedzialności za wypowiedziane słowa. W sieci nikt nie jest i nie może być anonimowy. Wprawdzie ustalenie tożsamości danej osoby może być utrudnione, jednak z uwagi na to, że każdy komputer zostawia w Internecie ślad – adres IP, za pomocą którego można ustalić komputer, z którego dokonano wpisu, stwarza to możliwość pośredniego ustalenia tożsamości osoby, która dokonała tego wpisu (…) uczestnik postępowania posiada informacje o dacie logowania, pseudonimach osób dokonujących tej czynności i treści dokonanych wpisów. W ocenie Sądu, powyższe informacje, zestawione z numerami IP umożliwiają jednoznaczne określenie tożsamości osób, które naruszyły dobra osobiste uczestnika postępowania. (...) żądane przez uczestnika postępowania adresy IP stanowią w niniejszej sprawie dane osobowe w rozumieniu art. 6 ust. 1 ustawy o ochronie danych osobowych, a nakazanie ich udostępnienia stanowi realizację dyspozycji ust. 2 tego przepisu, tzn. stworzy możliwość zidentyfikowania osoby, bądź osób, których tożsamość można określić pośrednio. (...) sam adres IP komputera nie wystarcza do wskazania osoby, która z niego korzystała, ale w zestawieniu z innymi informacjami pozwala przypuszczać, że jej tożsamość można ustalić. W ocenie Sądu, identyfikacja tej osoby nie musi być związana z nadmiernymi kosztami, czasem lub działaniami (…)”.
Ponadto, Naczelny Sąd Administracyjny w wyroku z dnia 21 sierpnia 2013 r. podkreślił, że „(...) osoba dokonująca tych naruszeń musi mieć świadomość, że nie może nadużywać swoich praw naruszając prawa innych. Nie ma to nic wspólnego z ograniczaniem zasady wolności słowa. Wolność wyrażania swoich poglądów związana jest z ponoszeniem za poglądy te odpowiedzialności. Każdy kto wypowiada się publicznie, poza Internetem, ma świadomość co do ewentualnych konsekwencji wypowiedzi, które naruszają podstawowe, ustawowo chronione prawa innych osób. Nieuzasadnione niczym jest natomiast twierdzenie, że ktoś wypowiadający się anonimowo, w sposób naruszający dobra innych podmiotów ma podlegać szczególnej ochronie i to jego dane osobowe są dobrem, które ustawodawca miał zamiar chronić w pierwszej kolejności”.
Reasumując, Prezes Urzędu Ochrony Danych Osobowych stoi na stanowisku, że […] bezpodstawnie odmówiło Skarżącej udostępnienia numerów IP oraz adresów e-mail autorów wpisów o nickach: (…) i (…), uniemożliwiając tym samym Skarżącej podjęcie dalszych działań, które pozwolą na skuteczne zainicjowanie przeciwko tym osobom postępowań sądowych.
Stosownie do art. 18 ust. 1 pkt 2 ustawy w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje udostępnienie wnioskowanych danych osobowych. Mając na uwadze okoliczności przedmiotowej sprawy, Prezes Urzędu Ochrony Danych Osobowych, upoważniony jest do nakazania (…) udostępnienia na rzecz Skarżącej danych osobowych autorów kwestionowanych wpisów w zakresie, w jakim podmiot tymi danymi dysponuje - tj. informacji o numerach IP urządzeń, z którego zamieszczono wpisy oraz adresów e-mail dotyczących użytkowników o nickach: (…) i (…).
Odnosząc się natomiast do żądania Skarżącej udostępnienia mu przez […] danych osobowych użytkowników o nickach: (…) i (…) w zakresie ich imion i nazwisk wskazać należy, iż ww. podmiot nie przetwarza tych danych, zatem nakazanie przez Prezesa UODO ich udostępnienia należy uznać za bezprzedmiotowe. Stosownie do postanowień art. 105 § 1 Kpa, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji wydaje decyzję o umorzeniu postępowania. Przedmiot postępowania wiąże się ze stosowaniem przez organ publiczny przepisów materialnego prawa administracyjnego. W doktrynie wskazuje się, że cyt.: „bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 Kpa, oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty. Przesłanka umorzenia postępowania może istnieć jeszcze przed wszczęciem postępowania, co zostanie ujawnione dopiero w toczącym się postępowaniu, a może ona powstać także w czasie trwania postępowania, a więc w sprawie już zawisłej przed organem administracyjnym”. [B. Adamiak, J. Borkowski, Kodeks postępowania administracyjnego. Komentarz, C.H. Beck, Warszawa 2006, s. 489]. Ustalenie przez organ publiczny zaistnienia przesłanki, o której mowa w art. 105 § 1 Kpa, zobowiązuje go, jak podkreśla się w doktrynie i orzecznictwie, do umorzenia postępowania, nie ma bowiem w sytuacji zaistnienia tej przesłanki podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.