Jeżeli podmiot, którego prawa zostały naruszone, w sposób wystarczający wykaże przed wszczęciem postępowania sądowego potrzebę posiadania danych osobowych użytkowników portalu internetowego, to jego administrator może ujawnić takie dane.
W ostatnim czasie czytamy w prasie, że organizacja zbiorowego zarządzania prawami autorskimi oraz producenci audio-wideo wypowiedzieli wojnę polskim piratom internetowym nielegalnie rozpowszechniającym pliki muzyczne w internecie. Także dwie zagraniczne organizacje – szwajcarska World Association of Private Internet Investigation oraz niemiecka TopWare Entertainment GmbH – podejmują działania przeciwko piratom nielegalnie udostępniającym w internecie gry komputerowe stanowiące własność ich mocodawców.
Organizacje zebrały numery IP komputerów, z których rozpowszechniane są pliki, i wystąpiły do sądu o ujawnienie danych osobowych podmiotów, do których numery są przypisane. Powstaje pytanie, czy i na jakiej podstawie jakikolwiek podmiot, którego prawa zostały naruszone w internecie, może wystąpić bezpośrednio do administratora serwisu internetowego o ujawnienie danych osobowych użytkowników i czy administrator portalu jest uprawniony na gruncie ustawy o świadczeniu usług drogą elektroniczną (u.s.u.d.e.) oraz ustawy o ochronie danych osobowych (u.o.d.o.) do ujawnienia takich danych.

Wyjątek od zasady

Prowadzenie portalu internetowego jest związane z odpowiedzialnością za treści zamieszczane w takim serwisie. Istnieje jednak wyjątek, w którym administrator portalu nie ponosi odpowiedzialności za treści umieszczone na jego stronie internetowej, a mianowicie wtedy kiedy administrator jedynie przechowuje dane umieszczane przez użytkowników (np. na portalu społecznościowym) i nie wie o ich bezprawnym charakterze lub związanej z nimi działalności. Dopiero od chwili, w której administrator otrzyma urzędowe zawiadomienie lub wiarygodną wiadomość o bezprawnym charakterze danych, ponosi odpowiedzialności za takie dane, chyba że niezwłocznie uniemożliwi do nich dostęp (art. 14 u.s.u.d.e.).

Formy zawiadomienia

Zawiadomienia otrzymywane przez administratorów mogą przyjmować różne formy i zawierać różne żądania. Najczęściej są to żądania usunięcia danych z serwisu (np. komentarzy, zdjęć, plików wideo, plików muzycznych) oraz udostępnienia danych osobowych użytkownika, który dopuścił się naruszenia. Administrator po otrzymaniu zawiadomienia powinien dokonać jego oceny, tzn. czy stanowi ono jedną z dwóch form wskazanych w art. 14 u.s.u.d.e. – urzędowe zawiadomienie bądź wiarygodną informację. W rzeczywistości nie wszystkie zawiadomienia otrzymywane przez administratorów spełnią te warunki. Jeżeli chodzi o urzędowe zawiadomienia, to sytuacja jest dość klarowna, bowiem będzie to najczęściej postanowienie sądu o udzieleniu zabezpieczenia w postaci usunięcia bezprawnych materiałów ze strony internetowej, bądź postanowienie sądu o ujawnienie danych osobowych użytkowników, bądź wyrok sądu nakazujący usunięcie materiałów z serwisu. Może to też być informacja otrzymana z prokuratury o toczącym się śledztwie w sprawie danych, które znalazły się na portalu. Tego typu urzędowe zawiadomienia nie budzą wątpliwości i ich wykonanie, w tym ujawnienie sądowi lub prokuraturze danych osobowych użytkowników, jest bezsporne.
Najczęściej jednak administrator portalu otrzyma od podmiotu, którego prawa zostały naruszone, zwykłe pismo zawierające żądanie usunięcia materiałów z portalu wraz z żądaniem podania danych osobowych użytkownika. Podmiot będzie uzasadniał potrzebę uzyskania danych osobowych użytkownika chęcią dochodzenia roszczeń prawnych w sądzie. W takiej sytuacji administrator musi ocenić osobno, na ile treść pisma należy uznać za wiarygodną i może ona stanowić dla administratora podstawę do usunięcia materiałów z portalu oraz na ile zaistniała sytuacja umożliwia administratorowi legalne przekazanie danych osobowych użytkownika.

Umotywowany wniosek

Administrator portalu jest zazwyczaj administratorem danych osobowych gromadzonych w serwisie, tzn. jest podmiotem, który decyduje o celach i środkach przetwarzani danych. Administrator jest zobowiązany dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą (w tym danych użytkowników), a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Obowiązek ten obejmuje m.in. nieujawnianie danych osobowych podmiotom trzecim, z zastrzeżeniem art. 29 ust. 1 u.s.u.d.e. Artykuł ten stanowi, że dane osobowe, z wyłączeniem danych tzw. sensytywnych, mogą być udostępnione podmiotom trzecim (w celach innych niż włączenie do zbioru), jeżeli w sposób wiarygodny uzasadnią one potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą. Dane osobowe udostępniane są na pisemny, umotywowany wniosek. Jednak złożenie takiego wniosku nie zobowiązuje administratora do udostępnienia danych osobowych, ponieważ administrator musi samodzielnie ocenić czy podmiot żądający udostępnienia danych w sposób wiarygodny uzasadnił potrzebę ich posiadania.

Nie wystarczy żądanie

Administrator odmawia udostępnienia danych osobowych, jeżeli spowodowałoby to istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób. Zgodnie z wyrokiem WSA z 19 lipca 2007 r. (II SA/Wa 93/07), powołującego się na decyzję GIODO, samo stwierdzenie w piśmie żądającym ujawnienia danych, że dane są potrzebne do podjęcia przeciwko osobom, których dotyczą, stosownych kroków prawnych, jest niewystarczające. Wynika to z dwóch okoliczności – po pierwsze, samo stwierdzenie chęci podjęcia kroków prawnych wcale nie oznacza, że dany podmiot podejmie jakiekolwiek działania prawne, a więc fakt ten powinien być w jakikolwiek sposób bardziej uprawdopodobniony, a po drugie, podmiot żądający ujawnienia danych musi wykazać, iż bez posiadania danych osobowych nie będzie mógł dochodzić swoich roszczeń. Przykładowo, pozew o naruszenie dóbr osobistych w serwisie internetowym zawsze może być wniesiony przeciwko administratorowi portalu (zatem dane mogą nie być konieczne). W takim przypadku, jeżeli administrator dopełnił obowiązków wynikających z art. 14 u.s.u.d.e., będzie mógł wykazać brak swojej odpowiedzialności za treści umieszczone w jego serwisie i wskazać użytkowników, którzy są za takie dane odpowiedzialni.
Jeżeli sąd uzna dane użytkowników za niezbędne, wyda postanowienie o ujawnienie takich danych przez administratora. Takie postanowienie będzie stanowiło wystarczającą podstawę dla administratora do ujawnienia danych osobowych użytkowników.
Jeżeli natomiast podmiot, którego prawa zostały naruszone, w sposób wystarczający wykaże przed wszczęciem postępowania sądowego potrzebę posiadania danych osobowych użytkowników, to administrator może ujawnić takie dane. W przypadku bezzasadnej odmowy udostępnienia danych, podmiot, którego prawa zostały naruszone, może zwrócić się do generalnego inspektora ochrony danych osobowych o nakazanie udostępnienia takich danych (potwierdził to też Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 13 lutego 2009 r. – II Sa/Wa 1570/08).
Ważne
Dopiero od chwili, w której administrator otrzyma urzędowe zawiadomienie lub wiarygodną wiadomość o bezprawnym charakterze danych, ponosi odpowiedzialności za takie dane, chyba że niezwłocznie uniemożliwi do nich dostęp
Podstawa prawna
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.).
Ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2002, nr 144, poz. 1204 z późn. zm.).