II SA/Wa 1085/04

II SA/Wa 1085/04 - Wyrok WSA w Warszawie
Data orzeczenia
2005-02-09
orzeczenie prawomocne
Data wpływu
2004-06-18
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Kwiecińska /przewodniczący sprawozdawca/
Iwona Dąbrowska
Jacek Fronczyk
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono decyzję I i II instancji
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska (spr.), Sędzia WSA Iwona Dąbrowska, Asesor WSA, Jacek Fronczyk, Protokolant Agnieszka Kolasa, po rozpoznaniu na rozprawie w dniu 9 lutego 2005 r. sprawy ze skargi [...] z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2004 r. nr [...] w przedmiocie udostępnienia danych osobowych użytkowników portalu internetowego [...] 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] lutego 2004 r. 2. zaskarżona decyzja nie podlega wykonaniu w całości 3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącej [...] z siedzibą w W. kwotę 455 zł (czterysta pięćdziesiąt pięć złotych) tytułem zwrotu kosztów postępowania.
Uzasadnienie
Decyzją z dnia [...] kwietnia 2004 r. znak: [...] Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy swoją decyzję z dnia [...] lutego 2004 r., znak [...], nakazującą udostępnienie W.K. danych osobowych użytkowników portalu internetowego [...], podpisujących się w toku dyskusji na forum [...] edycji [...], jako: [...], [...], [...], [...] przez administratora tych danych, tj. [...]
W uzasadnieniu decyzji organ wskazał, iż w dniu [...] lipca 2003 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga W.K. w sprawie nakazania Spółce działającej pod firmą [...] z siedzibą w W. udostępnienia danych osobowych osób, przeciwko którym wnioskodawca zamierza wszcząć postępowanie sądowe. Z przedmiotowej skargi wynika, iż na internetowym forum [...] edycji [...] zostały zamieszczone informacje mające, zdaniem wnioskodawcy, charakter pomówienia jego osoby o czyny i cechy charakteru uważane powszechnie za naganne i takie, które podważają - konieczne do wykonywania zawodu wnioskodawcy - zaufanie do jego osoby. W toku dyskusji na internetowym forum [...], według wnioskodawcy, został on wielokrotnie publicznie zniesławiony przez osoby podpisujące się jako [...], [...], [...], [...] i [...].
W skardze skierowanej do GIODO wyjaśniono też, iż W.K. wystąpił do Spółki z wnioskiem z dnia [...] lipca 2003 r. o udostępnienie numerów IP (pełnych) komputerów, z których wysyłały wiadomości osoby podpisujące się: [...], [...], [...] i [...]. Wnioskodawca wskazał także, iż Prokuratura Rejonowa w K. odmówiła ustalenia sprawców jego zniesławienia. Odmowę tę podtrzymała również Prokuratura Okręgowa w K..
Ponadto wnioskodawca wskazał, iż w dniu [...] kwietnia 2003 r. wniósł do Sądu Rejonowego w K. akt oskarżenia o przestępstwo z art. 212 § 1 Kodeksu karnego przeciwko osobom podpisującym się jako [...], [...], [...], [...]. W dniu [...] czerwca 2003 r. Sąd Rejonowy w K. wydał jednak zarządzenie, mocą którego uznał za bezskuteczny ww. prywatny akt oskarżenia, wobec nieusunięcia przez oskarżyciela braków formalnych aktu oskarżenia - tj. niewskazania imion i nazwisk oskarżonych oraz ich adresów.
W ocenie Generalnego Inspektora Ochrony Danych Osobowych, zgodnie z art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy spełniona zostanie jedna z wymienionych w tym przepisie przesłanek.
Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 pkt 2 ustawy, w tym w szczególności do ich zbierania, przechowywania oraz udostępniania. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z przesłanek. Zgodnie z art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych osobowych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
W literaturze przedmiotu prezentowany jest pogląd, że przytoczony przepis art. 23 ust. 1 pkt 5 ustawy, ustanawia tzw. "klauzulę usprawiedliwionego celu" (J. Barta, R. Markiewicz, "Ochrona danych osobowych. Komentarz", Zakamycze 2002, s. 410). Przedmiotowy przepis przewiduje bowiem możliwość udostępnienia danych osobowych przez administratora tych danych - o którym mowa w art. 3 ust. 2 ustawy (a tym samym przez Spółkę) - osobie fizycznej, jeżeli jest to niezbędne do wypełniania prawnie usprawiedliwionych celów tej osoby. Należy przy tym jednak podkreślić, iż osoba, której w powyżej przedstawiony sposób zostaną udostępnione dane osobowe, powinna nie tylko "legitymować się prawnie usprawiedliwionym celem" w przetwarzaniu przedmiotowych danych, ale również sam proces przetwarzania tych danych nie może naruszać praw i wolności osoby, której dane dotyczą.
Generalny Inspektor Ochrony Danych Osobowych podkreślił, iż dla prawidłowego wszczęcia przez wnioskodawcę postępowania sądowego karnego lub cywilnego, przepisy odpowiednio art. 487 ustawy z dnia 6 czerwca 1997 r. - Kodeks postępowania karnego (Dz. U. Nr 89, poz. 555 ze zm.) oraz art. 187 § 1 w związku z art. 126 § 1 pkt 1 ustawy z dnia 17 listopada 1964 - Kodeks postępowania cywilnego (Dz. U. Nr 43, poz. 296 ze zm.), nakładają na wnioskodawcę obowiązek oznaczenia w pierwszym piśmie procesowym (prywatnym akcie oskarżenia lub pozwie) osoby oskarżonego lub pozwanego, przeciwko której zamierza wszcząć dane postępowanie sądowe.
W ocenie organu administracji, zgromadzony w toku postępowania administracyjnego materiał dowodowy daje podstawy do stwierdzenia, iż cel, dla którego wnioskodawca wystąpił o udostępnienie danych, tj. dochodzenie swoich praw przed sądem, jest prawnie usprawiedliwiony. Wykorzystanie natomiast tych danych przez wnioskodawcę w postępowaniu sądowym, nie może być uznane za naruszenie praw i wolności osób, których dane te dotyczą. Po wszczęciu bowiem procesu karnego bądź cywilnego, dysponentem wnioskowanych od [...] danych osobowych będzie sąd powszechny.
Udostępnienie przez Spółkę przedmiotowych danych, a następnie wykorzystanie ich przez wnioskodawcę w toku postępowania sądowego wiąże się z realizacją konstytucyjnie gwarantowanego wnioskodawcy prawa do dochodzenia naruszonych praw w drodze procesu sądowego.
GIODO stwierdził, iż wniosek W.K. o udostępnienie danych osób, w stosunku do których zamierza wszcząć postępowanie sądowe, znajduje uzasadnienie w treści przepisu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.
Organ wskazał ponadto, iż wprawdzie do podmiotów z sektora prywatnego nie stosuje się trybu udostępniania danych osobowych określonego przepisem art. 29 ustawy o ochronie danych osobowych, jednakże nie oznacza to, iż przepisy ustawy nie regulują przedmiotowego zagadnienia. W przypadku bowiem wyłączenia tzw. "szczególnego" trybu udostępnienia danych osobowych, określonego przepisem art. 29 ustawy, zastosowanie znajdują "ogólne" przesłanki przetwarzania (w tym m.in. zbierania, udostępniania) danych osobowych, wymienione w art. 23 ust. 1 ustawy. Zatem podstawy prawnej uzasadniającej żądanie wnioskodawcy nie stanowi przepis art. 29 ustawy, a wyłącznie przepis art. 23 ust. 1 pkt 5 ustawy. Przepis ten stanowi dla wnioskodawcy bezpośrednią przesłankę legalizującą proces przetwarzania (w tym m.in. pozyskiwania) przedmiotowych danych osobowych. Działanie Spółki polegające na bezpodstawnej odmowie udostępnienia wnioskodawcy żądanych przez niego danych osobowych narusza przepisy ustawy o ochronie danych osobowych. Jednocześnie organ wskazał, iż normą kompetencyjną, stanowią dla GIODO, podstawę wydania przedmiotowej decyzji stanowi przepis art. 18 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
Skargę na powyżej opisaną decyzję GIODO z dnia [...] kwietnia 2004 r. wniosła spółka [...] W skardze podniesiono zarzut naruszenia prawa materialnego, tj. art. 23 ust. 1 pkt 5 oraz art. 29 ustawy o ochronie danych osobowych i wniesiono o uchylenie zaskarżonej decyzji oraz poprzedzającej ją decyzji GIODO z dnia [...] lutego 2004 r.
Skarżąca wskazała, iż brak jest uzasadnionych podstaw do przyjęcia, że z treści art. 23 ust. 1 ustawy o ochronie danych osobowych statuującego warunki dopuszczalności przetwarzania danych osobowych, wywieść można normę nakazującą administratorowi danych osobowych udostępnienie ich na żądanie osoby, której dane te dotyczą. Z przyznanego, na mocy art. 23 ust. 1 ustawy, prawa przetwarzania danych nie można wyprowadzić obowiązku dostarczania danych przez administratora danych osobowych.
Skarżąca podniosła, że z przepisów ustawy o ochronie danych osobowych w brzmieniu obowiązującym w dacie wydania zaskarżonej decyzji, nie można było wywodzić obowiązku udostępnienia skarżącemu przez [...] danych osobowych użytkowników portalu, gdyż przepisy art. 29 ustawy określającego warunki szczególnej formy przetwarzania danych osobowych odnosiły się wyłącznie do udostępniania danych przez podmioty ze sfery publicznej podmiotom ze sfery publicznej (art. 29 ust. 1 ustawy) oraz podmiotom ze sfery prywatnej (art. 29 ust. 2 ustawy). Z treści art. 23 ust. 1 pkt 5 ustawy można było natomiast, ewentualnie, wywieść uprawnienia administratora danych osobowych do ich udostępnienia żądającemu, nie było natomiast podstaw do uznania, że na [...] ciążył obowiązek udostępnienia danych, a co za tym idzie, brak było wystarczających przesłanek do uznania, że skarżąca, odmawiając udostępnienia danych naruszyła przepisy ustawy o ochronie danych osobowych.
Ponadto skarżąca wskazała, iż skarżąca, świadcząc usługi internetowe podlega ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204), której przepisy w zakresie przetwarzania danych osobowych stanowią lex specialis w stosunku do ustawy o ochronie danych osobowych. Ustawa o świadczeniu usług drogą elektroniczną wprowadza własne, odrębne uregulowanie w zakresie udostępniania danych osobowych, które nie przewidują udzielania informacji o takich danych podmiotom innym, niż organy państwa.
Zdaniem skarżącej, odmowa udostępnienia przez [...] danych osobowych użytkowników portalu nie zamyka skarżącemu drogi do dochodzenia ochrony naruszonych praw przed sądem, a to z uwagi na uregulowania zawarte w art. 488 § 1 i § 2 Kodeksu postępowania karnego.
Skarżąca wskazuje także, iż należy wziąć pod uwagę możliwość wykorzystania przez skarżącego udostępnionych danych osobowych nie tylko w celu niezgodnym z tym, dla którego były udostępnione, ale wręcz do podejmowania działań niezgodnych z prawem, co w konsekwencji prowadzi do uznania, że udostępnienie danych osobowych użytkowników portalu, może prowadzić do naruszenia praw i wolności osób, których dane te dotyczą.
Udostępnienie danych osobowych, zdaniem skarżącej, doprowadzi też do naruszenia prawa do poufności komunikowania się.
Z przepisów art. 23 ust. 1 pkt 5 ustawy oraz art. 29 ust. 2 ustawy wynika, iż wystarczy uznanie, że udostępnienie danych osobowych narusza prawa lub wolności osób, których te dane dotyczą, aby żądanie udostępnienia danych mogło być uznane za nieuprawnione.
W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał argumentację zawartą w uzasadnieniu zaskarżonej decyzji a ponadto wskazał, iż ustawa o ochronie danych osobowych - w czasie złożenia żądania przez skarżącego - nie zawierała przepisów, które umożliwiały udostępnianie danych osobowych przez podmioty z sektora prywatnego. Wprawdzie wówczas do podmiotów tych nie znajdował zastosowania określony przepisem art. 29 ustawy tryb udostępniania danych osobowych, ale powyższe nie powodowało, że przepisy ustawy nie regulowały przedmiotowego zagadnienia. Podkreślić bowiem należy, iż w przypadku wyłączenia tzw. "szczególnego" trybu udostępniania danych osobowych (określonego przepisem art. 29 ustawy), zastosowanie wówczas znajdują "ogólne" przesłanki przetwarzania (w tym m.in. zbierania, udostępniania) danych osobowych, wymienione w art. 23 ust. 1 ustawy o ochronie danych osobowych. Z powyższego wynika zatem, iż podstawą prawną uzasadniającą żądanie skarżącego nie był przepis art. 29 ustawy, a wyłącznie przepis art. 23 ust. 1 pkt 5 ustawy. Przepis ten stanowił bowiem dla skarżącego bezpośrednią przesłankę legalizującą proces przetwarzania (w tym m.in. pozyskiwania) przedmiotowych danych osobowych.
Ponadto organ podkreślił, iż zgodnie z art. 16 ust. 1 ustawy o świadczeniu usług drogą elektroniczną, do przetwarzania danych osobowych w rozumieniu ustawy o ochronie danych osobowych, w związku ze świadczeniem usług drogą elektroniczną, stosuje się przepisy ustawy o ochronie danych osobowych, o ile przepisy niniejszego rozdziału nie stanowią inaczej. Z powyższego jednoznacznie wynika, iż w sytuacjach nieuregulowanych przepisami ustawy o świadczeniu usług drogą elektroniczną, bezpośrednie zastosowanie znajdują przepisy ustawy o ochronie danych osobowych.
Mając na uwadze powyższe, GIODO wskazał, iż przepisy ustawy o świadczeniu usług drogą elektroniczną nie regulują kwestii udostępniania danych osobowych przez usługodawców, podmiotom i osobom innym, niż organy państwa. Zatem do udostępniania tego rodzaju danych wskazanym powyżej podmiotowym zastosowanie znajdują przepisy ustawy o ochronie danych osobowych, a tym samym również przepis art. 23 ust. 1 pkt 5 ustawy. Argumentem przemawiającym za słusznością przyjętego stanowiska jest ponadto m.in. okoliczność, iż w przepisie art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną nie sformułowano zakazu udostępniania danych podmiotom i osobom innym, niż organy państwa, a jedynie sformułowano uprawnienie tych podmiotów do żądania od usługodawców udostępnienia tego rodzaju danych.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Stosownie do art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), do rozpoznania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona.
Na podstawie art. 1 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269) sądy administracyjne sprawują wymiar sprawiedliwości, m.in. przez kontrolę działalności administracji publicznej (§ 1). Kontrola, o której mowa w § 1, sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Skarga zasługuje na uwzględnienie.
Podstawę materialnoprawną zaskarżonej decyzji stanowił przepis art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, w myśl którego przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 ustawy lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Przepis ten statuuje warunki dopuszczalności przetwarzania danych osobowych i ustanawia "klauzulę usprawiedliwionego celu". Nie można zatem przyjmować, że z treści tego przepisu można wywieść normę nakazującą administratorowi danych osobowych udostępnienie ich na żądanie osoby, której dane te nie dotyczą.
Podstawę do żądania udostępnienia danych osobowych przez osoby trzecie w celach innych niż włączenie do zbioru, stanowi przepis art. 29 ust. 1 i ust. 2 ustawy o ochronie danych osobowych.
Przepis ten w brzmieniu obowiązującym do dnia 1 maja 2004 r., nie dawał podstaw do żądania udostępnienia danych, jeżeli administratorem tych danych były podmioty z sektora prywatnego.
Artykuł 29 niewątpliwie nie jest zredagowany poprawnie i jednoznacznie, toteż jego podmiotowy zakres stosowania wywołuje wątpliwości. Istnieją jednakże dostateczne argumenty na rzecz tezy, iż art. 29 ust. 2 dotyczy wyłącznie udostępniania danych osobowych przez te podmioty, które wskazane zostały w art. 29 ust. 1. Regulacja zawarta w komentowanym przepisie (a w każdym razie w jego ust. 1 i 2) dotyczy tego rodzaju sytuacji, gdy administratorem danych jest podmiot wskazany w art. 3 ust. 1, a więc organ państwowy lub samorządu terytorialnego, względnie inna państwowa albo komunalna jednostka organizacyjna bądź podmiot państwowy realizujący zadania publiczne. Tylko w przypadku przyjęcia tego rodzaju wykładni uzasadnione jest użycie w art. 29 ust. 2 słowa "także". Słowo to, jak również brak określenia w art. 29 ust. 2 zobowiązanego podmiotu, ma sens tylko wówczas, gdy uznamy, że art. 29 ust. 1 i 2 adresowane są do tych samych podmiotów udostępniających dane osobowe.
Uznanie, że art. 29 ust. 1 i 2 odnoszą się jedynie do administratorów z sektora publicznego oznacza, iż poza regulacją ustawową pozostaje kwestia dostępu do danych osobowych znajdujących się w dyspozycji administratorów z sektora prywatnego. Przepisy ustawy nie dają możliwości domagania się od nich udostępnienia posiadanych danych (J. Barta, R. Markiewicz "Ochrona danych osobowych. Komentarz", wyd. II, Zakamycze 2002, s. 492).
Z powyższego wynika, iż na skarżącej, będącej administratorem z sektora prywatnego, nie spoczywał obowiązek udostępnienia tych danych.
Podkreślić należy, iż Generalny Inspektor Ochrony Danych Osobowych nakazuje z urzędu lub na wniosek osoby zainteresowanej administratorowi danych, w drodze decyzji administracyjnej, przywrócenia stanu zgodnego z prawem, a w szczególności udostępnienia danych osobowych (art. 18 ust. 1 pkt 2 ustawy).
Warunkiem wydania przez GIODO decyzji nakazującej administratorowi danych przywrócenie stanu zgodnego z prawem jest stwierdzenie naruszenia przepisów o ochronie danych osobowych.
Zatem nakazanie administratorowi danych udostępnienia danych osobowych, może nastąpić w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, polegającego na niewypełnieniu przez administratora obowiązku udostępnienia. W takim bowiem przypadku odmowa udostępnienia danych stanowi naruszenie przepisu nakładającego na administratora obowiązek ich udostępnienia.
Skoro nie można wskazać obowiązującego w dacie wydania zaskarżonej decyzji przepisu, nakładającego na skarżącą obowiązek udostępnienia wnioskodawcy żądania danych osobowych, to tym samym nie można przyjąć, iż odmowa udostępnienia przez skarżącą tych danych stanowiła naruszenie przepisów o ochronie danych osobowych. W takiej zaś sytuacji przyjąć należy, iż brak było przesłanki warunkującej wydanie przez GIODO zaskarżonej decyzji nakazującej administratorowi danych przywrócenia stanu zgodnego z prawem.
W tym stanie rzeczy Sąd uznał za niecelowe odnoszenie się do pozostałych zarzutów skargi.
Ponadto wskazać należy, iż nałożenie na administratora danych obowiązku przywrócenia stanu zgodnego z prawem, polegającego na udostępnieniu danych osobowych, może nastąpić jedynie wówczas, gdy informacja będąca w dyspozycji administratora danych należy do kategorii danych osobowych w rozumieniu ustawy.
Żądane przez uczestnika informacje dotyczyły numerów IP (pełnych) komputerów, z których wysyłały wiadomości osoby podpisujące się określonymi pseudonimami.
Skarżąca podniosła, iż umożliwiając użytkownikowi Internetu zamieszczanie wpisu na stronach serwisu forum w obrębie portalu [...]., nie wymaga od niego identyfikacji, co powoduje, że poza zarejestrowanym przez system administrujący pracą portalu adresem IP komputera, [...] nie pozyskuje innych danych pozwalających na ustalenie tożsamości użytkownika.
Dopiero wystąpienie z odpowiednim żądaniem do operatora sieci teleinformatycznej mogłoby doprowadzić do identyfikacji komputera, z którego nastąpiło połączenie z serwerem portalu.
W literaturze przedmiotu wskazuje się, iż adresy internetowe spełniają kryteria przewidziane dla danych osobowych tylko wówczas, gdy bądź samoistnie (przez swoją treść, np. zawierającą nazwisko i skrót imienia), bądź łącznie z innymi - przetwarzanymi - wraz z adresem informacjami (np. adresem "normalnym") pozwalają zidentyfikować osobę użytkownika (tak P. Carey "E-mail Addresses-are they Personal Data", Ent. L. R. 2000, nr 1, s. 10 i n.).
Adresy IP (Internet Protocol), są to w największym skrócie liczby identyfikujące komputery lub inne urządzenia korzystające z protokołu TCP/IP dla celów transmisji danych w sieci Internet. Każde z tych urządzeń posiada przy tym własny niepowtarzalny adres IP. Adresy tego rodzaju składają się z czterech członów, z których każdy może przybierać wartość od 0 do 255 (Xawery Konarski "Komentarz do ustawy o świadczeniu usług drogą elektroniczną", Warszawa 2004, s. 167).
Za dane osobowe uważa się - według ustawy o ochronie danych osobowych - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Za osobę możliwą do zidentyfikowania uważana jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników, określających jego cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 ustawy). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3 ustawy).
Informacje zatem, które bez nadzwyczajnego wysiłku, bez nieproporcjonalnie dużych nakładów dają się "powiązać" z określoną osobą, zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, również zasługują na zaliczenie ich do kategorii danych osobowych (Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz "Ochrona danych osobowych. Komentarz", wyd. III, Zakamycze 2004, s. 381).
Generalny Inspektor Ochrony Danych Osobowych, nakazując administratorowi danych udostępnienie danych osobowych wskazanych użytkowników portalu internetowego [...] winien był zbadać, czy żądane przez uczestnika informacje stanowią dane osobowe w rozumieniu art. 6 ustawy o ochronie danych osobowych. Ustalenie, iż żądane informacje można zakwalifikować do kategorii danych osobowych warunkuje dopuszczalność nałożenia na administratora danych obowiązku ich udostępniania.
Kwestia ta nie została w toku postępowania administracyjnego w sposób dostateczny wyjaśniona, czym naruszono przepisy art. 7, 77 § 1 i art. 80 k.p.a. nakładające na organy administracji publicznej obowiązek "wyczerpującego zbadania wszystkich okoliczności faktycznych, związanych z określoną sprawą, aby w ten sposób stworzyć jej rzeczywisty obraz i uzyskać podstawę do trafnego zastosowania przepisu" (W. Dawidowicz, "Ogólne postępowanie administracyjne. Zarys systemu". Warszawa 1962, s. 108), a także obowiązek zebrania i rozpatrzenia całego materiału dowodowego.
Mając na względzie powyższe, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a i lit. c ustawy - Prawo o postępowaniu przed sądami administracyjnymi., zwanej dalej p.p.s.a., art. 6, art. 18 ust. 1 w związku z art. 23 ust. 1 pkt 5 oraz art. 29 ustawy o ochronie danych osobowych, orzekł jak w sentencji.
O wstrzymaniu wykonania decyzji Sąd orzekł na podstawie art. 152 p.p.s.a., zaś o kasztach na podstawie art. 200 i art. 209 p.p.s.a.