Po ostatniej nowelizacji ustawy o ochronie danych osobowych i w związku z toczącą się dyskusją na temat granic anonimowości w sieci, szczególnego znaczenia nabiera pytanie o możliwość nakazania przez generalnego inspektora ochrony danych osobowych (GIODO) ujawnienia danych osobowych osoby, przeciwko której zamierza się wszcząć postępowanie o ochronę dóbr osobistych.
Brakuje przepisu
W pozwie musimy oznaczyć pozwanego. Co więc robimy? Zwracamy się do prowadzącego forum o udostępnienie danych osobowych lub numeru IP autora, żeby na jego podstawie ich poszukiwać. Nie ma przepisu prawa, który wprost by na takie udostępnianie zezwalał – należy się więc liczyć z odmową. Gdy ją otrzymamy, musimy poprosić o pomoc GIODO. Ale czy może on wydać decyzję nakazującą udostępnienie danych?
W orzecznictwie przyjmuje się, że „warunkiem wydania przez GIODO decyzji nakazującej administratorowi danych przywrócenie stanu zgodnego z prawem jest stwierdzenie naruszenia przepisów o ochronie danych osobowych. Zatem nakazanie administratorowi udostępnienia danych osobowych, może nastąpić w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, polegającego na niewypełnieniu przez administratora obowiązku udostępnienia. W takim bowiem przypadku odmowa udostępnienia danych stanowi naruszenie przepisu nakładającego na administratora obowiązek ich udostępnienia” (z wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 9 2005 r., II SA/Wa 1085/04, nie publ.).
Warunkiem wydania decyzji jest niewypełnienie obowiązku udostępnienia danych – i takie decyzje wydawano, opierając je na art. 29 ust. 2 ustawy o ochronie danych osobowych. Przepis ten zezwalał na udostępnianie danych osobowych podmiotom, które nie były uprawnione do otrzymania danych na podstawie przepisów prawa (jak w przypadku postępowania cywilnego) i które w sposób wiarygodny uzasadniły potrzebę posiadania danych, pod warunkiem że udostępnienie danych nie będzie naruszać praw i wolności osób, których dane dotyczą.
Problem polega tylko na tym, że po 7 marca 2011 r., a więc po wejściu w życie ustawy o zmianie ustawy o ochronie danych osobowych, art. 29 tej ustawy został uchylony. Czy więc obecnie GIODO może nakazać udostępnienie danych osobowych?
Usprawiedliwiony cel
Nie może, bo ustawa o ochronie danych osobowych przewiduje obecnie wyłącznie uprawnienie do przetwarzania danych osobowych w celu wytoczenia powództwa, które wynika z art. 23 ust. 1 pkt 5 ustawy. Przepis ten zezwala na przetwarzanie danych osobowych w celu realizacji prawnie usprawiedliwionego celu administratora danych. Jest nim np. dążenie do ochrony swoich praw przed sądem. Osoba, która zamierza wytoczyć powództwo przeciwko domniemanemu sprawcy naruszenia swoich dóbr osobistych, działa więc w swoim prawnie usprawiedliwionym celu, przetwarzając jej dane osobowe.
Wobec uchylenia art. 29 ust. 2 ustawa przewiduje wyłącznie uprawnienie do przetwarzania danych osobowych w celu wytoczenia powództwa o ochronę dóbr osobistych. Nie przewiduje jednak obowiązku udostępniania danych. Skoro takiego obowiązku brak, nie sposób go naruszyć.
GIODO nie może więc wydać decyzji nakazującej udostępnienie danych, ponieważ nie doszło do naruszenia obowiązku udostępniania tych danych. Jak pokazuje jednak praktyka („GIODO ujawni IP internauty”, „DGP” z 8 września 2011 r.), takie decyzje są nadal wydawane.
Nie sposób przy tym nie zauważyć, że działanie polegające na nieudostępnieniu danych osobowych w takim wypadku może doprowadzić do ograniczenia prawa do wystąpienia do sądu z powództwem w sprawie naruszenia dóbr osobistych oraz chronić sprawcę przed odpowiedzialnością cywilnoprawną za jego działania.
Problem polega tylko na tym, że takie – celowościowe i słuszne – argumenty nie mogą uzasadniać ingerencji GIODO w sytuacji, gdy w ustawie o ochronie danych osobowych brak ku temu podstawy prawnej.