Godło Rzeczypospolitej Polskiej

Portal Orzeczeń

DostępnośćBIP
Decision logo
Warszawa, 31 stycznia 2025prawomocna

Postanowienie DS.523.6164.2023

Na podstawie art. 61a § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2024 r. poz. 572) w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781 t.j.) oraz w związku z art. 1 ust. 2 oraz art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), Prezes Urzędu Ochrony Danych Osobowych
odmawia wszczęcia postępowania w sprawie wniosku B. Sp. z o.o. z siedzibą w M. przy ul. (…), reprezentowanej przez r.pr. dr Pana U. H. (V. (…) Sp. p., ul. (…), (…)-(…) M.) o nakazanie Q. (…) S.A. z siedzibą w M. przy ul. (…) – administratorowi serwisu internetowego (…), udostępnienia wszelkich posiadanych i przetwarzanych przez Q. (…) S.A. danych osobowych, użytkowników forum internetowego (…), posługujących się nickami: „E.” oraz „C.” w zakresie adresów IP, imienia, nazwiska, adresu zamieszkania, adresu e-mail.

Uzasadnienie

Do Urzędu Ochrony Danych Osobowych wpłynął wniosek B. Sp. z o.o. z siedzibą w M. przy ul. (…), reprezentowanej przez r.pr. dr Pana U. H. (V. (…) Sp. p., ul. (…), (…)-(…) M.), zwanej dalej Spółką, o nakazanie Q. (…) S.A. z siedzibą w M. przy ul. (…), zwanej dalej Q. (…) – administratorowi serwisu internetowego (…), udostępnienia wszelkich posiadanych i przetwarzanych przez Q. (…) danych osobowych, użytkowników forum internetowego (…), posługujących się nickami: „E.” oraz „C.” w zakresie adresów IP, imienia, nazwiska, adresu zamieszkania, adresu e-mail.
Spółka podniosła w skardze – cyt. „Pismem z dnia 8 września 2023 roku Spółka zawiadomiła Q. (…) - w oparciu o przepis art. 14 ust. 1 ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną - iż na Forum zostały opublikowane Komentarze, zawierające bezprawne treści, naruszające dobra osobiste Spółki, a dalej wezwała Q. (…) do podjęcia działań mających na celu uniemożliwienie dostępu do Komentarzy poprzez ich niezwłoczne usunięcie. Niezależnie od powyższego, Spółka wezwała Q. (…) do podania adresów IP autorów Komentarzy, jak również wszelkich danych osobowych identyfikujących te osoby, które to dane są przetwarzane przez Q. (…) (w tym w szczególności - imienia, nazwiska, adresu zamieszkania, adresu e-mail) (dalej: "Wezwanie I": Załącznik nr 3). Wezwanie I zostało doręczone Q. (…) w dniu 13 września 2023 roku. Q. (…) pozostawiła Wezwanie I bez odpowiedzi, natomiast Komentarze zostały usunięte z Forum (co Spółka stwierdziła w oparciu o samodzielnie przeprowadzoną weryfikację). Wobec tego, że Q. (…) nie odniosła się do wezwania w przedmiocie udostępnienia Spółce danych osobowych autorów Komentarzy, pismem z dnia 3 października 2023 roku Spółka ponowiła przedmiotowy wniosek i wyznaczyła Q. (…) termin 7 dni (dalej: "Wezwanie II"). Wezwanie II zostało doręczone Q. (…) w dniu 10 października 2023 roku. Do dnia dzisiejszego Spółka nie otrzymała odpowiedzi na Wezwanie II, a zatem wyznaczony termin bezskutecznie upłynął. (…) Na chwilę obecną Spółka nie dysponuje żadnymi informacjami o osobie/ osobach, będących autorami cytowanych wyżej komentarzy, w oparciu o które to informacje mogłaby tę osobę/ te osoby zidentyfikować. Z uwagi na fakt, iż zarówno Wezwanie I, jak i Wezwanie II okazały się bezskuteczne, niniejsza skarga stanowi jedyną drogę umożliwiającą Spółce ustalenie tożsamości autorów Komentarzy i pociągnięcie ich do odpowiedzialności cywilnej z tytułu naruszenia dóbr osobistych Spółki - co mieści się w zakresie realizacji prawnie uzasadnionych interesów”.
Po przeanalizowaniu ww. wniosku Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Stosownie do brzmienia art. 61a § 1 ustawy z dnia 14.06.1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2024 r. poz. 572), zwanej dalej: Kpa, gdy żądanie, o którym mowa w art. 61 Kpa, zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania. Organ administracji publicznej rozpatrując wniosek o wszczęcie postępowania administracyjnego ma obowiązek zbadać, czy żądanie strony jest zgodne z przepisami i Prezes UODO posiada kompetencje do jego spełnienia.
Stosownie do art. 1 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej rozporządzeniem 2016/679, rozporządzenie to chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych. Istotą powyższej regulacji nie jest ochrona samych danych jako dóbr chronionych, ale ochrona osób fizycznych (każdego człowieka) przed negatywnymi konsekwencjami wynikającymi z niezgodnego z prawem przetwarzania danych (por. Fajgielski Paweł, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych). Rozporządzenie 2016/679 w motywie 14 preambuły jednoznacznie wskazuje, że ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Zagwarantowane w rozporządzeniu 2016/679 prawo osoby, której dane dotyczą, do ochrony tych danych przysługuje więc nie Spółce, lecz osobom fizycznym, których dane osobowe są przetwarzane.
Prezes UODO może podejmować tylko te czynności, które znajdują się w zakresie jego uprawnień, oraz tylko w tych sprawach, które należą do jego właściwości. Uprawnienia te i właściwość wynikają z rozporządzenia 2016/679, ustawy z dnia 10.05.2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), zwanej dalej u.o.d.o’2018, ale także z szeregu regulacji szczegółowych, które wskazują na ograniczenia kompetencji Prezesa UODO w odniesieniu do przetwarzania danych przez określone podmioty bądź w określonych okolicznościach.
Artykuł 58 rozporządzenia 2016/679, określa uprawnienia organu nadzorczego. Przepisy art. 58 ust. 1, ust. 2 i ust. 3 ww. aktu prawnego określają uprawnienia przysługujące każdemu organowi nadzorczemu – uprawnienia do prowadzenia postępowań, uprawnienia naprawcze i do nakładania kar, uprawnienia do udzielania zezwoleń i uprawnienia doradcze oraz uprawnienia do zgłaszania naruszeń organom wymiaru sprawiedliwości i do udziału w postępowaniu sądowym. Wśród ww. uprawnień organu nadzorczego – jakim jest Prezes UODO – brak jest uprawnienia do nakazania administratorowi lub podmiotowi przetwarzającemu udostępnienia danych osobowych podmiotowi trzeciemu.
Zgodnie natomiast z art. 58 ust. 6 rozporządzenia 2016/679 każde państwo członkowskie może przewidzieć w swoich przepisach, że jego organowi nadzorczemu przysługują poza uprawnieniami określonymi w ust. 1, ust. 2 i ust. 3 także inne uprawnienia. Wykonywanie tych uprawnień nie może utrudniać skutecznego stosowania przepisów rozdziału VII rozporządzenia 2016/679. Dla przedmiotowej sprawy organ nadzorczy nie znajduje takich przepisów – w obecnym stanie prawnym nie zostały one przewidziane.
Stosownie do art. 58 ust. 2 lit. c rozporządzenia 2016/679, Prezesowi UODO przysługuje uprawnienie naprawcze w postaci prawa do nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy tego rozporządzenia. Wśród tych praw jest prawo dostępu do dotyczących jej danych osobowych, prawo do ich sprostowania, prawo do ich usunięcia, prawo do ograniczenia przetwarzania danych, prawo do przenoszenia danych oraz prawo do sprzeciwu i niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu. Powyższe przepisy ujmują prawa osób, których dane dotyczą, w sposób wyczerpujący. Żądanie nakazania udostępnienia danych osobowych osoby trzeciej (w tym również podmiotu trzeciego) nie zostało więc ujęte wśród praw przysługujących na mocy rozporządzenia 2016/679.
Jednocześnie należy wskazać, że zgodnie z zasadą jednolitości prawa Unii Europejskiej oraz motywem 129 rozporządzenia 2016/679, aby zapewnić spójne monitorowanie i egzekwowanie niniejszego rozporządzenia w całej Unii, organy nadzorcze powinny mieć w każdym państwie członkowskim te same zadania i faktyczne uprawnienia, w tym uprawnienia do prowadzenia postępowań wyjaśniających, naprawcze, uprawnienia do nakładania kar oraz do udzielania zezwoleń i doradcze, w szczególności w przypadku skarg osób fizycznych, i – bez uszczerbku dla uprawnień organów prokuratorskich na mocy prawa państwa członkowskiego – uprawnienia do zgłaszania naruszeń niniejszego rozporządzenia organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym.
Zasada jednolitości oznacza, że prawo unijne jest w całości i jednakowo stosowane we wszystkich państwach członkowskich. Jednolitość zapewnia taki sam sposób stosowania prawa unijnego na terenie całej Unii Europejskiej i stanowi realizację wymogu spójnego porządku prawnego. W oparciu o ww. zasadę organy nadzorcze innych państw Unii Europejskiej (m.in. hiszpański, francuski, bułgarski, estoński, włoski i szwedzki) zgodnie uznały brak możliwości wydawania rozstrzygnięć nakazujących udostępnienie danych osobowych osób trzecich w oparciu o przepisy rozporządzenia 2016/679.
Reasumując podkreślić należy, że decydujące znaczenie dla rozstrzygnięcia, jakie musi być wydane w przedmiotowej sprawie, ma okoliczność, że skarga zainicjowana została przez Spółkę prawa handlowego, której przepisy rozporządzenia 2016/679 nie dają uprawnienia do jej złożenia. Prezes UODO nie ma również kompetencji umożliwiających nakazanie udostępnienia danych osobowych osoby trzeciej, co także stanowi inną uzasadnioną przyczynę uniemożliwiającą wszczęcie postępowania w niniejszej sprawie w rozumieniu w art. 61a § 1 Kpa.
Niejako na marginesie wskazać należy, że podane przez Spółkę sygnatury spraw: ZKE.440.51.2019, ZSPR.440.985.2019, ZSPR.440.195.2019, DKE.523.29.2021, w których – jak wskazała Spółka - Prezes UODO – cyt. „wielokrotnie zajmował stanowisko, iż administrator jest zobowiązany do uwzględnienia żądania poszkodowanego bezprawnym wpisem i przekazania mu danych osobowych osoby/ osób naruszających jego dobra osobiste.” – dotyczą decyzji wydanych na mocy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.), zwanej dalej ustawą o ochronie danych z 1997 r., będącej aktem prawnym regulującym kwestie prawne związane z ochroną danych osobowych w Polsce przed wejściem w życie przepisów rozporządzenia 2016/679 oraz u.o.d.o’2018. Zgodnie z art. 2 ust. 1 ustawy o ochronie danych z 1997 r. ustawa ta określała zasady postępowania przy przetwarzaniu danych osobowych oraz prawa – co należy podkreślić - osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Artykuł 18 ust. 1 ustawy o ochronie danych z 1997 r. stanowił, że w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor (obecnie Prezes UODO) z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1)
usunięcie uchybień;
2)
uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;
3)
zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
4)
wstrzymanie przekazywania danych osobowych do państwa trzeciego;
5)
zabezpieczenie danych lub przekazanie ich innym podmiotom;
6)
usunięcie danych osobowych.
Zgodnie więc z powyższym, art. 18 ust. 1 pkt 2 ustawy w przypadku naruszenia przepisów o ochronie danych osobowych uprawniał Generalnego Inspektora (obecnie Prezesa UODO) z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej do nakazania udostępnienia wnioskowanych danych osobowych.
W obecnym stanie prawnym natomiast, jak już powyżej wskazano, brak jest uprawnienia do nakazania administratorowi lub podmiotowi przetwarzającemu udostępnienia danych osobowych podmiotowi trzeciemu nawet, gdy wystąpi o to osoba fizyczna.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych postanowił jak na wstępie.