Bardzo trudno jest uzyskać dane osobowe pomawiającego w kogoś w internecie. Na pewno podstawą prawną nie jest RODO, o czym przekonała się spółka, która wystąpiła do prezesa Urzędu Ochrony Danych Osobowych o nakazanie administratorowi strony internetowej udostępnienia danych osobowych: imienia, nazwiska, adresu IP komputera osoby, która wysłała maila do Wojewódzkiej Stacji Sanitarno-Epidemiologicznej, że skarżąca spółka produkuje szkodliwe produkty kosmetyczne i lecznicze. Ale nic nie wskórała, bo prezes tego urzędu umorzył sprawę, a WSA przyznał mu rację. I urząd, i sąd byli zgodni: RODO na to nie pozwala (sygnatura akt II SA/Wa 989/20).

Prawnicy nie mają wątpliwości, że nie mogli postąpić inaczej. Ale obecnie nie ma  też niestety skutecznych narzędzi w prawie, które pozwoliłyby szybko takie dane uzyskać i warto to zmienić. 

Czytaj też:  Spór o cookies, czyli czy samo ustawienie przeglądarki wystarczy>>
 

Obrzucił błotem, chcemy się bronić  

Prezes UODO, który umorzył postępowanie, swoją decyzję tłumaczył tym, że nie ma uprawnienia do nakazania administratorowi lub podmiotowi przetwarzającemu ujawnienia danych osobowych osobie trzeciej, bo nie ma aktualnie żadnego przepisu, który dawałby mu takie kompetencje.  Zgodnie z art. 58 ust. 2 lit. c rozporządzenia 2016/679 (RODO) prezesowi UODO przysługuje uprawnienie naprawcze, czyli prawo do nakazania administratorowi lub podmiotowi przetwarzającemu spełnienie żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy rozporządzenia. Tym żądaniem może być prawo: dostępu do danych, do ich sprostowania, do usunięcia, do ograniczenia przetwarzania danych, do przenoszenia danych oraz prawo do sprzeciwu i niepodleganiu decyzjom opartym na zautomatyzowanym przetwarzaniu. Żądanie udostępnienia danych osobowych osoby trzeciej z tego uregulowania nie wynika. 

Czytaj w LEX: RODO a ustawa o świadczeniu usług drogą elektroniczną i prawo telekomunikacyjne >

Spółka nie pogodziła się z przegraną  i wniosła skargę do WSA. Według niej, wbrew temu co twierdzi UODO, istnieje podstawa do domagania się od organu żądania nakazania udostępnienia danych osobowych. Jest nim art. 6 ust. 1 pkt f RODO. Mówi on, że przetwarzanie (w tym udostępnianie) danych osobowych jest zgodne z prawem, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią. Wyjątkiem są sytuacje, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych. W tym konkretnym wypadku podstawą do uzyskania danych jest ochrona prawa skarżącej, w tym szczególnie jej dobrego imienia, którego zamierza dochodzić przed sądem.

KOMENTARZ PRAKTYCZNY: Prawnie uzasadniony interes jako przesłanka legalizująca przetwarzanie danych – pojęcie >

Nie ma przepisu, można pisać na Berdyczów

WSA oddalił skargę i wyjaśnił, że prezes UODO będąc podmiotem publicznym może podejmować wyłącznie takie działania, które znajdują swoje źródło w przepisach obowiązującego prawa. A tak w tym wypadku tak nie jest.  Art. 15 RODO przyznaje prawo dostępu do danych osobowych wyłącznie tej osobie, której dane dotyczą. Takie ukształtowanie omawianych przepisów pozostaje w zgodzie z art. 8 ust. 1 Karty Praw Podstawowych Unii Europejskiej, oraz z art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej. Ochrona danych osobowych stanowi bowiem jedno z podstawowych praw.  Jedynym celem RODO jest zagwarantowanie osobie fizycznej odpowiedniej ochrony jej danych osobowych a nie przyznawanie uprawnień informacyjnych innym podmiotom.

WSA tłumaczył, że w szczególności przepisy RODO nie dają uprawnień informacyjnych podmiotom, które zamierzają wytaczać powództwa osobom fizycznym, których dane osobowe objęte są ochroną. Mało tego, przepisy analizowanej regulacji nie dają takich uprawnień także organowi nadzoru. Prezes UODO nie może więc żądać od administratora danych osobowych ich ujawnienia osobie trzeciej, na potrzeby ewentualnego postępowania sądowego.

Wbrew twierdzeniom strony skarżącej takiego uprawnienia nie sposób też wywieść z art. 6 ust. 1 pkt f RODO. Ten przepis stanowiłby dla skarżącego podstawę prawną do przetwarzania konkretnych danych osobowych w sytuacji, gdyby skarżący był już w posiadaniu tych danych. Przepis nie daje jednak skarżącemu uprawnienia do pozyskania takich danych osobowych bezpośrednio, czy też za pośrednictwem Prezesa UODO.

KOMENTARZ PRAKTYCZNY: Prawo właściwe dla naruszenia dóbr osobistych osoby fizycznej w Internecie >

Kulawa ochrona praw w Internecie 

Prawnicy uważają, że WSA - przychylając się do stanowiska UODO - słusznie stwierdził, że: „z przepisów RODO nie wynikają żadne uprawnienia dla osób trzecich, czyli innych niż te, których danych osobowych dotyczy ochrona.  - Mało tego, przepisy RODO nie dają takich uprawnień także organowi nadzoru. Prezes UODO nie może więc żądać od administratora danych osobowych ich ujawnienia osobie trzeciej, na potrzeby ewentualnego postępowania sądowego - tłumaczy dr Mirosław Gumularz radca prawny w GKK Gumularz Kozik, wykładowca WSB w Warszawie.
Według niego prezes UODO ma obowiązek wspierać podmioty, których dane są przetwarzane w realizacji ich praw, np. odnośnie dostępu do ich danych. Nie ma jednak kompetencji na gruncie RODO do wspierania jednostek czy organizacji w pozyskiwaniu danych innych osób. Podstawą takiego żądania nie może być też art. 6 ust. 1 lit. f) RODO, ponieważ nie wprowadza on obowiązku ujawnienia danych przez inne podmioty tym bardziej nie daje podstawy kompetencyjnej dla Prezesa UODO, aby takie ujawnienie wymusić. Dotyczy ON uzasadnionego interesu administratora.

Podobnego zdania jest Paweł Litwiński, adwokat, partner w kancelarii prawnej Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, wykładowca Uniwersytetu SWPS. - Z wyrokiem w całości się zgadzam, choć muszę przyznać, że ten pogląd dość powoli się przyjmuje - wyjaśnia. 

Prawnicy przypominają, że w ustawie o ochronie danych osobowych z 1997 r. znajdował się art. 29, który dawał możliwość żądania udostępnienia danych osobowych, jeżeli wykazało się „w sposób wiarygodny uzasadnią potrzebę posiadania tych danych”, czyli, inaczej mówiąc, jeżeli wnioskodawca miał interes faktyczny w posiadaniu tych danych. I rzeczywiście, jeżeli wnioskodawca zwrócił się o udostępnienie danych, wykazał w sposób wiarygodny uzasadnią potrzebę ich posiadania (np. tym, że chce kogoś pozwać) i spotkał się z odmową, mógł zwrócić się do ówczesnego GIODO, a ten mógł nakazać udostępnienie danych. I ta możliwość była bardzo często stosowana wtedy, gdy poszukiwało się danych osobowych na potrzeby wytoczenia powództwa cywilnego: o ochronę dóbr osobistych, o naruszenie praw autorskich itp., bo w polskich przepisach brak było innej możliwości uzyskania tych danych.

Problem w tym, że art. 29 ustawy o ochronie danych osobowych z 1997 r. został uchylony 7 marca 2011 r. – GIODO, i sądy administracyjne zdawały się jednak nie dostrzegać tego faktu i decyzje były wydawane, a następie akceptowane przez sądy. -  Istotną zmianę stanowiło dopiero, jak się wydaje, rozpoczęcie stosowania RODO, co być może doprowadziło do pewnej refleksji przynajmniej po stronie sądów administracyjnych. Sądy dostrzegły to, że RODO nie daje Prezesowi UODO kompetencji do nakazywania udostępnienia danych, także na cele związane z postępowaniem sądowym, jak w przypadku tego wyroku. Niestety, jak się wydaje, nie widzi tego nadal Prezes UODO, skoro wydaje tego rodzaju decyzje - tłumaczy Paweł Litwiński.

W efekcie, obecnie Prezes UODO nie może nakazać udostępnienia danych osobowych, także w celu wykorzystania tych danych w postępowaniu sądowym. Jest to ze wszech miar zgodne z RODO, ale prowadzi do sytuacji, w której osoba, której np. naruszono dobra osobiste w internecie w sposób anonimowy, nie ma jak chronić swoich praw. Bo jak ma pozwać kogoś, kto podpisał się np. jako „życzliwy”?

- Jedyna droga to zwrócenie się do usługodawcy prowadzącego stronę, na której zamieszczono tą wypowiedź, o udostępnienie adresu IP lub danych osobowych (jeżeli je ma), a później ewentualne  do dostawcy internetu z prośbą o „przełożenie” adresu IP na dane osobowe. Ale problem w tym, że jeżeli ci odmówią, to nie ma sposobu, żeby ich zmusić do wydania danych, co stawia pod znakiem zapytania realizację prawa do sądu w takich przypadkach, bo zwyczajnie nie da się pozwać - uważa Paweł Litwiński.

Brak takiej drogi widzi również Mirosław Gumularz. - W zasadzie w obecnym stanie prawnym nie ma narzędzia – bez odwołania się do organów państwa – aby zażądać ujawnienia danych innej osoby, np. w związku z naruszeniem dóbr osobistych. Wskazany problem został zidentyfikowany wiele lat temu, ale jak do tej pory nie wprowadzono odpowiednich zmian legislacyjnych chociażby w kodeksie postępowania cywilnego.

Prawnicy uważają, że jest to nie problem RODO, ale polskiego państwa, które powinno stworzyć możliwość ochrony naruszonych praw, a tego nie robi, mimo że od lat wie o problemie. Tym samym Polska narusza w ten sposób art. 8 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności, co przesądził ETPCz w sprawie K.U. przeciwko Finlandii - wyrok ETPC z 2 grudnia 2008 r., skarga nr 2872/02, gdzie występował ten sam problem. Co jakiś czas pojawiają się różne pomysły, ostatnio tzw. ślepego pozwu (sąd miałby nakazywać udostępnienie danych), ale jak dotąd żadnego z nich nie zrealizowano.

E-usługi a RODO [PRZEDSPRZEDAŻ] ebook

Małgorzata Ciechomska

Sprawdź