II SA/Wa 474/24

II SA/Wa 474/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-01-08
orzeczenie prawomocne
Data wpływu
2024-04-03
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /przewodniczący/
Andrzej Wieczorek /sprawozdawca/
Arkadiusz Koziarski
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędzia WSA Andrzej Wieczorek (spr.), Asesor WSA Arkadiusz Koziarski, , Protokolant specjalista Maryla Wiśniewska po rozpoznaniu na rozprawie w dniu 8 stycznia 2025 r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej Organ/Prezes UODO) decyzją z dnia [...] stycznia 2024 r. nr [...] utrzymał w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2018 r. nakazującą [...] sp. z o. o. z siedzibą w [...] (dalej Spółka) udostępnienie Panu J.M. (dalej Zaineresowany) adresów IP komputera użytkowników, którzy dokonywali wpisów na portalu internetowym.
Ustalono, że do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Zainteresowanego dotycząca nieudostępnienia mu danych osobowych użytkowników portalu internetowego [...] w zakresie numeru IP komputera, imienia, nazwiska, adresu e-mail oraz adresu zamieszkania, którzy dokonywali wpisów na portalu internetowym [...], w związku z artykułem "[...]" w następujących dniach i występując pod następującymi oznaczeniami: [...] przez [...] Sp. z o.o., z siedzibą w [...] (dalej Spółka).
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] marca 2018 r. nakazał Skarżącemu udostępnienie na rzecz Zainteresowanego adresów IP komputera użytkowników, którzy dokonywali w/w wpisów na portalu internetowym
Od powyższej decyzji Skarżący wniósł wniosek o ponowne rozpatrzenie sprawy.
Zaskarżoną decyzją z dnia [...] stycznia 2024r. Prezes UODO utrzymał w mocy zaskarżoną decyzję wydaną w I instancji. Z uzasadnienia zaskarżonej decyzji wynika, że w ocenie Prezesa UODO Skarżący, jako administrator danych osobowych bezpodstawnie odmówił Zainteresowanemu udostępnienia wnioskowanych danych tj. adresu IP użytkowników rzeczonych wpisów na portalu internetowym [...] i tym samym uniemożliwił dochodzenie swoich praw przed sądem.
Prezes UODO nie podzielił tym samym stanowiska Skarżącego, jakoby kierowany pod adresem podmiotu świadczącego usługi drogą elektroniczną wniosek o udostępnienie danych osobowych w postaci numeru IP komputera użytkowników tych usług, pochodzący od podmiotów innych, niż organy państwa i uzasadniony względami innymi niż potrzeby prowadzonych przez nie postępowań nie mógł zostać uwzględniony z uwagi na art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną.
W ocenie Prezesa UODO, administrator bezpodstawnie odmówił Zaineresowanemu udostępnienia wnioskowanych danych, tj. w tej sprawie adresu IP użytkowników rzeczonych wpisów na portalu internetowym [...]. Uniemożliwił Skarżącemu tym samym dochodzenie swoich praw przed sądem. Dla potwierdzenia słuszności prezentowanego w niniejszej sprawie stanowiska powołano wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 lutego 2010 r. (sygn. akt II SA/Wa 1598/09), w którym wskazano w szczególności cyt.: "(...) prawo do swobodnej, anonimowej wypowiedzi, nie może chronić osób, które naruszają prawa innych osób, od odpowiedzialności za wypowiedziane słowa.". Ponadto wskazano, że Naczelny Sąd Administracyjny w wyroku z dnia 21 sierpnia 2013 r. (I OSK 1666/12) podkreślił, że "(...) osoba dokonująca tych naruszeń musi mieć świadomość, że nie może nadużywać swoich praw naruszając prawa innych. Nie ma to nic wspólnego z ograniczaniem zasady wolności słowa. (...) Nieuzasadnione niczym jest natomiast twierdzenie, że ktoś wypowiadający się anonimowo, w sposób naruszający dobra innych podmiotów ma podlegać szczególnej ochronie i to jego dane osobowe są dobrem, które ustawodawca miał zamiar chronić w pierwszej kolejności".
Prezes UODO nie podzielił tym samym stanowiska Spółki, jakoby kierowany pod adresem podmiotu świadczącego usługi drogą elektroniczną wniosek o udostępnienie danych osobowych w postaci numeru IP komputera użytkowników tych usług, pochodzący od podmiotów innych, niż organy państwa i uzasadniony względami innymi niż potrzeby prowadzonych przez nie postępowań nie mógł zostać uwzględniony z uwagi na art. 18 ust. 6 u.ś.u.d.e. Stosownie do brzmienia ww. przepisu, usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań. Powyższy przepis istotnie kształtuje po stronie usługodawcy świadczącego usługi drogą elektroniczną obowiązek udostępnienia danych osobowych użytkowników tych usług organom państwa, na potrzeby prowadzonych przez nie postępowań. W ocenie organu, na tle ww. przepisu w stanie prawnym i faktycznym niniejszej sprawy, nieuprawnionym byłby wniosek o wyłączeniu stosowania, w procesie przetwarzania danych osobowych użytkowników usług świadczonych drogą elektroniczną pozostałych przesłanek określonych w art. 23 ust. 1 u.o.d.o. (por. wyrok Naczelnego Sądu Administracyjnego z dnia 21 sierpnia 2013 r. (sygn. akt I OSK 1666/12).
Skargę na powyższą decyzję oraz poprzedzającą ją rozstrzygnięcie z dnia 21 marca 2018 r., wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie Skarżący, zarzucając: wydanie ww. decyzji z naruszeniem przepisów:
- prawa materialnego, tj. art.12 pkt 2, art. 18 ust. 1, art. 22 i art. 23 ust. 1 u.o.d.o., poprzez ich niewłaściwą interpretację i zastosowanie poprzez uznanie, że organ nadzorczy jest uprawniony do nakazania udostępnienia danych osobowych na wniosek Skarżącego, -art. 18 ust. 6 u.ś.u.d.e. poprzez niewłaściwą interpretacje i zastosowanie poprzez uznanie, że Spółka może zostać zobowiązana do udostępnienia danych osobowych na wniosek Skarżącego, - prawa procesowego, tj. art. 8 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775 ze zm. dalej Kpa), poprzez prowadzenie sprawy w sposób naruszający zaufanie do organu nadzorczego, który w innych rozstrzygnięciach o podobnym stanie faktycznym odmawiał nakazania udostępnienia danych osobowych.
Skarżący wskazał, że Prezes UODO w innych postępowaniach, których stroną był Skarżący, a których stan faktyczny był niemal identyczny jak w niniejszej sprawie, stał na całkowicie odmiennym stanowisku, niż to zaprezentowane w sprawie niniejszej.
W sprawach zakończonych decyzją a opisanych w skardze Organ wskazywał, że obecnie obowiązująca ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. nie zawiera podobnych przepisów. Decydujące znaczenie dla rozstrzygnięcia, jakie musi być wydane w tej sprawie, ma okoliczność, że Prezes UODO nie posiada kompetencji do nakazania udostępnienia danych osobowych osoby trzeciej".
Przytoczył treść oficjalnego newslettera wydawanego przez Prezesa UODO dla inspektorów ochrony danych osobowych, w którym Prezes UODO zamieścił artykuł o tytule "PREZES UODO NIE MOŻE NAKAZAĆ UJAWNIENIA DANYCH OSOBOWYCH OSOBIE TRZECIEJ". Z treści tej publikacji wynika, że na mocy aktualnych przepisów RODO (art. 58) Prezes UODO nie ma uprawnienia do nakazania administratorowi lub podmiotowi przetwarzającemu ujawnienia danych osobowych osobie trzeciej, co potwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 11.06.2021 r. (sygn. akt II SA/Wa 456/21). Jednocześnie w tej samej publikacji Prezes UODO potwierdził, że nie miał takich uprawnień również w stanie faktycznym pod rządami ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Zgodnie z treścią w/w publikacji "przed 25 maja 2018 r. polski organ nadzorczy uznawał się za kompetentny do wydawania ww. nakazów w zakresie udostępnienia danych osobowych osoby trzeciej, na podstawie art. 1 8 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.). Artykuł ten wskazywał, że polski organ ochrony danych osobowych, w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych, "w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem", w tym mógł nakazać "uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych". Obecnie polska ustawa o ochronie danych osobowych z dnia 1 0 maja 201 8 r. (Dz.U. z 201 9 r. poz. 1781 t.j.) nie zawiera podobnych przepisów i takich kompetencji nie przewiduje. (...) W świetle powyższego, jako poprawną należało przyjąć konkluzje organu o niemożliwości wszczęcia niniejszego postępowania. Skoro bowiem przepisy prawa uniemożliwiały organowi merytoryczne rozpoznanie wniosku inicjującego postępowanie, to oczywistym było, że organ nie mógłby wydać decyzji zobowiązującej Spółki jako administrator danych osobowych do podjęcia działań żądanych przez Stronę". Podobne stanowisko Wojewódzki Sąd Administracyjny w Warszawie wyraził w wyroku z 27 listopada 2020 r. (sygn. akt II SA/Wa 1542/20).".
W związku z powyższym wnosił o uchylenie na podstawie art. 145 § 1 pkt 1 lit. a oraz lit. c Prawo o postępowaniu przed sądom administracyjnymi zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych oraz na podstawie art. 145 § 1 pkt 1 lit. a oraz lit. c w zw. z art. 135 w/w ustawy Prawo o postępowaniu j przed sądami administracyjnymi o uchylenie poprzedzającej ją decyzji z dnia [...] marca 2018 r., znak: [...] Oraz o zasadzenie od Prezesa Urzędu Ochrony Danych Osobowych na rzecz Skarżącej zwrotu kosztów postępowania.
W odpowiedzi na skargę organ podtrzymał stanowisko.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Skarga nie zasługuje na uwzględnienie.
Przedmiotem skargi jest decyzja Organu z dnia [...] stycznia 2024 r. utrzymująca w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2018 r. nakazującą Spółce udostępnienie Zaineresowanemu adresów IP komputera użytkowników, którzy dokonywali wpisów na portalu internetowym.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz.U. z 2024 r., poz. 1267), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności.
Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2024 poz. 935 z dnia 2024.06.26 dalej P.p.s.a.),
Należy zauważyć, że w dniu 25 maja 2018 r. rozpoczęto stosowanie w krajowym porządku prawnym przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej jako: rozporządzenie 2016/679, którego przepisy regulują kwestie związane z przetwarzaniem danych osobowych osób fizycznych.
Z dniem 25 maja 2018 r., wraz z wejściem w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781 t.j. dalej u.o.d.o.), Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa UODO na podstawie ustawy o ochronie danych osobowych. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1 i ust. 2 u.o.d.o.).
W czasie, gdy miało miejsce zdarzenie opisane przez Skarżącego, obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwana dalej ustawą. Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ustawy. Zgodnie z art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych było dopuszczalne, gdy było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Zainteresowany skierował skargę do Generalnego Inspektora Ochrony Danych Osobowych i uzasadnił koniecznością obrony jego praw, w tym jego dóbr osobistych. Zindywidualizowanie autora bądź autorów kwestionowanego wpisu stanowi niezbędny warunek dochodzenia przeciwko nim swych roszczeń na gruncie ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. 2020 poz. 1740 ze zm.), zwanej dalej k.c. Ponadto Skarżący podjął już kroki prawne zmierzające do realizacji swoich praw bowiem złożył do Sądu Okręgowego w [...] wniosek o udzielenie zabezpieczenia jego roszczenia o naruszenie dóbr osobistych.
Zgodnie z art. 187 § 1 ustawy z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego (Dz.U. 2020 poz. 1740 ze zm. dalej k.p.c. ), pozew powinien czynić zadość warunkom pisma procesowego. Zgodnie zaś z art. 126 § 1 k.p.c. każde pismo procesowe powinno więc zawierać m.in. imiona i nazwiska lub nazwy stron, ich przedstawicieli ustawowych i pełnomocników. Gdy pismo procesowe jest pierwszym pismem w sprawie, powinno zawierać oznaczenie m.in. miejsca zamieszkania lub siedziby i adresy stron albo, w przypadku gdy strona jest przedsiębiorcą wpisanym do Centralnej Ewidencji i Informacji o Działalności Gospodarczej - adres do korespondencji wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, czy też miejsca zamieszkania lub siedziby i adresów przedstawicieli ustawowych i pełnomocników stron (art. 126 § 2).
W ocenie Sądu orany prawidłowo ustalili, że administrator bezpodstawnie odmówił Skarżącemu udostępnienia wnioskowanych danych tj. adresu IP użytkowników rzeczonych wpisów na portalu internetowym [...]. Uniemożliwił Skarżącemu tym samym dochodzenie swoich praw przed sądem.
Wprawdzie ustalenie tożsamości danej osoby może być utrudnione, jednak z uwagi na to, że każdy komputer zostawia w Internecie ślad - adres IP, za pomocą którego można ustalić komputer, z którego dokonano wpisu, stwarza to możliwość pośredniego ustalenia tożsamości osoby, która dokonała tego wpisu (...) uczestnik postępowania posiada informacje o dacie logowania, pseudonimach osób dokonujących tej czynności i treści dokonanych wpisów. W ocenie Sądu, powyższe informacje, zestawione z numerami IP umożliwiają jednoznaczne określenie tożsamości osób, które naruszyły dobra osobiste uczestnika postępowania. (...) żądane przez uczestnika postępowania adresy IP stanowią w niniejszej sprawie dane osobowe w rozumieniu art. 6 ust. 1 ustawy o ochronie danych osobowych, a nakazanie ich udostępnienia stanowi realizację dyspozycji ust. 2 tego przepisu, tzn. stworzy możliwość zidentyfikowania osoby, bądź osób, których tożsamość można określić pośrednio. (...) sam adres IP komputera nie wystarcza do wskazania osoby, która z niego korzystała, ale w zestawieniu z innymi informacjami pozwala przypuszczać, że jej tożsamość można ustalić. W ocenie Sądu, identyfikacja tej osoby nie musi być związana z nadmiernymi kosztami, czasem lub działaniami (...)". Ponadto, Naczelny Sąd Administracyjny w wyroku z dnia 21 sierpnia 2013 r. (I OSK 1666/12) podkreślił, że "(...) osoba dokonująca tych naruszeń musi mieć świadomość, że nie może nadużywać swoich praw naruszając prawa innych. Nie ma to nic wspólnego z ograniczaniem zasady wolności słowa. Wolność wyrażania swoich poglądów związana jest z ponoszeniem za poglądy te odpowiedzialności. Każdy kto wypowiada się publicznie, poza Internetem, ma świadomość co do ewentualnych konsekwencji wypowiedzi, które naruszają podstawowe, ustawowo chronione prawa innych osób. Nieuzasadnione niczym jest natomiast twierdzenie, że ktoś wypowiadający się anonimowo, w sposób naruszający dobra innych podmiotów ma podlegać szczególnej ochronie i to jego dane osobowe są dobrem, które ustawodawca miał zamiar chronić w pierwszej kolejności".
W tym stanie rzeczy zasadne jest twierdzenie Organu, stosownie do brzmienia ww. przepisu, usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań. Powyższy przepis istotnie kształtuje po stronie usługodawcy świadczącego usługi drogą elektroniczną obowiązek udostępnienia danych osobowych użytkowników tych usług organom państwa, na potrzeby prowadzonych przez nie postępowań.
W ocenie Sądu, w stanie prawnym i faktycznym niniejszej sprawy, nieuprawnionym byłby wniosek o wyłączeniu stosowania, w procesie przetwarzania danych osobowych użytkowników usług świadczonych drogą elektroniczną pozostałych przesłanek określonych w art. 23 ust. 1 u.o.d.o. (por. wyrok Naczelnego Sądu Administracyjnego z dnia 21 sierpnia 2013 r. (sygn. akt I OSK 1666/12).
Rozstrzygnięcie zawarte w zaskarżonej decyzji Prezesa UODO jest prawidłowe, zasadne jest zatem nakazanie Spółce udostępnienie Zainteresowanemu adresów IP ww. użytkowników i umorzenie postępowania na podstawie art. 105 ust.1 ustawy Kodeks postępowania administracyjnego w zakresie wnioskowanych danych, których Spółka nie przetwarza.
Zdaniem Sądu należy jednocześnie uznać, iż organ wyczerpująco zbadał istotne okoliczności faktyczne związane z niniejszą sprawą.
W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie organ rozstrzygając sprawę - oparł się na materiale prawidłowo zebranym, i dokonał jego wszechstronnej oceny.
Ponadto należy uznać, iż stanowisko wyrażone w zaskarżonej decyzji, organy uzasadniły w sposób wymagany przez normę prawa określoną w przepisie art. 107 § 3 k.p.a.
Z przytoczonych wyżej powodów Wojewódzki Sąd Administracyjny na podstawie art.151 p.p.s.a orzekł jak w sentencji.