Uzasadnienie wyroku Naczelnego Sądu Administracyjnego stanowi jedno z pierwszych, które odnoszą się do kwestii ochrony prywatności w sieci.
NSA wskazał, że domaganie się wydania danych osobowych autorów obraźliwych wpisów na forach internetowych również przez podmioty prywatne jest zgodne z przepisami krajowymi (art. 31 ust. 2 i 3 Konstytucji RP) i unijnymi (dyrektywa 2006/24/WE). Artykuł 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną (Dz.U. z 2002 r. nr 144, poz. 1204 z późn. zm.) – zgodnie z którym usługodawca jest obowiązany udostępnić dane „organom państwa na potrzeby prowadzonych przez nie postępowań” – nie może być więc traktowany jako proste uzasadnienie odmowy udostępniania tych danych przez – dostawców usług internetowych innym podmiotom, które o to wystąpią. Jednakże każdy przypadek ma podlegać indywidualnej ocenie.
Czy jednak administrator, który nie ma przecież pewności co do tego, czy w danej sprawie nie toczy się już jakieś postępowanie, jest w stanie właściwie „rozważyć interesy wszystkich stron”, aby uznać konkretne żądanie wydania danych za „uzasadnione” i „proporcjonalne”?

Nie tylko IP

W sądowych sporach cywilnych i karnych coraz częściej występuje kolizja prawa do ochrony dóbr osobistych (dobre imię, renoma) z prawem do wolności słowa. Przed takimi rozstrzygnięciami stoją dziś zresztą sędziowie w wielu państwach, bo debata dotycząca życia społeczno-gospodarczego przenosi się właśnie do mediów elektronicznych, gdzie problem takiej kolizji jest bardziej zauważalny. Niejednokrotnie tego typu kwestie są także przedmiotem orzecznictwa Europejskiego Trybunału Praw Człowieka (np. Delfi AS przeciwko Estonii, wyrok z 10.10.2013).
Tym bardziej należy więc brać pod uwagę kwestie techniczne funkcjonowania świata internetu. Nie można orzekać w oderwaniu od rzeczywistości. Nawet jeśli ustawa lub orzecznictwo otworzą drogę do dochodzenia od właściciela serwisu określonych danych jego użytkowników, to nie oznacza to, że takie dane będą technicznie możliwe do wydania. Wprawdzie każde działanie użytkownika jest w jakiś sposób monitorowane w internecie, jednak dostępność części danych może zależeć już tylko od konstrukcji technicznej serwisu.
Warto przywołać tu przykład adresów IP, które są częstym przedmiotem debaty prawniczej. Adres IP, który musi być przechowywany przez 12 miesięcy przez operatorów publicznej sieci telekomunikacyjnej i dostawców publicznie dostępnych usług telekomunikacyjnych (art. 180a ustawy – Prawo telekomunikacyjne, Dz.U. z 2004 r. nr 171, poz. 1800), jest adresem występującym np. w logach serwera i pokazującym fakt żądania określonego zasobu w ramach strony www. Nie jest to jednak adres IP powiązany z konkretnym postem na forum. Taki poziom szczegółowości może zapewnić dopiero deweloper samego serwisu internetowego poprzez utworzenie w tabeli bazy danych odpowiedniego pola do składowania tych adresów, a następnie ich umieszczanie tam wraz z innymi danymi posta. Deweloperzy bardziej zapobiegliwi mogą takie dane wkładać do bazy danych, jednak duża ich część tego w ogóle nie robi, zwłaszcza gdy są to mniejsze serwisy lokalne, tworzone przez pasjonatów. Samo więc żądanie wydania adresu IP może spotkać się z odpowiedzią o jego braku.
Warto również pamiętać, że adres IP nie jest daną jednoznacznie identyfikującą użytkownika. Może się odnosić do jednego lub wielu podmiotów; zmieniać lub być celowo ukrywany. Jeden adres IP może być bramką dostępową do internetu dla dziesiątek komputerów zgromadzonych w ramach jednej sieci, może mieć charakter adresu dynamicznego, który jest przydzielany na nowo przy każdym połączeniu z internetem; użytkownik może też celowo korzystać z serwera Proxy, aby zatrzeć swoje ślady.

Inne dylematy

Należy również zwrócić uwagę na kolejną praktyczną kwestię – mianowicie to, że firmy świadczące usługi związane z internetem, np. hostingodawcy, będą przede wszystkim dążyć do zapewnienia stabilności własnego biznesu. Tę stabilność buduje portfolio ich klientów, przekonanych o bezpieczeństwie swoich danych. Nie należy oczekiwać, że będą oni bez wahania wydawać wszelkie posiadane dane czy usuwać niechciane wpisy. A zatem, wspomniany wyrok NSA, który w dodatku nie jest jednoznaczny w swej treści, nie będzie stanowić wystarczającego uzasadnienia do wydawania takich danych.
Dodatkowe problemy może rodzić międzynarodowy charakter usług IT. O ile zwrócenie się do podmiotu działającego na rynku polskim może być stosunkowo proste, o tyle podobny wniosek skierowany do administratora serwisu zagranicznego może już odnieść zupełnie inny skutek. Dla przykładu użytkownik Facebooka akceptuje regulamin stanowiący m.in., że „wszelkie spory pomiędzy serwisem a użytkownikiem podlegają przepisom prawa stanu Kalifornia, bez względu na przepisy prawa kolizyjnego”.
Podsumowując: istnieje wprawdzie możliwość żądania wydania danych należących do użytkowników – autorów obraźliwych wpisów na forum internetowym – i omawiany wyrok jest w tym sensie pomocny. Jednakże ostatecznie kwestią decydującą będą każdorazowo nie tylko ograniczenia prawne, lecz także ograniczenia techniczne, stanowiące czasem jeszcze większą barierę w skutecznym dochodzeniu ochrony określonych praw.
ORZECZNICTWO
Wyrok NSA z 21 sierpnia 2013 r., sygn. akt I OSK 1666/12.

Aleksandra Surowiecka, Kancelaria BSO Prawo & Podatki