II SA/Wa 1216/19

II SA/Wa 1216/19 - Wyrok WSA w Warszawie
Data orzeczenia
2019-11-26
orzeczenie nieprawomocne
Data wpływu
2019-06-03
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Agnieszka Góra-Błaszczykowska
Izabela Głowacka-Klimas /przewodniczący sprawozdawca/
Joanna Kruszewska-Grońska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 2441/21 - Wyrok NSA z 2023-07-13
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2002 nr 101 poz 926
art. art. 5, 23 ust. 1 pkt 2, 160 ust. 2
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
Dz.U.UE.L 2016 nr 119 poz 1 art. 6 ust. 1 lit. c)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2004 nr 171 poz 1800
art. art. 159 ust. 1, 161 ust. 1
Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne
Dz.U. 2002 nr 144 poz 1204
art. 16 ust. 1
Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Agnieszka Góra-Błaszczykowska, Asesor WSA Joanna Kruszewska-Grońska, , Protokolanta specjalista Ewa Kielak, , po rozpoznaniu na rozprawie w dniu 26 listopada 2019 r. sprawy ze skargi P.K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2019 r. nr [...] w przedmiocie odmowy uwzględnienia wniosku 1. uchyla zaskarżoną decyzję, 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego P.K. kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych
w dniu [...] października 2017 r. wpłynęła skarga Pana P. K., [...] w B. z siedzibą przy ul. Z. A.[...] , zwanego dalej Skarżącym, o nakazanie M. S.A. z siedzibą w G. przy ul. T. W. [...], zwaną dalej Spółką, udostępnienia imienia i nazwiska odbiorcy Internetu w M. S.A. o [...] , który "w dniu [...] czerwca 2017 r. wysłał z G. pod fałszywym imieniem i nazwiskiem W. C. z adresu mailowego [...] maile, w których naruszył dobra osobiste - godność osobistą i dobre imię D. S.A. [...] w B. P. K. poprzez porównanie go do ‘M.’, grożąc ponadto rozpętaniem wojny o podwyżki wynagrodzeń
w zakładzie pracy w mediach".
Skarżący w treści swej skargi uzasadnił żądanie udostępnienia danych odbiorcy Internetu w M. S.A. o [...], zamiarem wystąpienia na drogę sądową z tytułu naruszenia dóbr osobistych i dobrego imienia przeciwko autorowi ww. wiadomości elektronicznych. Ponadto, Skarżący wskazał, że domaganie się ochrony dóbr osobistych na drodze cywilnej, jest działaniem
w granicach prawa, pozwalającym na zwolnienie z ochrony objętej tajemnicą telekomunikacyjną.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił, że Skarżący, w celu skierowania powództwa do sądu w związku z naruszeniem jego dóbr osobistych, wystąpił
do Spółki pismem z dnia 16 czerwca 2017 r. o udostępnienie na jego rzecz danych
w zakresie imienia i nazwiska odbiorcy Internetu w M. S.A.
o [...], który "w dniu [...] czerwca 2017 r. wysłał z G. pod fałszywym imieniem i nazwiskiem W.C. z adresu mailowego [...]".
W związku z zamiarem wystąpienia z powództwem cywilnym przeciwko autorowi ww. wiadomości elektronicznej, jako podstawę prawną swojego wniosku Skarżący wskazał art. 126 § 1 pkt 1 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2018 r. poz. 1360 ze zm.), zwanej dalej kpc,
w którym ustawodawca wymienił elementy, jakie powinny zawierać pisma procesowe w postępowaniu cywilnym.
W odpowiedzi na ww. wystąpienie Skarżącego, jak również w treści wyjaśnień złożonych organowi nadzorczemu, Spółka wskazała na brak możliwości udostępnienia żądanych danych z uwagi na okoliczność, iż stanowią one określoną w art. 159 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2018 r., poz. 1954 z późn. zm.), tajemnicę telekomunikacyjną natomiast argumentacja przedstawiona przez Skarżącego nie jest zdaniem Spółki wystarczającą podstawą do ujawnienia danych objętych tajemnicą telekomunikacyjną.
Po przeprowadzeniu postępowania administracyjnego Prezes Urzędu Ochrony Danych Osobowych w dniu [...] marca 2019 r. wydał decyzję administracyjną (znak: [...]), mocą której odmówił uwzględnienia wniosku Skarżącego.
Jako podstawy powyższego rozstrzygnięcia Prezes Urzędu Ochrony Danych Osobowych wskazał art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 z późn. zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) w związku z art. 6 ust. 1 lit. c) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L 119
z 4.05.2016, str. 1 oraz Dz. Urz.L 127 z 23.05.2018, str. 2) w związku z art. 159 ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2018 r., poz. 1954 z późn. zm.).
W uzasadnieniu decyzji organ wyjaśnił, że z dniem wejścia w życie ustawy
z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000), tj. 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Zgodnie z art. 160 ust. 1 tej ustawy postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne. Stosownie zaś do art. 160 ust. 2 powyższej ustawy postępowania, wszczęte i niezakończone przed dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych prowadzi się na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z zasadami określonymi w ustawie Kodeks postępowania administracyjnego.
W czasie, gdy miała miejsce opisana przez Skarżącego odmowa udostępnienia przez Spółkę żądanych danych osobowych, obowiązywały przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), które określały zasady postępowania przy przetwarzaniu danych osobowych. W świetle tych przepisów, przetwarzanie danych osobowych było uprawnione, gdy spełniona została którakolwiek z przesłanek wymienionych w art. 23 ust. 1 ustawy. Zgodnie z treścią przytoczonego przepisu przetwarzanie danych osobowych było dopuszczalne, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5).
Od dnia 25 maja 2018 r., obowiązują przepisy Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L 119 z 4.05.2016, str. 1 oraz Dz. Urz.L 127 z 23.05.2018, str. 2), zwanego dalej rozporządzeniem 2016/679, oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000). Zgodnie z art. 160 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000) postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu. Ust. 2 powyższego przepisu stanowi, że postępowania, o których mowa w ust. 1, prowadzi się na podstawie ustawy uchylanej w art. 175, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.
W tym miejscu należy wskazać, iż w dacie wydania niniejszego rozstrzygnięcia obowiązują przepisy rozporządzenia 2016/679, tym samym organ był obowiązany uwzględnić zmiany stanu prawnego i faktycznego sprawy, które nastąpiły w trakcie trwania postępowania.
Mając powyższe na uwadze organ wskazał, że żądanie Skarżącego, dotyczące udostępnienia przez Spółkę danych osobowych znajduje podstawę prawną w art. 6 ust. 1 lit. f) rozporządzenia 2016/679, w którym ustawodawca wskazał na niezbędność przetwarzania danych do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Skarżący uzasadnił bowiem ww. wniosek zamiarem wszczęcia postępowania cywilnego, celem dochodzenia roszczeń od osoby posługującej się
[...], która w dniu [...] czerwca 2017 r. wysłała z G. pod fałszywym imieniem i nazwiskiem W. C. z adresu mailowego [...] wiadomości elektroniczne.
W dalszej części uzasadnienia organ wyjaśnił, że Skarżący we wniosku kierowanym do Spółki, jak również w treści rozpatrywanej skargi, jako podstawę prawną udostępnienia żądanych danych wskazywał przepis art. 126 § 1 kpc,
z którego wynika, że poza oznaczeniem strony postępowania (z imienia i nazwiska), aby skutecznie wnieść pierwsze pismo w postępowaniu cywilnym należy oznaczyć także adresy zamieszkania lub siedziby i adresy stron postępowania. Wobec powyższego stwierdził, że Skarżący aby udowodnić, że żądane dane są mu niezbędne do dochodzenia roszczeń z tytułu naruszenia dóbr osobistych winien wskazać pełen zakres danych, jakie są niezbędne do skutecznego wniesienia takiego pozwu. Argument powołania się na wniesienie pozwu do sądu jest więc
w ocenie organu wątpliwy i pozwala przypuszczać, że Skarżący chciał jedynie poznać imię i nazwisko osoby ukrywającej się pod fałszywym imieniem i nazwiskiem W. C. bez faktycznego zamiaru wystąpienia z powództwem.
Organ powołał się również na przepisy ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2018 r., poz. 1954 z późn. zm.), tj. art. 159 i art. 161, które to przepisy dotyczą ogólnie rzecz ujmując przetwarzania danych objętych tajemnicą telekomunikacyjną.
Spółka jest przedsiębiorcą telekomunikacyjnym i świadczy na rzecz osób, których dane dotyczą usługi telekomunikacyjne. Jako przedsiębiorca telekomunikacyjny, Spółka przetwarza w zbiorze dane osobowe swoich abonentów
i jest zobowiązana do ochrony ich danych osobowych w świetle tzw. tajemnicy telekomunikacyjnej, o której mowa w art. 159 ust. 1 Prawa telekomunikacyjnego.
Tajemnicą tą objęte są dane dotyczące użytkownika, do których zalicza się
m.in. jego imię i nazwisko (art. 161 ust. 2 Prawa telekomunikacyjnego).
Stosownie do brzmienia art. 159 ust. 2 omawianej ustawy, zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że: będzie to przedmiotem usługi lub będzie to niezbędne do jej wykonania (pkt 1), nastąpi za zgodą nadawcy lub odbiorcy, których dane te dotyczą (pkt 2), dokonanie tych czynności jest niezbędne w celu rejestrowania komunikatów i związanych z nimi danych transmisyjnych, stosowanego w zgodnej z prawem praktyce handlowej dla celów zapewnienia dowodów transakcji handlowej lub celów łączności w działalności handlowej (pkt 3), będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi (pkt 4). W myśl art. 159 ust. 3 Prawa telekomunikacyjnego,
z wyjątkiem przypadków określonych ustawą, ujawnianie lub przetwarzanie treści albo danych objętych tajemnicą telekomunikacyjną narusza obowiązek zachowania tajemnicy telekomunikacyjnej.
Organ wskazał, że przepisy Prawa telekomunikacyjnego dopuszczają
co prawda zbieranie czy udostępnianie danych objętych tajemnicą telekomunikacyjną, ale tylko wówczas, gdy dotyczy to usługi świadczonej użytkownikowi albo gdy dane te są niezbędne do jej wykonania. Natomiast przetwarzanie tych danych w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych (stosownie do art. 161 ust. 1 Prawa telekomunikacyjnego). Tym samym przepisy Prawa telekomunikacyjnego odwołują się do innych ustaw przyznających wprost podmiotom nieuczestniczącym w prowadzeniu działalności telekomunikacyjnej prawo do przetwarzania ściśle określonych kategorii informacji - wymienionych w art. 159 ust. 1 Prawa telekomunikacyjnego, pozyskiwanych od podmiotów prowadzących tego rodzaju działalność (działalność telekomunikacyjną). Zezwolenie to dotyczy wyłącznie sytuacji, gdy przetwarzanie wskazanych kategorii informacji (stanowiących tajemnicę telekomunikacyjną) jest niezbędne dla realizacji ściśle określonych odrębnymi przepisami zadań.
W ocenie organu powołane przepisy art. 159 ust. 2 pkt 4 i ust. 3 oraz art. 161 ust. 1 Prawa telekomunikacyjnego przewidują dalej idącą ochronę danych osobowych abonentów objętych tajemnicą telekomunikacyjną, niż art. 6 ust. 1 rozporządzenia 2016/679 - zezwalając na ich udostępnianie podmiotowi nieuczestniczącemu w działalności telekomunikacyjnej lub pozyskanie przez podmiot nieuczestniczący w takiej działalności pod warunkiem istnienia wyraźnego ustawowego upoważnienia w tym zakresie i wyłącznie wówczas, gdy jest to konieczne dla realizacji celów ściśle określonych obowiązującymi przepisami.
Organ podkreślił, że art. 159 ust. 2 pkt 4 i ust. 3 oraz art. 161 ust. 1 zd. 2 Prawa telekomunikacyjnego odwołują się do innych niż Prawo telekomunikacyjne ustaw i przepisów odrębnych, przyznających wprost podmiotom nieuczestniczącym w prowadzeniu działalności telekomunikacyjnej prawo do przetwarzania ściśle określonych kategorii informacji - wymienionych w art. 159 ust. 1 Prawa telekomunikacyjnego, pozyskiwanych od podmiotów prowadzących działalność telekomunikacyjną. Zezwolenie to dotyczy wyłącznie sytuacji, gdy przetwarzanie informacji stanowiących tajemnicę telekomunikacyjną jest niezbędne dla realizacji zadań ściśle określonych odrębnymi przepisami.
Reasumując organ wyjaśnił, że przetwarzanie danych osobowych stanowiących tajemnicę telekomunikacyjną, dopuszczalne jest wyłącznie, w sytuacji gdy jest to niezbędne dla realizacji ściśle określonych, (w sposób wyraźny a nie dorozumiany), odrębnymi przepisami zadań. W ocenie organu ogólne wskazanie zamiaru złożenia pozwu, w stosunku do osoby nieznanej z imienia i nazwiska, nie stanowi na tle niniejszej sprawy uzasadnionej potrzeby uzyskania tych danych. Jednocześnie, Skarżący nie wskazał konkretnej normy prawnej, obligującej Spółkę do udostępnienia mu danych osobowych, objętych tajemnicą telekomunikacyjną.
Skargę na powyższe rozstrzygnięcie do Wojewódzkiego Sądu Administracyjnego wywiódł Skarżący. W swojej skardze wskazał, że zaskarżone rozstrzygnięcie zostało wydane z naruszeniem przepisów prawa procesowego,
tj. art. 77 § 1 i art. 80 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 z późn. zm.), zwanej dalej Kpa, poprzez brak wyczerpującego rozpatrzenia całego materiału dowodowego i błędnego uznania, iż Skarżący nie miał zamiaru zainicjowania postępowania sądowego. Ponadto, Skarżący zarzucił, iż kwestionowana przez niego decyzja została wydana z naruszeniem przepisów prawa materialnego tj.:
- art. 159 ust. 2 pkt 4 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2018 r., poz. 1954 z późn. zm.) (poprzez błędną wykładnię
i nieuwzględnienie okoliczności, iż tajemnica telekomunikacyjna nie ma charakteru nieograniczonego),
- art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) w związku z art. 161 ust. 1 Prawa telekomunikacyjnego (poprzez ich niezastosowanie, podczas gdy na ich podstawie można udostępnić dane objęte tajemnicą telekomunikacyjną),
- art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.), poprzez niewłaściwe zastosowanie i brak uwzględnienia, iż postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych wszczęte i niezakończone przed dniem wejścia w życie ustawy
z dnia 10 maja 2018 r. o ochronie danych osobowych prowadzi się na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Skarżący domagał się uchylenia zaskarżonej decyzji i zasadzenia kosztów postępowania. W uzasadnieniu skargi rozwinął poszczególne jej zarzuty podkreślając, że w jego ocenie twierdzenie organu administracji jakoby nie wskazał on konkretnej normy prawnej obligującej spółkę M. do udostępnienia mu żądanych danych osobowych, zawarte w ostatnim akapicie decyzji, jest nieprawdziwe. Skarżący konsekwentnie powoływał się na przepisy prawa pozwalające mu na uzyskanie dostępu do przedmiotowych danych osobowych już we wniosku o nakazanie ich udostępnienia i w kolejnych pismach, zostały one wskazane ponownie w zarzutach niniejszej skargi. Skarżący jako podstawę prawną udostępnienia żądanych danych powoływał się na art. 126 § 1 kpc. Odnosząc się do tej podstawy prawnej organ administracji uznał za wątpliwy argument powołania się przez Skarżącego na wolę wniesienia pozwu o naruszenie dóbr osobistych do sądu
i pozwalający przypuszczać, że Skarżący chciał jedynie poznać imię i nazwisko osoby ukrywającej się pod fałszywym imieniem i nazwiskiem W. C. bez faktycznego zamiaru wystąpienia w powództwem, gdyż nie żądał także adresu zamieszkania tej osoby, który także jest niezbędny do wniesienia pozwu. Skarżący wskazuje, iż powyższe twierdzenia PUODO są nieprawdziwe i pozbawione logiki. Organ administracji nie zauważa, iż Skarżący P. K. jest [...] w B. a treść maili naruszających jego dobre imię i godność osobistą ewidentnie wskazuje, iż wysłała je osoba zatrudniona w Zakładzie, znająca jego realia. Jako pracodawca dyrektor P. K. znając imię i nazwisko osoby, która wysyłała maile m.in. porównujące go do "M." jest już w posiadaniu innych danych osobowych tej osoby, tj. jej adresu, nr PESEL i innych danych niezbędnych do wniesienia pozwu
a więc nie ma on potrzeby ich uzyskiwania. Powyższe twierdzenie organu administracji wskazuje, iż nie rozpoznał on sprawy w sposób wszechstronny i nie zapoznał się w pełni z materiałem dowodowym zgromadzonym w sprawie.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Skarga w niniejszej sprawie okazała się zasadna.
Istota problemu w niniejszej sprawie sprowadza się do udzielenia odpowiedzi na dwa pytania :
czy art.126 kpc może stanowić podstawę do ujawnienia tajemnicy telekomunikacyjnej?
czy organ był uprawiony do zastosowania w niniejszej sprawie Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia
2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE?
Na wstępie wskazać należy, że intencją ustawodawcy było nadanie ustawie
o ochronie danych osobowych jak najszerszego zakresu podmiotowego. Przetwarzanie danych osobowych może mieć miejsce jedynie w zakresie i trybie określonym ustawą. Wiele aktów rangi ustawowej wycinkowo reguluje zagadnienia ochrony danych osobowych.
Stosunek ustawy o ochronie danych osobowych do takich regulacji określony został w jej art. 5 z dnia 29 sierpnia 1997 r.
Zgodnie z art. 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2002 r. Nr 101, poz. 926 z późn. zm.), jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.
Przytoczony przepis stanowi gwarancję ochrony danych osobowych szerszy niż przewidziany w powyżej określonej ustawie.
Zgodnie z art. 159 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 z późn. zm.), tajemnica komunikowania się w sieciach telekomunikacyjnych, (...), obejmuje:
1) dane dotyczące użytkownika;
2) treść indywidualnych komunikatów;
3) dane transmisyjne, które oznaczają dane przetwarzane dla celów przekazywania komunikatów w sieciach telekomunikacyjnych lub naliczania opłat za usługi telekomunikacyjne, w tym dane lokalizacyjne, które oznaczają wszelkie dane przetwarzane w sieci telekomunikacyjnej wskazujące położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług telekomunikacyjnych;
4) dane o lokalizacji, które oznaczają dane lokalizacyjne wykraczające poza dane niezbędne do transmisji komunikatu lub wystawienia rachunku;
5) dane o próbach uzyskania połączenia między zakończeniami sieci, w tym dane o nieudanych próbach połączeń, oznaczających połączenia między telekomunikacyjnymi urządzeniami końcowymi lub zakończeniami sieci, które zostały zestawione i nie zostały odebrane przez użytkownika końcowego lub nastąpiło przerwanie zestawianych połączeń.
Natomiast art. 159 ust. 2 powołanej ustawy stanowi, że zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że:
1) będzie to przedmiotem usługi lub będzie to niezbędne do jej wykonania;
2) nastąpi za zgodą nadawcy lub odbiorcy, których dane te dotyczą;
3) dokonanie tych czynności jest niezbędne w celu rejestrowania komunikatów i związanych z nimi danych transmisyjnych, stosowanego w zgodnej z prawem praktyce handlowej dla celów zapewnienia dowodów transakcji handlowej lub celów łączności w działalności handlowej;
4) będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi.
Ustęp 3 powyżej określonego przepisu stanowi, że z wyjątkiem przypadków określonych ustawą, ujawnianie lub przetwarzanie treści albo danych objętych tajemnicą telekomunikacyjna narusza obowiązek zachowania tajemnicy telekomunikacyjnej.
Natomiast art. 161 ust. 1 ustawy Prawo telekomunikacyjne stanowi, że z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej przetwarzaniem, dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych.
W ocenie Sądu, żądane przez Skarżącego dane osobowe dotyczące użytkownika posługującego się adresem mailowym [...]
o [...], który w dniu [...] czerwca 2017 r. dokonał zniesławiającego
go wpisu, podlegają ujawnieniu.
Sąd orzekający w niniejszej sprawie podziela stanowisko Naczelnego Sądu Administracyjnego wyrażone w jego wyroku z dnia 26 stycznia 2009 r. sygn. akt I OSK 174/08, do którego odwołał się organ, że "art. 159 ust. 2 Prawa telekomunikacyjnego jest przepisem przewidującym silniejszą ochronę danych, niż przepis art. 23 ust. 1 ustawy o ochronie danych osobowych i to dlatego to on znajdzie zastosowanie jako podstawa legalizująca przetwarzanie danych objętych tajemnicą telekomunikacyjną".
W tym miejscu wypada przytoczyć stanowisko Naczelnego Sądu Administracyjnego zawarte w uzasadnieniu wyroku z dnia 21 lutego 2014 r. sygn. akt I OSK 2324/19, gdzie wskazano, że "dalej idąca ochrona niż przewidziana przepisami ustawy o ochronie danych osobowych wyprzedza ochronę udzieloną
na jej gruncie, to jednak ochrona przyznana przez przepisy ustawy Prawo telekomunikacyjne, a więc tzw. tajemnica telekomunikacyjna, nie jest nieograniczona. Nie sięga przede wszystkim takich działań w sieci, które naruszają obowiązujący porządek prawny. Umożliwienie zatem podejmowania działań zmierzających
do naprawy tej sytuacji, w tym też ścigania, i to nie tylko z urzędu, ale i w drodze prywatnego aktu oskarżenia czy domaganie się ochrony dóbr osobistych na drodze cywilnej, jest działaniem w granicach prawa, pozwalającym na zwolnienie z tej ochrony. Pozwala na to przepis art. 159 ust. 2 pkt 4 i art. 161 ust. 1 zd. drugie Prawa telekomunikacyjnego. Ochrona tej tajemnicy jest wyłączna wówczas, gdy jest to konieczne z powodów przewidzianych w ustawie lub przepisach odrębnych. Wówczas do głosu dochodzi regulacja ustawy o ochronie danych osobowych, która w art. 23 ust. 1 pkt 2, stosowanym w związku z przepisem art. 16 ust. 1 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.), dopuszcza przetwarzanie danych osobowych, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Uprawnienia te czy obowiązki mogą tu wynikać z przepisów z zakresu prawa karnego czy cywilnego oraz procedury obowiązującej w tym zakresie (p. art. 2 § 1 pkt 1 k.p.k. lub art. 126 § 1 pkt 1 k.p.c.). Nie można wszak dopuścić do tego, aby osoby naruszające prawo w sieci – inaczej niż czyniące to w sposób tradycyjny – nie tylko pozostawały bezkarne, ale nawet poza jakąkolwiek oceną legalności ich działań." (...) "Zatem w ocenie Naczelnego Sądu Administracyjnego w tym składzie tajemnica komunikowania się w sieciach telekomunikacyjnych sięga tylko do granic kolizji
z obowiązującym porządkiem prawnym. Gdy zaś zachodzi podejrzenie sprzeczności z nim, reguła ta musi ulec przed wyższym dobrem. Trzeba też stwierdzić, że regulacja przepisów art. 159 ust. 4 ustawy Prawo telekomunikacyjne oraz art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną nie zawęża zakresu podmiotowego ujawniania danych osobowych, wskazując tylko przykłady ustawowego zwolnienia z tajemnicy telekomunikacyjnej oraz statuując bezwzględny obowiązek udzielania danych organom państwa na potrzeby prowadzonych przez nie postępowań. Nie obejmują wszak wszystkich podstaw prawnych stanowiących wyjątki od reguły. Podobne stanowisko zajął już Naczelny Sąd Administracyjny
w wyroku z dnia 21 sierpnia 2013 r., sygn. akt I OSK 1666/12 (publ. w internetowej Centralnej Bazie Orzeczeń Sądów Administracyjnych). W jego uzasadnieniu wskazano m.in. na dopuszczenie przez regulacje międzynarodowe ujawnienia tożsamości abonenta tych usług naruszającego porządek prawny oraz istnienie podstaw ku temu w aktualnym reżimie prawnym po uchyleniu art. 29 ustawy o ochronie danych osobowych (nota bene postępowanie administracyjne w niniejszej sprawie wszczęto przed tym zdarzeniem). Obecny skład tego Sądu w pełni podziela zaprezentowane tamże wywody. Zatem udostępnienie żądanych danych wydaje się możliwe, o ile są one przede wszystkim adekwatne do celu i nie naruszają innych gwarancji ochronnych. Trzeba też dodać, że w sytuacji kolizji ustaw w zakresie granic i zakresu ochrony, do głosu dojść muszą przepisy rangi konstytucyjnej. W tej materii przyszło dostrzec regulacje dotyczące ochrony praw i wolności (p. m.in. art. 30 i art. 32 ust. 2, art. 42 ust. 1, art. 45 ust. 1 oraz art. 47 Konstytucji RP), które mają inną rangę niż przepisy chroniące tajemnicę telekomunikacyjną (p. art. 49 Konstytucji RP), już choćby z tego powodu, że ta może doznać ograniczeń w przypadkach określonych w ustawie."
Przekładając powyższe na grunt niniejszej sprawy Sąd doszedł do wniosku, że Skarżący dowiódł zainicjowania czynności w kierunku pozyskania danych użytkownika posługującego się adresem mailowym [...]
[...], który w dniu [...] czerwca 2017 r. dokonał zniesławiającego
go wpisu, jednak okazały się one bezskuteczne, gdyż zarówno uczestnik postępowania, jak i organ uznały, że dane powyższe nie mogą być ujawnione
z uwagi na tajemnicę telekomunikacyjną.
W świetle powyżej przedstawionych rozważań Naczelnego Sądu Administracyjnego stanowisko uczestnika postępowania, jak i organu należy uznać za błędne. Skarżący w toku całego postępowania powoływał się na normę prawa procesowego art. 126 § 1 pkt 1 kpc, która to norma upoważnia do pozytywnego rozpoznania wniosku skarżącego o nakazanie M. S.A. w G. udostępnienia imienia i nazwiska odbiorcy Internetu w M. S.A.
o [...], który w dniu [...].06.2017 r. wysłał z G. pod fałszywym imieniem i nazwiskiem W.C. z adresu mailowego [...] maile, w których naruszył dobra osobiste - godność osobistą i dobre imię [...] S.A. [...] w B. P. K., poprzez porównanie go do "M.", grożąc ponadto rozpętaniem wojny o podwyżki wynagrodzeń w zakładzie pracy w mediach, z uwagi zamiar Skarżącego wystąpienia z powództwem o ochronę dóbr osobistych.
Odnosząc się natomiast do drugiej kwestii związanej z zastosowania
w niniejszej sprawie Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, należy wskazać, że udzielenie odpowiedzi na powyższe pytanie sprowadzało się do wykładni przepisu art. 160 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
Zgodnie z treścią w/powołanego przepisu, postępowanie w sprawach wszczętych a nie zakończonych przed dniem wejścia w życie niniejszej ustawy, prowadzi się na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych.
Jeśli chodzi o zakres przedmiotowy przywołanej regulacji, to jest on ze wszech miar oczywisty. Dotyczy bowiem niewątpliwie spraw, w których postępowanie zainicjowano przed konkretną datą, i które nadal znajdują się w toku, tj. nie zostały zakończone prawomocną decyzją.
Nie może też budzić kontrowersji sformułowanie użyte przez ustawodawcę dla określenia tego, jakie przepisy prawa należy stosować. Skoro prawodawca materię tę sprecyzował w ten sposób, że "postępowanie prowadzi się na podstawie ustawy z 1997 r." to niespornym jest, iż wszelkie czynności formalne, jak i merytoryczne (w tym czynność w postaci wydania decyzji administracyjnej), należy dokonywać
w oparciu o dawną ustawę. Oznacza to więc, iż podstawą decyzji wydanej w sprawie, o jakiej mowa w art.160 ustawy z 10 maja 2018 r. o ochronie danych osobowych, mogą być wyłącznie przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych.
Przenosząc powyższe na realia faktyczne niniejszej sprawy wskazać należało, iż organ wydając skarżoną decyzję uchybił normie art. 160 ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych. Decyzję oparł bowiem m.in. na normie art. 6 ust.1 lit. c) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (...). Tego typu działanie było zaś nieuprawnione. Przepisy intertemporalne ustawy z 10 maja 2018 r. o ochronie danych osobowych nie dopuszczają możliwości, by w sprawie w której postępowanie zostało zainicjowane przed 25 maja 2018 r. (co w niniejszej sprawie jest niesporne), i nie zostało zakończone przed 25 maja 2018 r. (co w niniejszej sprawie także nie budzi sporu), organ procedował w oparciu o przepisy ustawy z 10 maja 2018 r. lub łącznie
o przepisy ustawy zarówno z 10 maja 2018 r., jak i z 29 sierpnia 1997 r. W tym miejscu należy jednak podkreślić, że treść normy art. 6 ust.1 lit. f) Rozporządzenia jest analogiczne z art.23 ust.1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Tak więc uchybienie to nie miało w ocenie Sądu istotnego wpływu na rozstrzygnięcie.
Biorąc powyższe pod rozwagę Sąd, działając na podstawie art.145 § 1 pkt 1 lit. a) i c) ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2018 r., poz. 1302 ze zm.), uchylił zaskarżoną decyzję.
O kosztach orzeczono w oparciu o art. 200 w zw. z art. 205 p.p.s.a. zasądzając
od organu na rzecz skarżącego kwotę wpisu od skargi wraz z kwotą wynagrodzenia pełnomocnika procesowego.