Kiedy właściciel portalu musi udostępnić dane jego użytkowników

Przedsiębiorca prowadzący portal internetowy, na którym użytkownicy mogą zamieszczać komentarze ?i opinie, może zostać zmuszony do ujawnienia ich danych osobowych, np. w zakresie numerów IP komputerów. Będzie to dotyczyło sytuacji, gdy tacy użytkownicy, posługując się pseudonimami lub tzw. nickami, pomawiają, znieważają lub obrażają inne osoby. Obowiązek zapewnienia ochrony ich danych osobowych nie może być bowiem stawiany przed prawem pomówionej osoby do obrony swojego dobrego imienia. W szczególności administrator danych nie powinien w tym względzie zasłaniać się przepisami ustawy ?z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (DzU z 2013 r. ?poz. 1422) i bezwzględnie odmawiać osobie fizycznej udostępnienia danych użytkowników, którzy ją pomówili.

Istota sprawy

Takie stanowisko wynika z jednej z ostatnich decyzji generalnego inspektora ochrony danych osobowych (decyzja GIODO ?nr DOLiS/DEC-145/13). Sprawa dotyczyła wniosku osoby fizycznej, w którym żądała ona wydania decyzji nakazującej ujawnienie danych w zakresie IP komputerów użytkowników pewnego portalu. Wcześniejsze jej wnioski o udostępnienie tych danych, kierowane bezpośrednio do administratora, pozostały bowiem bez odpowiedzi. Po zbadaniu sprawy GIODO przychylił się do tego żądania i nakazał przedsiębiorcy udostępnić te dane. Dlaczego? Ponieważ skarżąca osoba wskazała, że użytkownicy kryjący się pod tzw. nickami publicznie za pośrednictwem środków masowego komunikowania pomawiali ją i znieważali, ?z premedytacją wykorzystując jej tożsamość oraz tożsamość osób trzecich, ?a takie działania spełniają znamiona czynów określonych w art. 212 oraz 216 ?w związku z art. 270 § 1 kodeksu karnego.

Kodeks karny

Warto w tym miejscu przypomnieć, że art. 212 ?§ 1 tego kodeksu stanowi, iż kto pomawia inną osobę, grupę osób, instytucję, osobę prawną lub jednostkę organizacyjną niemającą osobowości prawnej ?o takie postępowanie lub właściwości, które mogą poniżyć ją w opinii publicznej lub narazić na utratę zaufania potrzebnego dla danego stanowiska, zawodu lub rodzaju działalności, podlega grzywnie albo karze ograniczenia wolności. Jeżeli sprawca dopuszcza się takiego czynu za pomocą środków masowego komunikowania, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Co istotne, ściganie takiego przestępstwa odbywa się z oskarżenia prywatnego. Z kolei zgodnie z art. 216 § 2 k.k., kto znieważa inną osobę za pomocą środków masowego komunikowania, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Ściganie tego przestępstwa także odbywa się z oskarżenia prywatnego. Z treści skargi, która wpłynęła do GIODO, wynikało, że w ocenie skarżącej osoby doszło do popełnienia wobec niej takich właśnie czynów. A w związku z tym uzasadnione jest dochodzenie przez nią ochrony swojego dobrego imienia poprzez wystąpienie z prywatnym aktem oskarżenia. Jednak do jego sformułowania, stosownie do treści art. 487 kodeksu postępowania karnego, niezbędne jest oznaczenie osób oskarżonych. I stąd wniosek o udostępnienie danych.

Zasłonić się tajemnicą

Przedsiębiorca prowadzący portal (administrator danych) nie odniósł się do żądania zgłoszonego przez poszkodowaną osobę. W odpowiedzi kierowanej do GIODO wskazał natomiast na przepisy ustawy o świadczeniu usług drogą elektroniczną. Zgodnie z jego art. 18 ust. 6 usługodawca udziela informacji o danych użytkowników organom państwa na potrzeby prowadzonych przez nie postępowań. W jego opinii przepis ten wskazuje na zamknięty krąg podmiotów, które mogą do niego wystąpić o ujawnienie danych. Chodzi o organy państwa, a nie osoby fizyczne.

Stanowisko ?urzędu

Generalny inspektor danych osobowych nie zgodził się z taką argumentacją. Po pierwsze wskazał on na art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Warto przypomnieć, że zgodnie z nim przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Z punktu widzenia tego  przepisu wniosek skarżącej osoby spełniał przesłanki udostępnienia danych, ponieważ został złożony do administratora danych w formie pisemnej, był umotywowany, wskazywał zakres i przeznaczenie oraz w sposób wiarygodny uzasadniał potrzebę ich udostępnienia. Ponadto, w ocenie GIODO, wykorzystanie danych w celu realizacji konstytucyjnie przysługującego prawa do dochodzenia swoich praw w drodze procesu sądowego nie może być uznane za naruszenie praw i wolności osoby, której dane dotyczą.

Natomiast odnosząc się do ustawy o świadczeniu usług drogą elektroniczną, GIODO zauważył, że z jego art. 18 ust. 6 nie wynika niedopuszczalność udostępniania danych o użytkownikach podmiotom innym niż organy państwa. Wskazać bowiem należy, że art. 18 ust. 6 – stanowiąc, że usługodawca udziela informacji o danych organom państwa na potrzeby prowadzonych przez nie postępowań – jedynie zobowiązuje usługodawcę do udostępniania informacji organom państwa i nie należy go interpretować rozszerzająco jako zakazu udostępniania tych informacji innym podmiotom. Zdaniem GIODO, jeśli taki miałby być sens tych przepisów, to byłoby to wskazane wprost w jego treści, np. przy użyciu zwrotu „wyłącznie".

W ten sposób wyznaczono zamknięty krąg podmiotów np. w art. 66g i 66j § 4 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji, art. 72 ust. 1 ustawy z dnia 5 sierpnia 2010 r. ?o ochronie informacji niejawnych, czy też w art. 105 ust. 1 ustawy z 29 sierpnia 1997 r. – Prawo bankowe.

Zdaniem eksperta

Wojciech Rafał Wiewiórowski, generalny inspektor ochrony danych osobowych

Pozyskanie i wykorzystanie danych w celu realizacji konstytucyjnie przysługującego prawa do dochodzenia swoich praw w drodze procesu sądowego nie może być uznane za naruszenie praw i wolności osoby, której dane dotyczą. Prawo do prywatności nie ma bowiem charakteru absolutnego, a jego ochrona nie może odbywać się kosztem braku poszanowania praw innych osób. Odmowa udostępnienia danych, o które wnioskowała w opisywanym obok przypadku osoba skarżąca, mogła pozbawić ją możliwości obrony swoich praw, a zarazem prowadzić do nieuzasadnionej ochrony innych osób przed ewentualną odpowiedzialnością za swoje działania, zwłaszcza że także one mogą w pełni korzystać ze swoich praw, zagwarantowanych przepisami kodeksu postępowania karnego w trakcie postępowania sądowego. Tym samym nieudostępnienie przez administratora portalu danych osobowych osobie skarżącej mogłoby doprowadzić do ograniczenia zagwarantowanego jej konstytucyjnie prawa do sądu oraz skutecznie chronić sprawców przed odpowiedzialnością za popełniony czyn.

Informacje w usługach elektronicznych

Zgodnie z art. 18 ustawy o świadczeniu usług drogą elektroniczną  usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi:

W celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą, usługodawca może przetwarzać także inne dane niezbędne ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia. W myśl tego przepisu usługodawca ma obowiązek wyróżnić i oznaczyć te dane, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną . Ponadto za wyraźną zgodą usługobiorcy, wolno przetwarzać także inne dane, ale wyłącznie w celach wskazanych w tej ustawie (w art. 19 ust. 2 pkt 2). I wreszcie, usługodawca może przetwarzać następujące dane charakteryzujące sposób korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną (tzw. dane eksploatacyjne):