II SA/Wa 282/22

II SA/Wa 282/22 - Wyrok WSA w Warszawie
Data orzeczenia
2022-11-09
orzeczenie nieprawomocne
Data wpływu
2022-02-14
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Joanna Kruszewska-Grońska
Joanna Kube
Waldemar Śledzik /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono decyzję I i II instancji
Powołane przepisy
Dz.U. 2002 nr 153 poz 1270
art. 145 par. 1 pkt 1 lit. a i c
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Waldemar Śledzik (spr.), Sędzia WSA Joanna Kube, Sędzia WSA Joanna Kruszewska-Grońska, po rozpoznaniu w trybie uproszczonym w dniu 9 listopada 2022 r. sprawy ze skargi A. S.A z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2021 r. nr [...] w zakresie punktu pierwszego; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz A. S.A. z siedzibą w [...] kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania sądowego.
Uzasadnienie
Zaskarżoną decyzją z dnia [...] grudnia 2021 r., nr [...] Prezes Urzędu Ochrony Danych Osobowych (dalej także: "Prezes UODO"; "organ nadzorczy"), działając na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jednolity Dz. U. z 2020 r., poz. 256 ze zm. - dalej: "k.p.a.") oraz art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) w związku z art. 160 ust. 1 oraz ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) i art. 6 ust. 1 it. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/45/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku [...] S.A. z siedzibą w [...] (dalej także: "Skarżąca Spółka"; "Strona"; "Spółka") o ponowne rozpatrzenie sprawy zakończonej decyzją Prezesa UODO z [...] sierpnia 2021 r. w sprawie skargi E. M. (dalej: "Wniskodawca"; "Uczestnik postępowania") zamieszkałej w [...] na odmowę udostępnienia przez [...] S.A. z siedzibą w [...] danych osobowych w zakresie numeru IP, imienia, nazwiska, adresu, a także nazwy dostawcy usług telekomunikacyjnych osób, które dokonały wpisów na stronie internetowej [...] - utrzymał w mocy zaskarżoną decyzję w części, w której nakazał Spółce udostępnienie na rzecz Wnioskodawcy danych osobowych w zakresie numerów IP urządzeń, z których użytkownicy wskazani przez E. M., zamieścili w podanych dniach i godzinach na forum dyskusyjnym portalu [...] wpisy jej dotyczące: użytkownika "[...]", wpis z dnia [...] grudnia 2015 r., o godz. 17:27; użytkownika "[...]", wpis z dnia [...] grudnia 2015 r., o godz. 19:54; użytkownika "[...]", wpis z dnia [...] grudnia 2015 r., o godz. 11:28; użytkownika "[...]", wpis z dnia [...] grudnia 2015 r., o godz. 19:14; użytkownika "[...]", wpis z dnia [...] stycznia 2016 r., o godz. 21:16; użytkownika "[...]", wpis z dnia [...] stycznia 2016 r., o godz. 18:29, zaś w pozostałym zakresie umorzył postępowanie.
Zaskarżona decyzja Prezesa UODO została wydana w następującym stanie faktycznym.
Pismem z [...] marca 2016 r. Wnioskodawczyni , zwróciła się do skarżącej Spółki z żądaniem zaprzestania naruszania jej dóbr osobistych, usunięcie obraźliwych postów na forum [...] oraz wniosła o udostępnienie danych (w zakresie numerów IP użytkowników oraz dostawców usług telekomunikacyjnych) użytkowników, którzy dokonali przedmiotowych wpisów. W piśmie z [...] marca 2016 r. Wnioskodawczyni przytoczyła treść wpisów dokonanych przez wymienionych użytkowników oraz wskazano cel, dla realizacji którego Skarżąca potrzebuje żądanych danych tj. podjęcie kroków prawnych na drodze sądowej celem ochrony swoich dóbr osobistych.
Pismem z [...] marca 2016 r. Spółka powiadomiła Wnioskodawczynię, iż wszystkie objęte zgłoszeniem wypowiedzi zostały usunięte ze strony forum portalu [...] Odnosząc się do żądania Skarżącej udostępnienia danych użytkowników, Spółka poinformowała, że w jej ocenie nie zostały spełnione wymagane przepisami prawa przesłanki wydania danych osobowych użytkowników portalu [...].
W odpowiedzi na skierowane przez GIODO [...] sierpnia 2016 r. wezwanie do złożenia wyjaśnień Spółka poinformowała, że - spośród danych objętych żądaniem - posiada jedynie adresy IP komputerów, z których korzystali użytkownicy łącząc się z serwerem portalu [...] i zamieszczając sporne wypowiedzi.
Wskazując na podstawy odmowy udostępnienia danych na żądanie Wnioskodawcy Spółka powołała się na przepisy ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną oraz art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - podając zastosowaną przez siebie ich wykładnię.
Prezes UODO decyzją administracyjną z [...] sierpnia 2021 r. nakazał Spółce udostępnienie na rzecz Wnioskodawczyni danych osobowych w zakresie numerów IP urządzeń, z których wskazani przez nią użytkownicy zamieścili w podanych dniach i godzinach na forum dyskusyjnym portalu [...] wpisy jej dotyczące, tj. użytkownika "[...]", wpis z dnia [...] grudnia 2015 r., o godz. 17:27; użytkownika "[...]", wpis z dnia [...] grudnia 2015 r., o godz. 19:54; użytkownika "[...]", wpis z dnia [...] grudnia 2015 r., o godz. 11:28; użytkownika "[...]", wpis z dnia [...] grudnia 2015 r., o godz. 19:14; użytkownika "[...]", wpis z dnia [...] stycznia 2016 r., o godz. 21:16; użytkownika "[...]", wpis z dnia [...] stycznia 2016 r., o godz. 18:29, a w pozostałym zakresie umorzył postępowanie.
W uzasadnieniu decyzji Prezes UODO wskazał, że udostępnienie spornych
danych osobowych znajduje oparcie w przepisie art. 23 ust. 1 pkt 5 u.o.d.o. legalizującym przetwarzacie danych osobowych, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych osobowych albo odbiorcę danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
W ocenie Prezesa Urzędu niezbędność dysponowania przez Wnioskodawczynię informacjami indywidualizującymi osoby, przeciwko którym zamierza ona skierować powództwo w związku z zarzutem nieuprawnionej ingerencji w sferę jej dóbr osobistych nie budzi wątpliwości.
W sytuacji, gdy Wnioskodawczyni nie dysponuje zasadniczo żadnymi informacjami o osobach, które w określonych dniach i godzinach, posługując się określonymi pseudonimami zamieściły na portalu [...] kwestionowane wpisy na jej temat - poza tymi, które wynikały z ich opublikowania (tj. data, godzina, treść publikacji, pseudonim autora), zasadnym jest przyjęcie, że podejmowanie przez nią działań służących ustaleniu tożsamości tych osób, w celu pociągnięcia ich do odpowiedzialności w związku z treścią tych publikacji, mieści się w pojęciu prawnie usprawiedliwionych celów.
Pozyskanie danych osobowych w ww. celu zostanie uznane przez osoby, których dane te dotyczą, za sprzeczne z ich interesem. Okoliczność ta - zwłaszcza mając na uwadze prawne gwarancje ochrony przez roszczeniami ze strony przeciwnej - nie świadczy jednak o naruszeniu ich praw i wolności.
Przyjęcie przeciwnego stanowiska skutkowałoby bezzasadną ochroną tego, kto mógł dopuścić się bezprawnej ingerencji w sferę prawnie chronionych interesów innej osoby (zwłaszcza przekonany o anonimowości, jaką gwarantuje mu sieć Internet) przed ewentualną odpowiedzialnością za jego działania. Organ podkreślił, że wprawdzie ustalenie tożsamości danej osoby może być utrudnione, jednak z uwagi na to, że każdy komputer zostawia w intrenecie ślad - adres IP, za pomocą którego można ustalić komputer, z którego dokonano wpisu, stwarza to możliwość pośredniego ustalenia tożsamości osoby, która dokonała tego wpisu.
Ponieważ Spółka bezpodstawnie odmówiła Wnioskodawczyni udostępnienia
wnioskowanych danych osobowych w zakresie numerów IP komputerów autorów kwestionowanych wpisów wskazanych w inicjującej przedmiotowe postępowanie skardze, uniemożliwiając jej tym samym podjęcie dalszych działań służących takiej identyfikacji autorów kwestionowanych wpisów, która pozwoli na skuteczne zainicjowanie przeciwko nim planowanych postępowań sądowych, Organ nakazał Spółce udostępnienia danych osobowych w zakresie numerów IP urządzeń użytkowników występujących pod nicami: "[...]", "[...]", "[...]", "[...]", "[...]", "[...]".
Organ przyjął, że podanym stanie faktycznym podsatwą prawną dla takiego stanowiska stanowią przepisy Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy [...] (ogólne rozporządzenie o ochronie danych) [Dz.U.UE.L.2016.119.1 oraz Dz. Urz. L. 127 z 23.05.2018 r., str. 2, oraz Dz. Urz. UE L 74 z 4.03.2021 r., str. 35] oraz, że udostępnienie danych osobowych wskazanych wyżej użytkowników znajduje oparcie w przepisie art. 6 ust. 1 lit. f RODO, gdyż jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Tym samym, Prezes Urzędu upoważniony jest - na mocy art. 18 ust. 1 pkt 2 ustawy z 29 sierpnia 1997 r. - do nakazania Spółce udostępnienia na rzecz Wnioskodawczyni danych osobowych autorów kwestionowanych wpisów w zakresie wskazanym decyzji.
Odnosząc się natomiast do żądania Wnioskodawczyni nakazania udostępnienia jej przez Spółkę danych osobowych użytkowników: "[...]", "[...]", "[...]", "[...]", "[...] , "[...]", którzy na forum portalu [...] dokonali przedmiotowych wpisów, w zakresie imion, nazwisk i adresów, Organ wskazał, że w toku prowadzonych czynności organ ochrony danych osobowych ustalił fakt nieposiadania przez Spółkę danych osobowych tych osób w ww. żądanym przez uczestnika postępowania zakresie.
Ponieważ zadaniem organu jest załatwienie sprawy w zakresie określonym w treści żądania, a w analizowanym przypadku brak jest po stronie administratora wszystkich danych osobowych, których udostępnienia domagała się Wnioskodawczyni, Prezes Urzędu w stosunku do tego zakresu danych (imion, nazwisk i adresów), uznał, że w związku z faktem, że nie ma możliwości wydania decyzji załatwiającej sprawę przez jej rozstrzygnięcie co do istoty, to stosownie do postanowień art. 105 § 1 K.p.a, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, obowiązany był wydać w tej części decyzję o umorzeniu postępowania.
Spółka, w terminie ustawowym, złożyła wniosek o ponowne rozpatrzenie sprawy, zarzucając naruszenie art. 6 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), poprzez jego niewłaściwe zastosowanie w postępowaniu wszczętym i niezakończonym przed dniem wejścia w życie ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r. poz. 1781 z poźn. zm.) oraz naruszenie art. 6 ust. 1 lit. f RODO poprzez jego błędną wykładnię i przyjęcie, że przepis ten stanowi podstawę uprawnienia strony trzeciej do pozyskania danych od administratora, a zarazem podstawę obowiązku administratora do udostępnienia danych stronie trzeciej, podczas gdy przepis ten może stanowić jedynie podstawę przetwarzania danych osobowych.
W wyniku ponownego rozpatrzenia sprawy Prezes Urzędu Ochrony Danych Osobowych, zaskarżoną na wstępie decyzją z dnia [...] grudnia 2021r. utrzymał w mocy zaskarżoną decyzję w części, w której nakazał Spółce udostępnienie na rzecz Wnioskodawcy danych osobowych w zakresie numerów IP urządzeń, z których użytkownicy wskazani przez uczestnika postępowania, zamieścili w podanych dniach i godzinach na forum dyskusyjnym portalu [...] wpisy dotyczące E. M., zaś w pozostałym zakresie umorzył postępowanie.
W uzasadnieniu decyzji Prezes UODO podtrzymał swoje stanowisko, że Spółka bezpodstawnie odmówiła Skarżącej udostępnienia wnioskowanych danych osobowych w zakresie numerów IP komputerów autorów kwestionowanych wpisów, uniemożliwiając jej tym samym podjęcie dalszych działań służących takiej identyfikacji autorów kwestionowanych wpisów, która pozwoli na skuteczne zainicjowanie przeciwko nim planowanych postępowań sądowych.
Na gruncie przedmiotowej sprawy nie budzi wątpliwości to, iż adresy IP stanowią dane osobowe w rozumieniu art. 4 pkt. 1 RODO. Dostawcy dostępu do Internetu i administratorzy sieci lokalnych mogą używając sposobów, jakimi można się posłużyć, zidentyfikować użytkowników Internetu, którym przydzieliły adresy IP, ponieważ systematycznie rejestrują oni w pliku datę, godzinę, czas trwania i dynamiczne adresy IP przydzielone użytkownikom Internetu. To samo można powiedzieć o dostawcach usług internetowych prowadzących rejestr na serwerze http.
Organ podkreślił, że uprawnienie Prezesa UODO do nakazania Spółce udostępnienia Skarżącej danych osobowych w zakresie numeru IP, imienia, nazwiska, adresu, a także nazwy dostawcy usług telekomunikacyjnych osób, które dokonały wpisów na stronie internetowej [...] wynika z art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną. Przepis ten nie wyklucza Prezesa UODO (wcześniej Generalnego Inspektora Ochrony Danych Osobowych) z grupy organów państwa, które mogą nakazywać udostępnienie danych osobowych
Wobec powyższego Organ, działając na mocy art. 18 ust. 1 pkt 2 UODO, nakazał Spółce udostępnienie na rzecz Skarżącej danych osobowych: użytkownika "[...]", wpis z dnia [...] grudnia2015r.,ogodz. 17:27; użytkownika "[...]", wpis z dnia [...] grudnia 2015 r., o godz. 19:54; użytkownika "[...]", wpis z dnia [...] grudnia 2015 r., o godz. 11:28; użytkownika "[...]", wpis z dnia [...] grudnia 2015 r., o godz. 19:14; użytkownika "[...]", wpis z dnia [...] stycznia 2016 r., o godz. 21:16; użytkownika "[...]", wpis z dnia [...] stycznia 2016 r., o godz. 18:29 - w zakresie numerów IP urządzeń, z których ww. użytkownicy zamieścili w podanych dniach i godzinach na forum dyskusyjnym portalu [...] wpisy dotyczące Skarżącej.
Prezes UODO podtrzymał też stanowisko, że ponieważ w toku prowadzonych czynności organ ochrony danych osobowych ustalił fakt nieposiadania przez Spółkę danych osobowych tych osób w ww. żądanym przez Skarżącą zakresie, to sprawę jako bezprzedmiotową należało umorzyć.
Od powyższej decyzji do tut. Sądu skargę wniosła Spółka, zarzucając zaskarżonej decyzji:
I. naruszenie prawa materialnego mające wpływ na wynik sprawy tj.
1) art. 6 ust. 1 lit f) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osob fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogolne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119) poprzez jego niewłaściwe zastosowanie w postępowaniu wszczętym i niezakończonym przed dniem wejściem w życie ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2018 r. poz. 1000);
2) art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przez jego niezastosowanie w sprawie w postępowaniu wszczętym i niezakończonym przed dniem wejściem w życie ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2018 r. poz. 1000);
Jednocześnie, na wypadek nie uwzględnienia powyższych zarzutów zaskarżonej decyzji, Skarżąca zarzuciła nadto naruszenie;
3) art. 6 ust. 1 lit f) RODO poprzez jego błędną wykładnię i przyjęcie, że udostępnienie danych użytkownika serwisu internetowego osobie trzeciej jest niezbędne dla wypełnienia celu jakim jest ochrona praw tej osoby przed sądem, podczas gdy sądy oraz inne organy ochrony prawnej dysponują odpowiednimi środkami prawnymi do uzyskania niezbędnych informacji;
4) art. 6 ust. 1 lit f) RODO poprzez jego błędną wykładnię i przyjęcie, że przepis ten stanowi podstawę uprawnienia strony trzeciej do pozyskania danych od administratora, a zarazem podstawę obowiązku administratora do udostępnienia danych stronie trzeciej, podczas gdy przepis ten może stanowić jedynie podstawę przetwarzania danych osobowych;
5) art. 6 ust. 1 lit f) RODO przez jego błędną wykładnię i przyjęcie, że podstawowe prawa i wolności osób, których dane mają zostać udostępnione mają charakter podrzędny wobec interesu wnioskodawczym i w konsekwencji, iż Skarżąca nie miała w niniejszej sprawie podstaw do odmowy udostępnienia danych, podczas gdy z okoliczności sprawy wynika, iż w razie udostępnienia żądanych danych Pani E. M. może dojść do naruszenia podstawowych praw i wolności osób, których dane dotyczą;
6) art. 6 ust. 1 lit f) RODO przez jego błędną wykładnię i przyjęcie, że sama deklaracja Pani E. M. co do pozyskania danych użytkowników serwisu internetowego na potrzeby dochodzenia roszczeń na drodze sądowej przesądza o dopuszczalności przetwarzania danych osobowych na podstawie tego przepisu, podczas gdy samo takie oświadczenie, nie może zostać uznane za wystarczające ustalenie spełnienia przesłanki niezbędności dla realizowanych celow wynikających z prawnie uzasadnionych interesów, stanowiące w konsekwencji podstawę udostępnienia danych osobowych w oparciu o przepisy rozporządzenia, którego celem jest ochrona danych osobowych.
II. naruszenie przepisów postępowania, mogące mieć istotny wpływ na wynik sprawy tj.:
7) art. 160 ust. 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku poprzez jego błędną wykładnię i przyjęcie, że do postępowania w niniejszej sprawie, wszczętego i niezakończonego przed wejściem w życie ustawy z dnia 10 maja 2018 roku nie stosuje się art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723), a stosuje się art. 6 ust. 1 lit f) RODO;
8) art. 138 § 1 pkt 1 KPA w zw. z art. 18 ust. 1 pkt 2 ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku poprzez utrzymanie w mocy decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2021 roku ([...]), wskutek uznania jej za decyzję prawidłową i przyjęcie, że w niniejszej sprawie Skarżąca naruszyła przepisy RODO i ustawy o ochronie danych osobowych i zachodzi podstawa do wydania decyzji nakazującej udostępnienie danych osobowych, podczas gdy wobec braku podstaw do nakazania Skarżącej udostępnienia danych osobowych w niniejszej sprawie decyzja z dnia [...] sierpnia 2021 roku ([...]) powinna zostać uchylona w zaskarżonej części.
Mając na względzie wskazane zarzuty, Skarżąca wniosła o na podstawie art. 145 § 1 pkt 1 lit. a) i c) PPSA o uchylenie w zaskarżonej części decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2021 roku oraz poprzedzającej ją decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2021 r. oraz o zwrot kosztów postępowania.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2021 r., poz. 137), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.
Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity Dz. U. z 2019 r., poz. 2325 ze zm. - dalej także: "P.p.s.a.").
Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.
Należy zauważyć, że w tej sytuacji, Wojewódzki Sąd Administracyjny w Warszawie, dokonując oceny legalności zaskarżonych rozstrzygnięć Prezesa Urzędu Ochrony Danych Osobowych, zobowiązany jest - co do zasady - zbadać ich zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - zwane także: "RODO").
Niemniej jednak, w niniejszej sprawie Sąd zobowiązany był uwzględnić fakt, iż zgodnie z art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego.
W świetle powyższych regulacji intertemporalnych odnoszących się do postępowań prowadzonych przez poprzedni organ nadzorczy - Generalnego Inspektora Ochrony Danych Osobowych, ustawodawca przyjął, iż postępowania, które nie zostały zakończone do dnia wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, a więc do dnia 25 maja 2018 r., mają być nadal prowadzone przez nowy organ nadzorczy - Prezesa Urzędu Ochrony Danych Osobowych, w oparciu o stare przepisy, a więc u.o.d.o. z 1997 r. i zasady określone w Kodeksie postępowania administracyjnego, przy jednoczesnym uwzględnieniu faktu, iż - zgodnie z art. 160 ust. 3 u.o.d.o. - czynności dokonane w tych postępowaniach pozostają skuteczne.
W tej sytuacji, Sąd badając legalność obu spornych decyzji organu nadzorczego zobowiązany był uwzględnić fakt, iż - w świetle art. 160 ust. 2 u.o.d.o. - zarówno analizowane postępowanie, jako wszczęte i niezakończone przed dniem wejścia w życie aktualnie obowiązującej ustawy, jak i obie wspomniane decyzje administracyjne muszą być oceniane w zakresie ich zgodności z poprzednio obowiązującą ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga spółki [...] S.A. z siedzibą w [...] zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2020 r., jak i poprzedzająca ją decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2014 r. w części nakazującej skarżącej spółce udostępnienie J. N. danych osobowych użytkowników portalu internetowego [...] S.A. w zakresie numerów IP ich komputerów oraz adresów e-mail (a więc w części określonej w punkcie 1 tej decyzji) - naruszają w sposób istotny obowiązujące przepisy prawa.
Analizując niniejszą sprawę, Sąd doszedł bowiem do wniosku, że organ nadzorczy, wydając obie sporne decyzje administracyjne, dopuścił się przede wszystkim - mogącego mieć zasadniczy wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., a także art. 107 § 3 k.p.a. w zw. z art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz w związku z art. 160 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, które to naruszenie polegało przede wszystkim na niedokładnym ustaleniu zamiaru podmiotu wnioskującego o udostępnienie mu danych osobowych na potrzeby postępowania sądowego, a w szczególności, nieustaleniu w toku postępowania wyjaśniającego, czy w warunkach konkretnego stanu faktycznego powoływanie się przez tę osobę na wolę wszczęcia postępowania sądowego nie ma charakteru pozornego.
W konsekwencji, zdaniem Sądu, organ nadzorczy dopuścił się uchybienia polegającego na naruszeniu art. 7 i art. 77 k.p.a. w związku z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, z uwagi na nieprzeprowadzenie oceny realności podawanej podstawy faktycznej uruchomienia w konkretnej sprawie postępowania sądowego, co mogło mieć istotny wpływ na wynik sprawy, albowiem udostępnienie danych osobowych, na podstawie art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r., musi być niezbędne.
Organ nadzorczy dopuścił się jednocześnie naruszenia art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r., polegającego na jego błędnej wykładni i w konsekwencji nieprawidłowemu przyjęciu, że sama deklaracja J. N. co do pozyskania danych użytkowników serwisu internetowego na potrzeby dochodzenia roszczeń na drodze sądowej przesądza o dopuszczalności przetwarzania danych osobowych na podstawie tego przepisu, podczas gdy samo takie oświadczenie nie może zostać uznane za wystarczające dla ustalenia spełnienia przesłanki niezbędności, stanowiącej w konsekwencji podstawę udostępnienia danych osobowych w oparciu o przepisy cyt. ustawy, której celem jest ochrona danych osobowych.
Przechodząc do oceny legalności obu spornych decyzji, należy zauważyć na wstępie, że istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy - w świetle przepisów art. 18 ust. 1 pkt 2 w związku z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - organ nadzorczy w ogóle miał uprawnienie do zobowiązywania skarżącej spółki [...] S.A., jako administratora danych osobowych, do udostępniania będących w jego posiadaniu danych osobowych internautów (użytkowników portalu internetowego) osobie trzeciej, na potrzeby ewentualnego wytoczenia przez ową osobę trzecią powództwa cywilnego o ochronę dóbr osobistych.
Rozstrzygając powyższą wątpliwość, przede wszystkim należy mieć na względzie to, iż zgodnie z konstytucyjną zasadą legalizmu, w oparciu o którą muszą działać wszystkie podmioty publiczne, Prezes UODO, jako organ nadzorczy (wcześniej zaś Generalny Inspektor Ochrony Danych Osobowych), będąc podmiotem publicznym może podejmować wyłącznie takie działania, które znajdują swoje źródło w przepisach obowiązującego prawa. Nie ulega więc wątpliwości, że aby organ nadzorczy mógł podjąć określone działania, musi mieć do tego stosowne umocowanie ustawowe.
Na marginesie zauważyć trzeba, iż w świetle obecnie obowiązujących przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), co do zasady uprawnienia proceduralne i materialne przyznane zostały wyłącznie osobom, których danych osobowych dotyczy ochrona. Osobami tymi są więc te, których dane osobowe są chronione przez powyższy akt prawny, a nie jakiekolwiek inne osoby trzecie. W konsekwencji, wskazać należy, że z przepisów RODO nie przysługują żadne uprawnienia osobom trzecim, czyli innym niż te, których danych osobowych dotyczy ochrona. W szczególności, przepisy RODO nie dają uprawnień informacyjnych podmiotom, które zamierzają wytaczać powództwa osobom fizycznym, których dane osobowe objęte są ochroną. Mało tego, przepisy RODO nie dają takich uprawnień także organowi nadzorczemu. Prezes UODO nie może więc żądać od administratora danych osobowych ich ujawnienia osobie trzeciej, na potrzeby ewentualnego postępowania sądowego. Takiego uprawnienia nie sposób wywieść z art. 6 ust. 1 lit. f RODO, albowiem przepis ten stanowiłby dla podmiotu skarżącego (wnoszącego o udostępnienie danych) podstawę prawną do przetwarzania konkretnych danych osobowych w sytuacji, gdyby podmiot ten był już w posiadaniu tych danych. Powyższa norma nie daje jednak podmiotowi składającemu skargę uprawnienia do pozyskania takich danych osobowych bezpośrednio od administratora, czy też za pośrednictwem Prezesa UODO. Co więcej, uprawnienie takie nie wynika również z treści art. 58 ust. 1 lit. a RODO, gdyż ten przepis dotyczy wyłącznie zakresu zadań organu nadzorczego, i nie sposób z niego wywieść, by organ nadzorczy mógł zobowiązywać administratora danych do ich ujawniania osobom trzecim. Warto zauważyć ponadto, że omawianego uprawnienia nie osób również skutecznie wywieść z treści art. 58 ust. 2 lit. c RODO. Nie ulega bowiem wątpliwości, że RODO zajmuje się przecież prawem do ochrony danych osobowych, a nie dóbr osobistych. Stąd użyte we wspomnianym wyżej przepisie art. 58 ust. 2 lit. c RODO sformułowanie "osoby, której dane dotyczą" musi być rozumiane w ten sposób, że chodzi tu o osobę, której dane są przetwarzane, a nie o jakąkolwiek inną osobę trzecią.
Na marginesie, zauważyć należy także, iż uprawnienie do żądania udostępnienia przez administratora danych osobie trzeciej przetwarzanych przez niego danych osobowych (tak, jak w niniejszej sprawie) nie przysługuje Prezesowi UODO także na podstawie przepisów obecnie obowiązującej ustawy z 10 maja 2018 r. o ochronie danych osobowych.
Powyższe uwagi nie mogą mieć jednak istotnego znaczenia w niniejszej sprawie, albowiem - jak zauważył Sąd na wstępie wszelkich rozważań - badając legalność obu spornych decyzji organu nadzorczego wydanych w analizowanej sprawie, uwzględnić trzeba fakt, iż - w świetle art. 160 ust. 2 u.o.d.o. - zarówno analizowane postępowanie, jako wszczęte i niezakończone przed dniem wejścia w życie aktualnie obowiązującej ustawy, jak i obie wspomniane decyzje administracyjne muszą być oceniane w zakresie ich zgodności z poprzednio obowiązującą ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
W tej sytuacji, wskazać należy, że - wbrew zarzutom skarżącej spółki, w niniejszej sprawie dla Sądu niesporne było, że dochodzenie roszczeń przed sądem może być podstawą do przetwarzania danych osobowych, w oparciu o art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Jednocześnie, uznać należy, że nie jest trafne stanowisko, jakoby jedyną podstawą udostępnienia spornych danych internautów - użytkowników portalu internetowego prowadzonego przez skarżącą spółkę [...] S.A. może być wyłącznie art. 18 ust. 6 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, który expressis verbis ogranicza katalog podmiotów upoważnionych do żądania udostępnienia danych do organów państwa.
Wojewódzki Sąd Administracyjny w Warszawie w składzie orzekającym w niniejszej sprawie w całej rozciągłości podziela stanowisko prezentowane w judykaturze, z którego wynika, że dla nakazania przez Generalnego Inspektora Ochrony Danych Osobowych - na podstawie art. 18 ust. 1 pkt 2 w związku z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. - udostępnienia danych osobowych osób na potrzeby wniesienia pozwu do sądu przez jednostkę wnioskującą o te dane - konieczne jest wnikliwe przeanalizowanie i zweryfikowanie przez organ nadzorczy, iż zamiar tej jednostki skorzystania z prawa do sądu jest realny i rzeczywisty. W ocenie Sądu, niedopuszczalne jest bowiem powoływanie się na wolę skorzystania z przysługującego prawa do sądu po to, aby w istocie jedynie poznać dane osobowe innej osoby, gdyż stanowiłoby to niezasługujące na ochronę nadużycie art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. (tak m.in. /w:/ wyrok Naczelnego Sądu Administracyjnego z dnia 10 listopada 2015 r., sygn. akt I OSK 1173/14).
W orzecznictwie sądowym, jak słusznie wskazał organ nadzorczy, przyjmuje się wprawdzie, że umożliwienie podjęcia czynności prawnych zmierzających do ochrony swoich dóbr osobistych na drodze cywilnej jest działaniem w granicach prawa, pozwalającym na odstępstwo od zasady ochrony danych osobowych (por. m.in. wyrok NSA z dnia 18 kwietnia 2014 r., sygn. akt I OSK 2789/12, czy też wyrok NSA z dnia 10 listopada 2015 r., sygn. akt I OSK 1210/14).
Niemniej jednak, właściwe załatwienie danej sprawy wymaga od organu nadzorczego podjęcia działań zmierzających do ustalenia, czy udostępnienie danych osobowych na potrzeby wniesienia pozwu do sądu przez stronę wnioskującą o te dane jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów. W ramach tego typu postępowania organ nadzorczy powinien wnikliwe przeanalizować i zweryfikować, czy zamiar skorzystania przez podmiot wnioskujący o udostępnienie danych z prawa do sądu jest realny i rzeczywisty. W orzecznictwie wskazuje się bowiem, że niedopuszczalne jest powoływanie się na wolę skorzystania z przysługującego prawa do sądu wyłącznie po to, aby w istocie jedynie poznać dane osobowe innej osoby. Taka motywacja stanowiłaby niezasługujące na ochronę nadużycie art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Z tego względu, w judykaturze wskazuje się, że organ nadzorczy musi dokładnie ustalić zamiary podmiotu wnioskującego o udostępnienie mu danych na potrzeby postępowanie sądowego, w szczególności, czy w warunkach konkretnego stanu faktycznego powoływanie się przez ten podmiot na wolę wszczęcia postępowania sądowego nie ma charakteru pozornego. Organ zobowiązany jest zatem ocenić realność podawanej podstawy faktycznej uruchomienia w konkretnej sprawie postępowania sądowego. Ocena, czy cel wnioskodawcy jest prawnie usprawiedliwiony, należy nie tylko do kompetencji organu nadzorczego, ale także do jego obowiązków w ramach realizacji normy prawnej określonej w ar. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. (por. m.in. wyrok NSA z dnia 10 listopada 2015 r., sygn. akt I OSK 1173/14, czy też wyrok NSA z dnia 10 listopada 2015 r., sygn. akt I OSK 1210/14; podobnie: /w:/ wyrok NSA z dnia 22 marca 2018 r., sygn. akt I OSK 454/16).
W konsekwencji, uznać należy - zdaniem Sądu - że zarówno Generalny Inspektor Ochrony Danych Osobowych, jako organ nadzorczy wydający sporną decyzję z dnia [...] listopada 2014 r. nakazującą w jej punkcie 1 udostępnienie przez stronę skarżącą wnioskodawczyni J. N. danych osobowych użytkowników portalu internetowego prowadzonego przez spółkę [...] S.A. w zakresie numerów IP ich komputerów oraz adresów e-mail, a także Prezes UODO, wydając zaskarżoną decyzję z dnia [...] września 2020 r., zobowiązani byli - w świetle art. 7 i art. 77 k.p.a. w związku z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. - dokładnie ustalić zamiary podmiotu wnioskującego o udostępnienie mu danych na potrzeby postępowania sądowego, w szczególności, precyzyjne wyjaśnić w toku postępowania sprawdzającego, czy w warunkach konkretnego stanu faktycznego powoływanie się przez tę osobę na wolę wszczęcia postępowania sądowego nie ma charakteru pozornego. Organ nadzorczy zobowiązany był zatem ocenić realność podawanej podstawy faktycznej uruchomienia w konkretnej sprawie postępowania sądowego, albowiem zgodnie z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. udostępnienie danych osobowych musi być niezbędne.
Owszem, o ile w pełni zgodzić się należy z organem nadzorczym, że zbyt daleko idąca jest sugestia skarżącej spółki, jakoby wykazanie przez podmiot wnioskujący o udostępnienie danych osobowych usprawiedliwionego celu posiadania danych internautów może nastąpić dopiero po zainicjowaniu przez ten podmiot postępowania sądowego, tym niemniej jednocześnie uznać trzeba jednak, że skoro elementem niezbędnym dla zastosowania art. 18 ust. 1 pkt 2 w związku z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r., jest wykazanie, iż udostępnienie spornych danych osobowych - znajdujące oparcie w przepisie art. 21 ust. 1 pkt 5 u.o.d.o. z 1997 r. - jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych osobowych albo odbiorcę danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
W konsekwencji, Sąd stwierdził, że organ nadzorczy, działając na podstawie art. 18 ust. 1 pkt 2 w związku z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r., zobowiązany był ex officio w toku spornego postępowania ocenić realność żądania udostępnienia danych osobowych na potrzeby postępowania sądowego, m.in. w oparciu o inne dowody (art. 75 § 1 k.p.a.). Istotne jest bowiem, aby organ nadzorczy ustalił, że udostępnienie danych osobowych nie będzie stanowić celu samego w sobie dla jednostki o nie wnioskującej, lecz posłużą one dla realizacji przez tę jednostkę przysługującego jej prawa do sądu.
Zdaniem Sądu, uznać należy jednocześnie, że organ nadzorczy, nakazując ujawnienie danych, musi każdorazowo - przy uwzględnieniu indywidualnych okoliczności danej sprawy - dokonać wyważenia przeciwstawnych interesów, jakimi są prawo do ochrony danych osobowych i prawo do ochrony czci, godności, czy też dobrego imienia danego podmiotu występującego o udostępnienie danych osobowych.
Nie ulega wątpliwości, że udostępnienie danych użytkowników portalu internetowego prowadzonego przez skarżącą spółkę jest możliwe, ale tylko po wyważeniu przeciwstawnych interesów, stosownie do okoliczności każdego przypadku oraz przy należytym uwzględnieniu wymogów wynikających z zasady proporcjonalności.
W tej sytuacji, Generalny Inspektor Ochrony Danych Osobowych, wydając jako organ nadzorczy sporną decyzję z dnia [...] listopada 2014 r., obowiązany był zatem ex officio uwzględnić nie tylko racje (interesy) podmiotu wnioskującego o żądane informacje, ale także administratora danych oraz - co istotne - podmiotów, których te informacje dotyczą, a które z istoty postępowania o wyjawienie ich danych nie są i nie mogą być czynnie działającymi stronami tego postępowania administracyjnego (podobnie: m.in. /w:/ wyrok Naczelnego Sądu Administracyjnego z dnia 10 listopada 2015 r., sygn. akt I OSK 1173/14).
Analizując dopuszczalność udostępnienia żądanych danych oraz wartości prawnych (interesów) podlegających ważeniu przez organ nadzorczy, nie można oczywiście abstrahować od każdorazowego stanu faktycznego sprawy. Oznacza to, że w stanie faktycznym niniejszej sprawy organ nadzorczy zobowiązany był - analizując żądanie J. N. zawarte w jej skardze z dnia [...] kwietnia 2014 r. - uwzględnić fakt, iż wnioskowane informacje dotyczą osób (internautów) korzystających, co do zasady, z wolności komunikowania się (art. 49 zdanie pierwsze Konstytucji RP) oraz wolności wypowiedzi i krytyki (art. 54 ust. 1 Konstytucji RP), które podlegają ochronie konstytucyjnej, tak samo jak prawo do ochrony danych osobowych (art. 51 ust. 1 Konstytucji RP), czy też prawo do sądu (art. 45 ust. 1 Konstytucji RP).
Tymczasem, analiza uzasadnienia wydanych w niniejszej sprawie obu decyzji administracyjnych wskazuje, że organ nadzorczy tych wartości nie wziął pod uwagę, a w każdym razie nie uzewnętrznił takiego zabiegu w motywach przedmiotowych decyzji, tak aby mógł on podlegać weryfikacji przez skarżącą spółkę, jako adresata decyzji oraz sąd administracyjny.
Zdaniem Sądu, organ nadzorczy nie wyjaśnił, dlaczego z występujących w sprawie wartości przyznał prymat prawu do sądu, albowiem nie uwzględnił i nie przedstawił racji wynikających z innych wartości chronionych prawnie, a przemawiających przeciwko takiemu zabiegowi.
Tymczasem, uznać należy, że bezrefleksyjny automatyzm w udostępnianiu informacji o osobach korzystających z wolności wypowiedzi w Internecie może wywoływać tzw. efekt mrożący, zniechęcający do prezentowania własnych racji i poglądów, a zatem godzić w wolność myśli i słowa. W tej sytuacji, należy przestrzegać konstytucyjnie chronionej zasady proporcjonalności (art. 31 ust. 3 Konstytucji RP) przy udostępnianiu tego rodzaju informacji.
Zgodzić się należy zarówno z wnioskodawczynią J. N., jak i organem nadzorczym, że osoba dokonująca naruszeń w przestrzeni Internetowej musi mieć świadomość, iż nie może nadużywać swoich praw, naruszając prawa innych, albowiem wolność wyrażania swoich poglądów związana jest z ponoszeniem za te poglądy odpowiedzialności. Sąd ma jednocześnie pełną świadomość tego, iż w dużej części wypowiedzi prezentowane w przestrzeni internetowej nie stanowią konstruktywnej formy zabrania głosu w kwestii objętej zainteresowaniem publicznym i w ramach kultury tej dyskusji, a przeciwnie - wskazują na wolę ich autora bezpośredniego naruszenia chronionych praw innego podmiotu, z czym nie wiąże się przeważająca korzyść społeczna. Wówczas uznać trzeba, iż wypowiedzi te stanowią nadużycie wolności słowa, niezasługujące na ochronę przybierającą postać zachowania danych ich autora w anonimowości. W ocenie Sądu, nie ulega wątpliwości, że osoba formułująca wypowiedzi w przestrzeni internetowej - tak jak i w świecie rzeczywistym - musi być wszak świadoma odpowiedzialności za swoje słowa.
Warto ponadto zauważyć, że istotą tego rodzaju usługi jest anonimowość usługobiorców korzystających z ogólnie dostępnych internetowych portali dyskusyjnych, zapewniająca wolność i swobodę wypowiedzi, co jest zasadniczym celem takich portali (por. wyrok Sądu Najwyższego z dnia 8 lipca 2011 r., sygn. akt IV CSK 665/10, OSN z 2012 r. nr 2, poz. 27). Oznacza to konieczność wzięcia pod uwagę przez organ nadzorczy funkcji i specyfiki konkretnej wypowiedzi formułowanej w przestrzeni internetowej przy ocenie, czy rzeczywiście mimo zniechęcających skutków takiego zabiegu dla użytkowników Internetu zasadne jest udostępnienie danych osobowych podmiotowi na potrzeby prowadzenia postępowania sądowego wobec określonych tego typu użytkowników, którzy mieli w opinii owego podmiotu naruszać jego prawa. Nie jest to możliwe bez uwzględnienia przez organ treści każdej z wypowiedzi stanowiących podstawę zgłoszonego żądania udostępnienia danych osobowych na potrzeby postępowania sądowego, jej kontekstu faktycznego oraz funkcji i celu.
W orzecznictwie wskazuje się, iż powyższa materia musi być analizowana przez organ przez pryzmat wartości prawnie chronionych w danej sprawie, w tym konstytucyjnych, z uwzględnieniem określonych w art. 7 k.p.a. interesów: społecznego i słusznego interesu stron (por. m.in. wyrok NSA z dnia 10 listopada 2015 r., sygn. akt I OSK 1173/14).
Mając powyższe na względzie, niewątpliwie za słuszny interes strony pragnącej poznać dane osobowe celem przeprowadzenia postępowania sądowego może być uznana wola skorzystania z prawa do sądu. Niemniej jednocześnie interes społeczny może wyrażać się w tym, aby chronić anonimowość autorów wypowiedzi sformułowanej w przestrzeni sieciowej właśnie z uwagi na jej znaczenie (konkretne korzyści) społeczne (dla sfery publicznej). Nie można bowiem abstrahować od tego, że niekiedy wypowiedzi stanowiące asumpt do wystąpienia przez dany podmiot na drogę sądową wobec ich autora - mają znaczący walor społeczny z uwagi na to, że zwracają uwagę na istotny problem, czy też nieprawidłowości objęte zainteresowaniem publicznym.
Zdaniem Sądu, nie ulega wątpliwości, że związanie rygorami procedury administracyjnej oznacza, iż organ nadzorczy jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego Państwa (art. 8 § 1 k.p.a.). W tej sytuacji, organ nadzorczy, uwzględniając powyższą zasadę, zobowiązany jest przede wszystkim dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony skarżącej. Organ nadzorczy jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 § 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 k.p.a.
Mając na uwadze powyższe, Sąd uznał, że organ nadzorczy nie wykazał w uzasadnieniu obu spornych decyzji spełnienia niezbędnych przesłanek przewidzianych w art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, a mianowicie, że udostępnienie żądanych w sprawie danych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów przeważających nad prawami i wolnościami osób, których te dane dotyczą.
Naruszyło to zatem także art. 7 k.p.a., nakazujący wyważenie występujących w sprawie interesów.
Tymczasem kwestia ta jest szczególnie istotna w stanie faktycznym niniejszej sprawy, albowiem - z uwagi na jej specyfikę - wskazane osoby (użytkownicy portalu internetowego prowadzonego przez skarżącą spółkę) same nie mogą reprezentować swojego interesu, lecz musi go uwzględnić z urzędu organ nadzorczy. W tej sytuacji, powyższe ustalenia powinny znaleźć wyjaśnienie w uzasadnieniu obu decyzji, stosownie do art. 107 § 3 k.p.a., pozwalając jednoznacznie zweryfikować to, czy organ nadzorczy wziął pod uwagę wszystkie istotne w sprawie wartości prawne, ocenił je z należytą uwagą i proporcjonalnością, a następnie przyznał prymat określonym z nich z uwagi na sprecyzowane argumenty na gruncie konkretnego stanu faktycznego.
Analizowane działanie organu nadzorczego w sposób istotny naruszało zatem również zasadę zaufania obywateli do organów praworządnego państwa i stosowanego przez nie prawa, wyrażonej w art. 8 § 1 k.p.a. Nie ulega bowiem wątpliwości, że zasada zaufania wyrażona w przepisie art. 8 § 1 k.p.a. ma kontekst konstytucyjny i unijny (europejski), zaś organy administracji publicznej są obowiązane, w ramach wykładni zgodnej z prawem UE i Konstytucją RP, uwzględniać fakt, iż zasada zaufania, również w aspekcie procesowym, jest zasadniczym elementem zasady demokratycznego państwa prawa i jako taka ma swoje umocowanie i źródło w art. 2 Konstytucji RP.
W związku z powyższym, skoro działanie organu nadzorczego nie spełniało w sposób ewidentny powyższych warunków, stanowiło to podstawę do wyeliminowania z obrotu prawnego zarówno zaskarżonej decyzji Prezesa UODO z dnia [...] września 2020 r., jak i poprzedzającej ją decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2014 r. w części nakazującej skarżącej spółce udostępnienie J. N. danych osobowych użytkowników portalu internetowego [...] S.A. w zakresie numerów IP ich komputerów oraz adresów e-mail (a więc w części określonej w punkcie 1 tej decyzji).
Biorąc powyższe pod uwagę, Wojewódzki Sad Administracyjny w Warszawie - działając na podstawie art. 145 § 1 pkt 1 lit. a i c P.p.s.a. - orzekł, jak w pkt. 1 sentencji wyroku.
Zasądzając od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącej spółki kwotę 697 złotych tytułem zwrotu kosztów postępowania sądowego, w tym kosztów zastępstwa procesowego, Sąd działał na podstawie przepisów art. 200 i art. 205 § 2 w związku z art. 209 P.p.s.a.