Udostępnianie danych przez Administratora

Myślisz, że w Internecie można być anonimowym? Nic bardziej mylnego. W sieci zostawiamy mnóstwo śladów, jednym z głównych jest adres IP.
Adres IP (czyli Internet Protocol) jest o tyle ważny, że może zostać uznany za dane osobowe. Potwierdził to wyrok Wojewódzkiego Sądu Administracyjnego  w Warszawie z 3 lutego 2010 r., sygn. II SA/Wa 1598/09 (do orzeczenia wrócę w dalszej części tekstu)
Z akt sprawy wynika bowiem, iż uczestnik postępowania posiada informacje o dacie logowania, pseudonimach osób dokonujących tej czynności i treści dokonanych wpisów. W ocenie Sądu, powyższe informacje, zestawione z numerami IP umożliwiają jednoznaczne określenie tożsamości osób, które naruszyły dobra osobiste uczestnika postępowania.
Wobec powyższego stwierdzić należy, że Generalny Inspektor zasadnie przyjął, iż żądane przez uczestnika postępowania adresy IP stanowią w niniejszej sprawie dane osobowe w rozumieniu art. 6 ust. 1 ustawy o ochronie danych osobowych, a nakazanie ich udostępnienia stanowi realizację dyspozycji ust. 2 tego przepisu, tzn. stworzy możliwość zidentyfikowania osoby, bądź osób, których tożsamość można określić pośrednio.

Należy również podkreślić, iż adres IP stanowi dane osobowe, gdy jest na stałe przypisany do określonego urządzenia, użytkowanego przez określony podmiot. Ta zależność powoduje, iż w określonych sytuacjach istnieje możliwość identyfikacji tego podmiotu, a taka sytuacja ma miejsce w rozpoznawanej sprawie. Co prawda sam adres IP komputera nie wystarcza do wskazania osoby, która z niego korzystała, ale w zestawieniu z innymi informacjami pozwala przypuszczać, że jej tożsamość można ustalić

Warto podkreślić, że powyższy wyrok nie jest jeszcze prawomocny, została złożona skarga kasacyjna, dotychczas NSA wydało tylko postanowienie (I OSK 1079/10) dotyczące wstrzymania wykonania Decyzji GIODO na tym etapie sprawy, gdyż może pociągnąć za sobą skutki trudne do odwrócenia. Pełen tekst postanowienia na stronie NSA.

Wracając do kwestii adresu IP jako danych osobowych – podobne stanowisko wyraził Główny Inspektor Danych Osobowych, na swojej stronie internetowej – zacytuję fragment:
(…)w przypadkach, gdy adres IP jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową. W praktyce możemy się spotkać jednak z sytuacjami, gdy jednoznaczne przypisanie adresu IP do konkretnej, zidentyfikowanej osoby nie jest praktycznie możliwe. Sytuacja taka może wystąpić np. w kawiarenkach internetowych, gdzie komputery udostępniane są klientom bez odnotowywania ich danych identyfikacyjnych. Są to jednak sytuacje wyjątkowe.
Zazwyczaj niniejszy adres jest w stanie sprawdzić tylko Administrator danej strony, dla "szarego użytkownika" opcja pozostaje niedostępna. Co jednak zrobić, gdy użytkownik chciałby poznać gromadzone dane innego użytkownika w Internecie? 

Decyzja GIODO 

W związku z powyższym interesującą decyzję wydał w sierpniu br. Główny Inspektor Danych Osobowych (GIODO) – treść Decyzji DOLiS/DEC-1013/10
Stan faktyczny sprawy przedstawia się następująco:
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek Pani X, (zwanej dalej Skarżącą) o nakazanie PHU XYZ (dalej: PHU XYZ) udostępnienia jej informacji o osobie, która w dniu 23 lutego 2010 r. o godz. 20:29 dokonała wpisu na portalu internetowym posługując się nickiem „anonim” – w zakresie imienia, nazwiska i adresu IP komputera, z którego dokonano ww. wpisu. W ww. wniosku wskazała, iż w dniu 24 lutego 2010 r. wezwała Pana Z, prowadzącego PHU XYZ, do usunięcia wpisu dokonanego na portalu przez użytkownika posługującego się pseudonimem „anonim”. Wskazała cyt. „treści opublikowanego tekstu są nieprawdziwe, obraźliwe, krzywdzące i naruszające dobre imię Wnioskodawcy. Są poniżające i absolutnie sprzeczne z zasadami współżycia społecznego”
Skarżąca żądała od PHU XYZ (czyli administratora serwisu) powyższych danych na podstawie art. 29 ust 2 ustawy o ochronie danych osobowych (dalej zwana Ustawą):
Art. 29. [Udostępnianie danych] 
1. W przypadku udostępniania danych osobowych w celach innych niż włączenie do zbioru, administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.  
2. Dane osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1, mogą być także udostępnione w celach innych niż włączenie do zbioru, innym osobom i podmiotom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą.
3. Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że przepis innej ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie.
4. Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione. 

Jako "wiarygodne uzasadnienie potrzeby posiadania tych danych" Skarżąca wskazała zamiar wystąpienia z pozwem do sądu powszechnego, gdyż podany wpis naruszał dobra osobiste Skarżącej. PHU XYZ usunął wpis użytkownika, wobec podejrzenia o naruszenie prawa osób trzecich, jednocześnie odmawiając udostępnienia IP, imienia oraz nazwiska osoby zamieszczającej wpis, argumentując, iż udostępnienia dokona na wniosek GIODO albo Policji. 
W związku z powyższym, Skarżący zwrócił się do GIODO, który zdecydował się przeprowadzić postępowanie administracyjne i wydać decyzję.

Przeanalizujmy co powinien zawierać, właściwy (wg. GIODO) wniosek o udostępnienie danych przez administratora:
– informację umożliwiające odszukanie żądanych danych (nick, daty, godziny, umiejscowienia)
– zakres wnioskowanych danych (imię, nazwisko, IP)
– przeznaczenia (w celu wystąpienia z powództwem cywilnym)

Ważnym elementem układanki jest również art. 30 Ustawy, w którym wymienione są enumeratywnie przypadki obligatoryjne odmowy udostępnienia danych.

Art. 30. [Odmowa udostępnienia danych]
Administrator danych odmawia udostępnienia danych osobowych ze zbioru danych podmiotom i osobom innym niż wymienione w art. 29 ust. 1, jeżeli spowodowałoby to:
1) ujawnienie wiadomości stanowiących tajemnicę państwową,
2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego,
3) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,
4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.

Kluczowy jest pkt 4, w którym zabronione jest udostępnianie danych osobowych, jeśli istotnie naruszyłoby dobra osobiste. Został od unormowany wyjątkowo nieostro, dlatego powoduje liczne trudności interpretacyjne. GIODO stwierdził jednak, że w tym wypadku udostępnienie danych osobowych nie narusza powyższego artykułu:
Podkreślenia wymaga, że Skarżąca wiarygodnie uzasadniła potrzebę uzyskania tych danych wskazując, że zamierza wykorzystać ww. informacje dla ustalenia danych osób, które – w jej ocenie – dopuściły się bezprawnej ingerencji w sferę jej dóbr osobistych, tak aby możliwe było skierowanie przeciwko nim powództwa do sądu z tytułu naruszenia jej dóbr prawnie chronionych. Zauważyć przy tym należy, że pozyskanie (przetwarzanie) danych osobowych w ww. celu w każdym przypadku zostanie uznane przez osoby, których dane te dotyczą, za sprzeczne z ich interesem. Okoliczność ta – zwłaszcza mając na uwadze prawne gwarancje obrony przed roszczeniami strony przeciwnej – nie świadczy jednak o naruszeniu ich praw i wolności. Przyjęcie przeciwnego stanowiska skutkowałoby bezzasadną ochroną tego, kto mógł dopuścić się bezprawnej ingerencji w sferę prawnie chronionych interesów innej osoby (zwłaszcza przekonany o anonimowości, jaką gwarantuje mu sieć internet) przed ewentualną odpowiedzialnością za jego działania.
Podsumowując, w niniejszej sprawie Główny Inspektor wydał decyzje administracyjną w której stwierdził, że wniosek Skarżącej skierowany do  PHU XYZ odpowiada wymaganiom przewidzianym przez art. 29 ust 2 i 3 Ustawy i nakazał udostępnienie numerów IP, zgodnie z art 18 ustawy. Umorzył postępowanie w zakresie udostępnienie nazwiska oraz imienia, ponieważ PHU XYZ takich danych nie przetwarza.
Art. 18. [Naruszenie przepisów]  
1. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 
1) usunięcie uchybień, 
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 
5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 
6) usunięcie danych osobowych. 
Nie wiem niestety czy od powyższej Decyzji została złożona skarga do sądu administracyjnego albo żądania o ponowne rozpatrzenie sprawy.

W podobnej sprawie, tym razem WSA i NSA
Nie wiele różniący się stan faktyczny miał miejsce w cytowanym powyżej wyroku WSA (sygn. II SA/Wa 1598/09), jednak oprócz powyższych przepisów pojawiła się możliwość zastosowania art. 159 ust 2 i 3 ustawy prawo telekomunikacyjne.
Art. 159. [Zakres tajemnicy telekomunikacyjnej] 
1.Tajemnica komunikowania się w sieciach telekomunikacyjnych, zwana dalej "tajemnicą telekomunikacyjną", obejmuje: 
1) dane dotyczące użytkownika; 
2) treść indywidualnych komunikatów; 
3) dane transmisyjne, które oznaczają dane przetwarzane dla celów przekazywania komunikatów w sieciach telekomunikacyjnych lub naliczania opłat za usługi telekomunikacyjne, w tym dane lokalizacyjne, które oznaczają wszelkie dane przetwarzane w sieci telekomunikacyjnej wskazujące położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług telekomunikacyjnych; 
4) dane o lokalizacji, które oznaczają dane lokalizacyjne wykraczające poza dane niezbędne do transmisji komunikatu lub wystawienia rachunku; 
5) dane o próbach uzyskania połączenia między zakończeniami sieci, w tym dane o nieudanych próbach połączeń, oznaczających połączenia między telekomunikacyjnymi urządzeniami końcowymi lub zakończeniami sieci, które zostały zestawione i nie zostały odebrane przez użytkownika końcowego lub nastąpiło przerwanie zestawianych połączeń. 
2. Zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że:  
1) będzie to przedmiotem usługi lub będzie to niezbędne do jej wykonania; 
2) nastąpi za zgodą nadawcy lub odbiorcy, których dane te dotyczą; 
3) dokonanie tych czynności jest niezbędne w celu rejestrowania komunikatów i związanych z nimi danych transmisyjnych, stosowanego w zgodnej z prawem praktyce handlowej dla celów zapewnienia dowodów transakcji handlowej lub celów łączności w działalności handlowej; 
4) będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi.  
3. Z wyjątkiem przypadków określonych ustawą, ujawnianie lub przetwarzanie treści albo danych objętych tajemnicą telekomunikacyjną narusza obowiązek zachowania tajemnicy telekomunikacyjnej.  
4. Przepisów ust. 2 i 3 nie stosuje się do komunikatów i danych ze swojej istoty jawnych, z przeznaczenia publicznych lub ujawnionych postanowieniem sądu, postanowieniem prokuratora lub na podstawie odrębnych przepisów. 
WSA podziela zdanie GIODO w wydanej przez niego decyzji, w której uznał, że w niniejszej sprawie zastosowanie będzie miał art. 159 ust 2 pkt 4, czyli ujawnienie adresu IP stało się konieczne z uwagi na dochodzenie ochrony dóbr osobistych według przepisów ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny, a więc nie zostanie złamana tajemnica telekomunikacyjna. Wyrok WSA w całości oddalił skargę na decyzję GIODO.

Sprawę skomplikował w wydanym postanowieniu NSA – I OSK 1079/10 – (po wniesieniu skargi kasacyjnej), który stwierdził:
W orzecznictwie Naczelnego Sądu Administracyjnego podkreśla się natomiast, że przepisy Prawa telekomunikacyjnego przewidują dalej idącą ochronę danych osobowych objętych tajemnicą telekomunikacyjną, niż przepisy ustawy o ochronie danych osobowych. To, że w Prawie telekomunikacyjnym zawarte są uregulowania chroniące procesy przetwarzania danych osobowych objętych tajemnicą telekomunikacyjną (art. 159 ust. 2 i art. 161 ust. 2), nie oznacza jednak, że ustawa o ochronie danych osobowych nie znajduje zastosowania w całości. Wymienione przepisy ustawy Prawa telekomunikacyjnego wyłączają stosowanie ustawy o ochronie danych osobowych tylko w zakresie, w jakim przewidują dalej idącą ochronę danych osobowych od tej, jaka została zagwarantowana tą ostatnią ustawą. W związku z tym, zastosowanie w niniejszej sprawie znajduje art. 5 ustawy o ochronie danych osobowych regulujący relację zachodzącą między normami prawa wewnętrznego, poprzez wprowadzenie zasady rozstrzygania zbiegu norm na korzyść tych norm, które przewidują wyższy poziom ochrony. O zakresie i sposobie ochrony danych osobowych objętych tajemnicą telekomunikacyjną decydować będą, więc przepisy Prawa telekomunikacyjnego, a nie ustawy o ochronie danych osobowych (patrz wyrok Naczelnego Sądu Administracyjnego z dnia 26 stycznia 2009 r., I OSK 174/08 oraz postanowienie z dnia 21 grudnia 2007 r., I OZ 972/07)
Jak wspomniałem na początku niniejszego posta, NSA w postanowieniu orzekł o wstrzymaniu wykonania zaskarżanej decyzji GIODO na tym etapie sprawy. Niestety na stronach GIODO nie znalazłem decyzji Głównego Inspektora, która jest przedmiotem postępowania przed powyższymi sądami administracyjnymi. A szkoda….

Ciekawe może być również uzasadnienie do nowego wyroku WSA w Warszawie (II SA/Wa 1212/10) z dnia 1 grudnia 2010 roku uchylającego decyzję GIODO w przedmiocie ochrony danych osobowych. Niestety nie jest jeszcze dostępne… [edycja: uzasadnienie jest już dostępne – szczegóły w artykule Przechowywanie danych osobowych przez portal bez zgodyprzyp. Colder]

Jak widać Administrator danych osobowych, który może być zarazem administratorem forum czy serwisu internetowego łatwo nie ma. To na nim spoczywa obowiązek oceny czy powyższe przesłanki przewidziane w art. 29 Ustawy zostały spełnione.
Tożsame stanowisko można znaleźć w Ustawa o ochronie danych osobowych Komentarz
Paweł Barta, dr Paweł Litwiński, wydawnictwo C.H. Beck, Warszawa 2009
Administrator danych osobowych, do którego skierowany został wniosek o udostępnienie danych, samodzielnie ocenia, czy spełnione zostały wskazane wyżej warunki udostępnienia danych osobowych (por. E. Kulesza, Odmowa informacji nie zawsze uzasadniona, Rzeczp. z 4.8.1998 r.).
Ponadto, co słusznie zauważyli autorzy komentarza:
Przepisy komentowanej ustawy nie określają terminu, w jakim administrator danych powinien udostępnić dane osobowe. W działalności GIODO ukształtowała się praktyka orzecznicza, zgodnie z którą sprawy takie powinny być załatwiane bez zbędnej zwłoki (por. Sprawozdanie GIODO za rok 2001, s. 225-226). Ustawa nie przesądza także sposobu udostępnienia danych. Odnotować w związku z tym należy stanowisko WSA w Warszawie (wyr. WSA w Warszawie z 12.7.2005 r., II SA/Wa735/04, niepubl.), zgodnie z którym administrator udostępniający dane nie ma obowiązku posługiwania się pocztą poleconą, a wystarczającym jest wysłanie udostępnionych danych listem zwykłym. Udostępnienie danych osobowych nie może jednak prowadzić do naruszenia obowiązków zabezpieczenia danych (A. Drozd, Ustawa…, s. 188). Zgodzić się więc należy ze stanowiskiem, zgodnie z którym udostępnienie danych w taki sposób, że osoba trzecia uzyska możliwość zapoznania się z danymi lub sporządzenia ich kopii, co będzie wynikać z zaniechania podjęcia przez administratora udostępniającego dane lub przez odbiorcę danych wymaganych przez prawo środków zabezpieczenia danych, może skutkować odpowiedzialnością karną z art. 51 OchrDanOsU (por. A. Adamski, Prawo…, s. 164).
Na zakończenie warto podkreślić, że powyższe Decyzje GIODO oraz orzeczenia sądów administracyjnych mają zastosowanie tylko w sprawie między bezpośrednimi zainteresowanymi przy określonym stanie faktycznym.

Tag: dane osobowe

Podziel się artykułem!
Processing your request, Please wait....