III OSK 2441/21

III OSK 2441/21 - Wyrok NSA
Data orzeczenia
2023-07-13
orzeczenie prawomocne
Data wpływu
2021-01-04
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Mirosław Wincenciak
Rafał Stasikowski /sprawozdawca/
Teresa Zyglewska /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 1216/19 - Wyrok WSA w Warszawie z 2019-11-26
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok i oddalono skargę
Powołane przepisy
Dz.U. 2018 poz 1000
art. 160 ust. 2
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Dz.U. 2018 poz 1954
art. 159 ust. 2 pkt. 4, art. 161 ust. 1
Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne - tekst jedn.
Dz.U. 1997 nr 133 poz 883
art. 23 ust. 1 pkt 2
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Teresa Zyglewska Sędziowie sędzia NSA Rafał Stasikowski (spr.) sędzia NSA Mirosław Wincenciak Protokolant asystent sędziego Olga Libiszewska po rozpoznaniu w dniu 13 lipca 2023 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 26 listopada 2019 r., sygn. akt II SA/Wa 1216/19 w sprawie ze skargi P. K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 20 marca 2019 r., nr ZSPR.440.208.2019.PAM/I/33278/33285 w przedmiocie odmowy uwzględnienia wniosku 1. uchyla zaskarżony wyrok i oddala skargę; 2. zasądza od P. K. na rzecz Prezesa Urzędu Ochrony Danych kwotę 460 (czterysta sześćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wyrokiem z 26 listopada 2019 r., sygn. akt II SA/Wa 1216/19, Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu skargi P. K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 20 marca 2019 r., nr ZSPR.440.208.2019.PAM/I/33278/33285, w przedmiocie odmowy uwzględnienia wniosku: 1. uchylił zaskarżoną decyzję; 2. zasądził od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego kwotę 697 złotych tytułem zwrotu kosztów postępowania.
Wyrok zapadł w następujących okolicznościach faktycznych i prawnych:
W dniu 3 października 2017 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga P. K. - Dyrektora P. S.A. [...], o nakazanie M. S.A. z siedzibą w G. udostępnienia imienia i nazwiska odbiorcy Internetu u tej spółki o IP [...], który "w dniu 9 czerwca 2017 r. wysłał z G. pod fałszywym imieniem i nazwiskiem W. C. z adresu mailowego [...] maile, w których naruszył dobra osobiste - godność osobistą i dobre imię Dyrektora P. S.A. [...] P. K. poprzez porównanie go do ‘[...]’, grożąc ponadto rozpętaniem wojny o podwyżki wynagrodzeń w zakładzie pracy w mediach". Swoje żądanie uzasadnił zamiarem wystąpienia na drogę sądową z tytułu naruszenia dóbr osobistych i dobrego imienia przeciwko autorowi ww. wiadomości elektronicznych. Ponadto skarżący wskazał, że domaganie się ochrony dóbr osobistych na drodze cywilnej jest działaniem w granicach prawa, pozwalającym na zwolnienie z ochrony objętej tajemnicą telekomunikacyjną.
W toku przeprowadzonego postępowania wyjaśniającego Prezes Urzędu Ochrony Danych Osobowych ustalił, że skarżący, w celu skierowania powództwa do sądu w związku z naruszeniem jego dóbr osobistych, wystąpił do spółki pismem z 16 czerwca 2017 r. o udostępnienie na jego rzecz danych w zakresie imienia i nazwiska odbiorcy Internetu w M. S.A. o ww. IP.
W odpowiedzi na ww. wystąpienie skarżącego, jak również w treści wyjaśnień złożonych organowi nadzorczemu, spółka wskazała, że argumentacja skarżącego nie jest wystarczającą podstawą do ujawnienia danych objętych tajemnicą telekomunikacyjną.
Decyzją z 20 marca 2019 r. Prezes Urzędu Ochrony Danych Osobowych odmówił uwzględnienia wniosku skarżącego. Jako podstawy powyższego rozstrzygnięcia wskazał art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze. zm.; dalej "k.p.a."), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) w związku z art. 6 ust. 1 lit. c) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE .L 119 z 4 maja 2016, str. 1 oraz Dz. Urz. L 127 z 23 maja 2018, str. 2; dalej "RODO") w związku z art. 159 ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2018 r., poz. 1954 ze. zm.; dalej "prawo telekomunikacyjne").
W uzasadnieniu organ wyjaśnił, że żądanie skarżącego, dotyczące udostępnienia przez spółkę danych osobowych znajduje podstawę prawną w art. 6 ust. 1 lit. f) RODO, w którym ustawodawca wskazał na niezbędność przetwarzania danych do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Skarżący uzasadnił bowiem ww. wniosek zamiarem wszczęcia postępowania cywilnego, celem dochodzenia roszczeń od osoby posługującej się IP [...], która w dniu 9 czerwca 2017 r. wysłała z G. pod fałszywym imieniem i nazwiskiem wiadomości elektroniczne. Organ zwrócił uwagę, że skarżący we wniosku kierowanym do spółki, jak również w treści rozpatrywanej skargi, jako podstawę prawną udostępnienia żądanych danych wskazywał przepis art. 126 § 1 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2018 r. poz. 1360 ze zm.; dalej "k.p.c."), z którego wynika, że poza oznaczeniem strony postępowania (z imienia i nazwiska), aby skutecznie wnieść pierwsze pismo w postępowaniu cywilnym należy oznaczyć także adresy zamieszkania lub siedziby i adresy stron postępowania. Zdaniem organu argument powołania się na wniesienie pozwu do sądu jest wątpliwy i pozwala przypuszczać, że skarżący chciał jedynie poznać imię i nazwisko osoby ukrywającej się pod fałszywym imieniem i nazwiskiem.
Powołując się na stosowne regulacje prawa telekomunikacyjnego, organ wskazał, że przepisy te dopuszczają co prawda zbieranie czy udostępnianie danych objętych tajemnicą telekomunikacyjną, ale tylko wówczas, gdy dotyczy to usługi świadczonej użytkownikowi albo gdy dane te są niezbędne do jej wykonania. Natomiast przetwarzanie tych danych w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych (stosownie do art. 161 ust. 1 prawa telekomunikacyjnego). Tym samym przepisy prawa telekomunikacyjnego odwołują się do innych ustaw przyznających wprost podmiotom nieuczestniczącym w prowadzeniu działalności telekomunikacyjnej prawo do przetwarzania ściśle określonych kategorii informacji - wymienionych w art. 159 ust. 1 prawa telekomunikacyjnego, pozyskiwanych od podmiotów prowadzących tego rodzaju działalność (działalność telekomunikacyjną). Zezwolenie to dotyczy wyłącznie sytuacji, gdy przetwarzanie wskazanych kategorii informacji (stanowiących tajemnicę telekomunikacyjną) jest niezbędne dla realizacji ściśle określonych odrębnymi przepisami zadań.
W ocenie organu powołane przepisy art. 159 ust. 2 pkt 4 i ust. 3 oraz art. 161 ust. 1 prawa telekomunikacyjnego przewidują dalej idącą ochronę danych osobowych abonentów objętych tajemnicą telekomunikacyjną, niż art. 6 ust. 1 RODO, zezwalając na ich udostępnianie podmiotowi nieuczestniczącemu w działalności telekomunikacyjnej lub pozyskanie przez podmiot nieuczestniczący w takiej działalności pod warunkiem istnienia wyraźnego ustawowego upoważnienia w tym zakresie i wyłącznie wówczas, gdy jest to konieczne dla realizacji celów ściśle określonych obowiązującymi przepisami. W ocenie organu ogólne wskazanie zamiaru złożenia pozwu, w stosunku do osoby nieznanej z imienia i nazwiska, nie stanowi na tle niniejszej sprawy uzasadnionej potrzeby uzyskania tych danych. Jednocześnie skarżący nie wskazał konkretnej normy prawnej obligującej spółkę do udostępnienia mu danych osobowych objętych tajemnicą telekomunikacyjną.
Skargę na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie wywiódł skarżący.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
Uwzględniając skargę, sąd pierwszej instancji podniósł, że istota problemu w niniejszej sprawie sprowadza się do udzielenia odpowiedzi na dwa pytania: czy art.126 k.p.c. może stanowić podstawę do ujawnienia tajemnicy telekomunikacyjnej? Czy organ był uprawiony do zastosowania w niniejszej sprawie RODO?
Sąd ten przeanalizował stosowne przepisy prawa telekomunikacyjnego, a także orzecznictwo Naczelnego Sadu Administracyjnego odnoszące się do kwestii tajemnicy telekomunikacyjnej. Nadto powołał się na ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2002 r. Nr 101, poz. 926 ze. zm.).
Sąd pierwszej instancji doszedł do wniosku, że w niniejszej sprawie skarżący dowiódł zainicjowania czynności w kierunku pozyskania danych użytkownika posługującego się ww. adresem mailowym, który w dniu 9 czerwca 2017 r. dokonał zniesławiającego go wpisu, jednak okazały się one bezskuteczne, gdyż zarówno uczestnik postępowania, jak i organ, uznały, że dane powyższe nie mogą być ujawnione z uwagi na tajemnicę telekomunikacyjną. Stanowisko to sąd uznał za błędne. Wskazał, że skarżący w toku całego postępowania powoływał się na normę prawa procesowego art. 126 § 1 pkt 1 k.p.c., która to norma upoważnia do pozytywnego rozpoznania wniosku skarżącego o nakazanie M. S.A. w G. udostępnienia imienia i nazwiska ww. odbiorcy Internetu w M. S.A., z uwagi na zamiar skarżącego wystąpienia z powództwem o ochronę dóbr osobistych.
Odnosząc się natomiast do drugiej kwestii związanej z zastosowaniem
w niniejszej sprawie RODO, sąd wskazał, że udzielenie odpowiedzi na powyższe pytanie sprowadzało się do wykładni przepisu art. 160 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z treścią tego przepisu postępowanie w sprawach wszczętych a nie zakończonych przed dniem wejścia w życie niniejszej ustawy, prowadzi się na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Zdaniem sądu zakres przedmiotowy przywołanej regulacji jest oczywisty. Dotyczy bowiem niewątpliwie spraw, w których postępowanie zainicjowano przed konkretną datą, i które nadal znajdują się w toku, tj. nie zostały zakończone prawomocną decyzją. Skoro prawodawca materię tę sprecyzował w ten sposób, że "postępowanie prowadzi się na podstawie ustawy z 1997 r." to niespornym jest, iż wszelkie czynności formalne, jak i merytoryczne (w tym czynność w postaci wydania decyzji administracyjnej), należy dokonywać w oparciu o dawną ustawę. Oznacza to więc, iż podstawą decyzji wydanej w sprawie, o jakiej mowa w art.160 ustawy z 10 maja 2018 r. o ochronie danych osobowych, mogą być wyłącznie przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych.
Sąd pierwszej instancji podniósł, że organ, wydając skarżoną decyzję, uchybił normie art. 160 ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych. Decyzję oparł bowiem m.in. na normie art. 6 ust.1 lit. c) RODO. Tego typu działanie było zaś nieuprawnione. Przepisy intertemporalne ustawy z 10 maja 2018 r. o ochronie danych osobowych nie dopuszczają możliwości, by w sprawie, w której postępowanie zostało zainicjowane przed 25 maja 2018 r. (co w niniejszej sprawie jest niesporne) i nie zostało zakończone przed 25 maja 2018 r. (co w niniejszej sprawie także nie budzi sporu), organ procedował w oparciu o przepisy ustawy z 10 maja 2018 r. lub łącznie o przepisy ustawy zarówno z 10 maja 2018 r., jak i z 29 sierpnia 1997 r. Sąd podkreślił, że treść normy art. 6 ust.1 lit. f) RODO jest analogiczne z art. 23 ust.1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Tak więc uchybienie to nie miało w ocenie sądu istotnego wpływu na rozstrzygnięcie.
Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. a) i c) ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2018 r., poz. 1302 ze zm.; dalej "p.p.s.a."), uchylił zaskarżoną decyzję. O kosztach orzekł w oparciu o art. 200 w zw. z art. 205 p.p.s.a.
Skargę kasacyjną od powyższego wyroku wywiódł Prezes UODO, zaskarżając wyrok w całości. Wniósł o uchylenie zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania sądowi pierwszej instancji oraz o zasądzenie zwrotu kosztów postępowania. Nadto wniósł o rozpoznanie sprawy na rozprawie. Zaskarżonemu wyrokowi zarzucił:
1) naruszenie przepisów prawa materialnego, tj. art. 159 ust. 2 pkt 4 oraz art. 161 ust. 1 prawa telekomunikacyjnego poprzez ich błędną wykładnię polegającą na przyjęciu, że przepisy te dają podstawę do udostępnienia danych objętych tajemnicą telekomunikacyjną w przypadku, gdy konieczne są dla wystąpienia w drodze prywatnego aktu oskarżenia lub wystąpienia z powództwem cywilnym;
2) naruszenie przepisów prawa materialnego, tj. art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz art. 16 ust. 1 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2019 r., poz. 123 ze. zm.) poprzez ich błędną wykładnię, polegającą na przyjęciu, że przepisy te dopuszczają przetwarzanie danych osobowych objętych tajemnicą telekomunikacyjną w przypadku jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku poprzez zainicjowanie postępowania cywilnego lub karnego przez osobę fizyczną;
3) naruszenie przepisów prawa materialnego, tj. art. 159 ust. 4 prawa telekomunikacyjnego oraz art. 18 ust. 1 ustawy o świadczeniu usług drogą elektroniczną poprzez ich błędną wykładnię polegającą na przyjęciu, że przepisy te nie zawężają zakresu podmiotów jedynie do państwowych organów, którym można ujawnić dane osobowe objęte tajemnicą telekomunikacyjną, na potrzeby prowadzonych przez nie postępowań,
co miało istotny wpływ na wynik postępowania, skutkując uchyleniem zaskarżonej decyzji.
W odpowiedzi na skargę kasacyjną skarżący wniósł o jej oddalenie oraz o zasądzenie zwrotu kosztów postępowania kasacyjnego. Nie zażądał przeprowadzenia w sprawie rozprawy.
Naczelny Sąd Administracyjny zważył, co następuje.
Stosownie do art. 183 § 1 p.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a., i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu, dokonując kontroli zaskarżonego skargą kasacyjną wyroku. Wobec tego Naczelny Sąd Administracyjny przeszedł do zbadania zarzutów kasacyjnych.
Skarga kasacyjna jest zasadna.
Na wstępie, przed rozpoznaniem merytorycznie poszczególnych zarzutów, odnieść należy się do kwestii podstaw prawnych orzekania przez organ, który formalnie nie uczynił z tego zagadnienia zarzutów, lecz w treści uzasadnienia skargi kasacyjnej kwestionuje stanowisko prawne wyrażone przez sąd pierwszej instancji w tym zakresie oraz opiera zarzut drugi o przepis ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Zauważyć należy, iż wniosek do organu o nakazanie udostępnienia danych osobowych wpłynął 3 października 2017 r., a poddana kontroli sądowej decyzja została wydana w dniu 20 marca 2019 r., która wśród podstaw prawnych wydania wskazywała na przepisy m.in. RODO. Wniosek skarżącego wpłynął zatem do organu w czasie obowiązywania ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 138 ze. zm.; zwana dalej ustawą z 1997 r.). Rozporządzenie RODO zgodnie z art. 99 ust. 1 wchodzi w życie po 20 dniu od publikacji w Dzienniku Urzędowym UE, co oznacza, iż weszło ono w życie i ma zastosowanie od dnia 25 maja 2018 r., podobnie jak ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781; zwana dalej ustawą z 2018 r.). Oba akty normatywne weszły bowiem w życie jednocześnie w dniu 25 maja 2018 r. Z dniem wejścia w życie ustawy z 2018 r. utraciła moc obowiązującą ustawa z 1997 r. Jedyna regulacja intertemporalna zawarta została w art. 160 ust. 2 ustawy z 2018 r., zgodnie z którą postępowania wszczęte i niezakończone przez GIODO przed wejściem w życie ustawy z 10 maja 2018 r., są prowadzone przez Prezesa UODO na podstawie przepisów ustawy z 1997 r.
Problematyka intertemporalna nie została uregulowana przez ustawodawcę w sposób wyczerpujący. Zakresem regulacji objęta została tylko kwestia postępowań wszczętych i niezakończonych przez GIODO przed 25 maja 2018 r. Wydaje się, że choć to ważna kwestia, to mimo wszystko marginalna wobec zagadnień nieobjętych regulacją ustawową. Uwadze ustawodawcy umknęły bowiem wszelkie inne kwestie prawa międzyczasowego. Brak jest przepisów odnoszących się do przypadków, gdy postępowania nie zostały jeszcze wszczęte, a zdarzenia objęte nimi miały miejsce przed 25 maja 2018 r. Nie rozstrzygnął on problemów stosunków prawnych lub faktów, które powstały lub wystąpiły pod rządami dawnego prawa i trwają po jego uchyleniu pod rządami nowego prawa, jak również stosunków prawnych lub faktów, które wystąpiły i zakończyły się pod rządami starego prawa, a postępowania administracyjne odnoszące się do nich zostały wszczęte dopiero po 25 maja 2018 r.
Z przepisu art. 160 ust. 2 ustawy z 2018 r. wynika bez wątpienia, iż stare prawo znajduje dalsze zastosowanie do spraw wszczętych i nie zakończonych przed 25 maja 2018 r. W takich przypadkach wyłączną podstawą orzekania przez organ będą stanowić przepisy starego prawa. Do wszystkich pozostałych sytuacji stosowania prawa organ w związku z treścią przepisów art. 2 i art. 7 Konstytucji oraz art. 6 k.p.a. obowiązany będzie zastosować nowe prawo, mimo że fakty prawne, które miałyby zostać rozstrzygnięte w drodze aktu stosowania prawa, zaszły w czasie zanim weszło w życie nowe prawo.
Postępowanie zakończone zaskarżoną decyzją, jak słusznie wskazał sąd pierwszej instancji, winno być prowadzone w oparciu o ustawę z 1997 r., a nie jak wskazał organ w oparciu o ustawę z 2018 r. oraz RODO, gdyż zostało ono wszczęte na gruncie ustawy z 1997 r. Uchybienie to jednak nie miało wpływu na treść rozstrzygnięcia, gdyż treść art. 6 ust.1 pkt f RODO jest analogiczna z art. 23 ust. 1 pkt 2 ustawy z 1997 r.
Na uwzględnienie zasługiwały zarzuty naruszenia prawa materialnego, o czym poniżej.
Pierwszy zarzut dotyczył naruszenia art. 159 ust. 2 pkt 4 w zw. z art. 161 ust. 1 prawa telekomunikacyjnego poprzez ich błędną wykładnie i przyjęcie, że przepisy te dają podstawę do udostępnienia danych objętych tajemnicą telekomunikacyjną w przypadku, w przypadku gdy konieczne są dla wystąpienia w drodze prywatnego aktu oskarżenia lub wystąpienia z powództwem cywilnym.
Art. 159 ust. 2 pkt 4 prawa telekomunikacyjnego stanowi, że zakazane jest zapoznawanie się, utrwalanie, przechowywanie, przekazywanie lub inne wykorzystywanie treści lub danych objętych tajemnicą telekomunikacyjną przez osoby inne niż nadawca i odbiorca komunikatu, chyba że będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi. Zwrócić należy uwagę na treść przepisu art. 159 ust. 3 ww. ustawy, którego zarzut naruszenia nie został podniesiony Stanowi on, iż z wyjątkiem przypadków określonych ustawą, ujawnianie lub przetwarzanie treści albo danych objętych tajemnicą telekomunikacyjną narusza obowiązek zachowania tajemnicy telekomunikacyjnej. Zgodnie natomiast z art. 161 ust. 1 ustawy, z zastrzeżeniem ust. 2, treści lub dane objęte tajemnicą telekomunikacyjną mogą być zbierane, utrwalane, przechowywane, opracowywane, zmieniane, usuwane lub udostępniane tylko wówczas, gdy czynności te, zwane dalej "przetwarzaniem", dotyczą usługi świadczonej użytkownikowi albo są niezbędne do jej wykonania. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych. Z przepisu art. 16 ust. 1 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną wynika z kolei, że do przetwarzania danych osobowych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, w związku ze świadczeniem usług drogą elektroniczną, stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej.
Drugi zarzut naruszenia prawa materialnego odnosił się do naruszenia art. 23 ust. 1 pkt 2 ustawy z 1997 r. oraz art. 16 ust. 1 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną poprzez błędną ich wykładnię i przyjęcie, że przepis te dopuszczają przetwarzanie danych osobowych objętych tajemnicą telekomunikacyjną w przypadku, gdy jest to niezbędne dla zrealizowania uprawnienie lub spełnienia obowiązku poprzez zainicjowanie postępowania cywilnego lub karnego przez osobę fizyczną. Zgodnie z przepisem art. 23 ust. 1 pkt 2 ustawy z 1997 r. przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Trzeci zarzut odnosi się do naruszenia art. 159 ust. 4 prawa telekomunikacyjnego oraz art. 18 ust. 1 ustawy o świadczeniu usług drogą elektroniczną poprzez ich błędną wykładnię polegającą na przyjęciu, że przepisy te nie zawężają zakresu podmiotów jedynie do państwowych organów, którym można ujawnić dane osobowe objęte tajemnicą telekomunikacyjną, na potrzeby prowadzonych przez nie postępowań.
Zgodnie z art. 159 ust. 4 prawa telekomunikacyjnego przepisów ust. 2 i 3 nie stosuje się do komunikatów i danych ze swojej istoty jawnych, z przeznaczenia publicznych lub ujawnionych postanowieniem sądu wydanym w postępowaniu karnym, postanowieniem prokuratora lub na podstawie odrębnych przepisów. Z kolei art. 18 ust. 1 ustawy o świadczeniu usług drogą elektroniczną stanowi, że usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi: 1) nazwisko i imiona usługobiorcy; 2) numer ewidencyjny PESEL lub - gdy ten numer nie został nadany - numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość; 3) adres zameldowania na pobyt stały; 4) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3; 5) dane służące do weryfikacji podpisu elektronicznego usługobiorcy; 6) adresy elektroniczne usługobiorcy.
Powyższe zarzuty naruszenia prawa materialnego koncentrują się zatem wokół kluczowego zagadnienia dla przedmiotowej sprawy, tj. czy przedsiębiorca telekomunikacyjny może lub też powinien udostępnić, na podstawie podanego adresu IP, dane użytkownika końcowego stanowiące tajemnicę telekomunikacyjną, na żądanie osoby trzeciej, która twierdzi, że jest jej to potrzebne do dochodzenia praw przed sądem.
Brak jest wątpliwości w sprawie, że dane, o które wnioskował skarżący, stanowią zarówno dane osobowe w rozumieniu art. 6 ust. 1 ustawy z 1997 r., jak też dane dotyczące użytkownika związane z komunikowaniem się w sieciach telekomunikacyjnych, a więc dane objęte tajemnicą telekomunikacyjną w rozumieniu prawa telekomunikacyjnego. Należy także zaznaczyć, iż art. 5 ustawy z 1997 r. stanowi, że jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Zatem ustawodawca przyjmuje zasadę rozstrzygania zbiegu norm na korzyść tych norm, które przewidują wyższy poziom ochrony.
Zdaniem Naczelnego Sądu Administracyjnego w niniejszej sprawie zastosowanie znajdują przepisy prawa telekomunikacyjnego regulujące kwestie tajemnicy telekomunikacyjnej, gdyż wniosek został skierowany do podmiotu świadczącego usługi telekomunikacyjne, przetwarzającego dane osobowe w ramach tego rodzaju działalności i w ten sposób zobowiązanego do dopełnienia obowiązku zachowania tajemnicy telekomunikacyjnej. Oznacza to, że podstawą prawną przetwarzania danych objętych tajemnicą telekomunikacyjną jest przepis art. 161 ust. 1 zd. 2 prawa telekomunikacyjnego, zgodnie z którym przetwarzanie danych osobowych w innych celach niż dotyczących usługi świadczonej użytkownikowi albo niezbędnych do jej wykonania jest dopuszczalne jedynie na podstawie przepisów ustawowych, przez co należy rozumieć przepis upoważniający do przetwarzania danych osobowych objętych tajemnicą telekomunikacyjną. Podstawy takiej nie stanowi przepis art. 126 § 1 k.p.c. regulujący kwestie formalne pisma procesowego, a więc nie odnoszący się w jakikolwiek sposób do kwestii tajemnicy telekomunikacyjnej i jej uchylenia w określonym zakresie.
Stanowisko wyrażone przez sąd pierwszej instancji w praktyce nastręczałoby wielu trudności i prowadziłoby do osiągnięcia stanu sprzecznego z istotą rozwiązań prawnych obejmujących ochroną dane osobowe osoby fizycznej. Naczelny Sąd Administracyjny w składzie rozpatrującym niniejszą sprawę stoi na stanowisku, że samo oświadczenie o zamiarze podjęcia czynności takich jak wniesienie pozwu o naruszenie dóbr osobistych do sądu lub do złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa oraz opisanie okoliczności mających uzasadniać potencjalne roszczenia lub podejrzenia danej osoby nie są wystarczające do naruszenia tajemnicy telekomunikacyjnej. W wyjątkowo niekorzystnej sytuacji stawiałoby to przedsiębiorcę telekomunikacyjnego, który nie miałby możliwości zweryfikować czy okoliczności ww. rzeczywiście miały miejsce, czy osoba ta ma rzeczywisty zamiar wystąpienia do sądu lub innych właściwych organów.
Przepis art. 23 ust. 1 pkt 2 ustawy z 1997 r. nie może stanowić podstawy legalizującej udostępnienie danych dotyczących użytkownika objętych tajemnicą telekomunikacyjną osobie żądającej tego ze względu na potrzebę dochodzenia jej praw. Odwołania zawarte w art. 159 ust. 2 pkt 4 oraz art. 161 ust. 1 prawa telekomunikacyjnego odnoszą się bowiem do przepisów, które w sposób wyraźny i jednoznaczny określają podstawę do uchylenia tajemnicy telekomunikacyjnej w określonym przypadku i wprost wskazują powody, dla których uzasadnione jest zastosowanie wyjątku od ochrony danych i treści objętych tą tajemnicą. Zwrócić należy uwagę na treść przepisu art. 180a ust. 1 pkt 2 prawa telekomunikacyjnego, zgodnie z którym obowiązkiem przedsiębiorcy telekomunikacyjnego jest udostępniać dane, o których mowa w pkt 1, uprawnionym podmiotom, a także sądowi i prokuratorowi, na zasadach i w trybie określonych w przepisach odrębnych
Uprawnienia państwowych służb czy instytucji uprawnionych w zakresie uzyskiwania i przetwarzania danych i treści objętych tajemnicą telekomunikacyjną zostały szczegółowo uregulowane w szeregu przepisów rangi ustawowej, przez co sposób i realizacja tych uprawnień nie budzą wątpliwości. Przepisy przyznające odpowiednim służbom państwowym szczególne uprawnienia w obszarze przetwarzania danych stanowiących tajemnicę telekomunikacyjną są odpowiednio skorelowane z przepisami o charakterze gwarancyjnym, mającymi chronić przed bezprawną lub nadmierną ingerencją w tę tajemnicę. Kluczową rolę odgrywa tu założenie, zgodnie z którym dostęp do danych stanowiących tajemnicę telekomunikacyjną, jako istotnie ingerujący w życie prywatne osób, których owe dane dotyczą, nie może być samowolny, lecz powinien być uzyskiwany za pośrednictwem powołanych do tego służb, z zachowaniem wszystkich gwarancji, jakie związane są z działaniami takich służb, w tym sądowej kontroli ich czynności w tym zakresie. Natomiast przyjęcie, że organy państwa będą miały bardziej utrudniony dostęp do danych osobowych istotnych dla prowadzonych przez nie postępowań niż osoby, które jedynie zadeklarują, w sposób całkowicie niezobowiązujący, że udostępnienie im danych osobowych innej osoby jest im potrzebne dla uzyskania przed sądem cywilnym ochrony dla swoich dóbr osobistych, godziłoby w konstytucyjną zasadę państwa prawa. Sytuacja, kiedy każdy może wystąpić o udostępnienie danych osobowych osoby trzeciej, twierdząc, iż są mu one potrzebne do dochodzenia roszczeń na drodze sądowej, będzie oznaczała stworzenie podstawy do niekontrolowanego wypływu danych, w oparciu o przepisy ustawy, której celem jest ich ochrona (zob. wyrok NSA z 3 czerwca 2015 r., I OSK 2496/13 – publik. CBOSA).
Zwrócić należy uwagę, iż nawet w ramach toczącego się procesu cywilnego sąd nie ma podstaw do żądania udostępnienia danych objętych tajemnicą telekomunikacyjną przez przedsiębiorcę telekomunikacyjnego. Potwierdza to stanowisko, że uprawnienia takiego nie powinna mieć osoba prywatna, która deklaruje dopiero, że zamierza wykorzystać żądane informacje dla dochodzenia jej praw przed sądem. Podobny pogląd wyraził inny skład Naczelnego Sądu Administracyjnego w wyroku z 12 marca 2019 r., I OSK 1944/18.
Jednocześnie wskazać należy, iż orzecznictwo sądowoadministracyjne w tym zakresie nie jest jednolite. Dla przykładu wskazać należy, że Naczelny Sąd Administracyjny w wyroku z 21 lutego 2014 r., sygn. akt I OSK 2324/12, wyraził na tle stosowania przepisów art. 159 ust. 2 pkt 4 prawa telekomunikacyjnego w zw. z art. 23 ust. 1 pkt 2 ustawy z 1997 r. stanowisko, że "tajemnica telekomunikacyjna nie jest nieograniczona. Nie sięga przede wszystkim takich działań w sieci, które naruszają obowiązujący porządek prawny. Umożliwienie zatem podejmowania działań zmierzających do naprawy tej sytuacji, w tym też ścigania, i to nie tylko z urzędu, ale i w drodze prywatnego aktu oskarżenia czy domaganie się ochrony dóbr osobistych na drodze cywilnej, jest działaniem w granicach prawa, pozwalającym na zwolnienie z tej ochrony. Pozwala na to przepis art. 159 ust. 2 pkt 4 i art. 161 ust. 1 zd. drugie prawa telekomunikacyjnego. Ochrona tej tajemnicy jest wyłączona wówczas, gdy jest to konieczne z powodów przewidzianych w ustawie lub przepisach odrębnych. Wówczas do głosu dochodzi regulacja ustawy o ochronie danych osobowych".
W przedmiotowej sprawie nie można jednoznacznie stwierdzić, iż skarżący zainteresowany pozyskaniem danych osobowych ma jednoznaczny zamiar podjęcia działań mających na celu wytoczenia pozwu w postępowaniu cywilnym. Nie może zatem stanowić podstawy udostępnienia osobie prywatnej danych dotyczących użytkownika sama deklaracja zamiaru dochodzenia praw przed sądem. Wobec powyższych ustaleń nie sposób przyjąć, jak wskazano w skardze kasacyjnej, że w przedmiotowej sprawie zastosowanie winien mieć art. 23 ust. 1 pkt 2 ustawy z 1997 r. oraz, że tajemnica telekomunikacyjna podlega w przedmiotowej sprawie wyłączeniu.
Z tych względów Naczelny Sąd Administracyjny, działając na podstawie art. 188 p.p.s.a., uchylił zaskarżony wyrok uznając za zasadne podniesione w skardze kasacyjnej zarzuty i na podstawie art. 151 p.p.s.a. oddalił skargę, bowiem istota sprawy jest dostatecznie wyjaśniona i brak było podstaw do uwzględniania podniesionych w niej zarzutów. O kosztach postępowania orzeczono na podstawie art. 203 pkt 2 p.p.s.a.