Nakazywanie udostępniania danych osobowych hejterów – czy GIODO ma takie kompetencje?
Dodano: 12-01-2015 w kategorii: Zasady przetwarzania danych osobowych, Obowiązki ADO i ABI, Decyzje GIODO. Dodane przez: Katarzyna Witkowska.
O udostępnianiu danych osobowych hejterów pisaliśmy już niejednokrotnie na naszym portalu oraz na Portalu Prawa IT (Udostępnianie danych osobowych użytkowników Internetu, Walka z „hejtem" w sieci czy Jak pozwać anonimowego hejtera?). Dziś chcemy przedstawić Państwu kolejny aspekt opisywanego już przez nas problemu, czyli kwestię kompetencji Generalnego Inspektora Ochrony Danych Osobowych do nakazywania udostępniania danych osobowych hejterów.
Zarys problemu
Na początku warto przybliżyć samą istotę problemu. „Walka z hejtem w sieci” sprowadza się w istocie do prób ustalenia tożsamości sprawców naruszeń dóbr osobistych w Internecie w celu dochodzenia ochrony przed tymi naruszeniami. Oczywistym jest, że poczucie anonimowości, a co za tym idzie – bezkarności w sieci, przekłada się m.in. na większą skłonność do umieszczania na forach internetowych czy w komentarzach obraźliwych tekstów. Osoby, których dobra osobiste zostają poprzez takie anonimowe działania naruszone, chcąc dochodzić ochrony i pociągnąć sprawców naruszeń do odpowiedzialności tak karnej jak i cywilnej, napotykają oczywistą trudność. W pierwszej kolejności, konieczne jest bowiem ustalenie tożsamości sprawcy naruszenia. Jeżeli administrator danych osobowych nie udostępni danych naruszyciela na wniosek osoby zainteresowanej, może ona zwrócić się do GIODO z odpowiednim wnioskiem o udostępnienie danych. Jak można przeczytać w powołanych w niniejszym poście tekstach, problemem tym zajmowali się już zarówno GIODO, jak i Wojewódzki Sąd Administracyjny, a także Naczelny Sąd Administracyjny (np. wyroki wydane w sprawach o sygn. akt: I OSK 2324/12, II SA/Wa 892/13, II SA/WA 152/13 oraz II SA/Wa 569/14). Aby nie powtarzać prowadzonych już przez nas rozważań, przypomnieć można jedynie, że w obecnym stanie prawnym, wobec uchylenia w roku 2011 art. 29 ustawy o ochronie danych osobowych, udostępnianie danych osobowych hejterów odbywa się w oparciu o przesłankę prawnie usprawiedliwionego celu, ujętą w art. 23 ust. 1 pkt 5 ustawy.
Gdzie jest problem?
Jak wspomniano na wstępie, dzisiejszy post ma naświetlić inny, niż opisywane już na portalu, aspekt problemu, czyli wątpliwości co tego, czy GIODO ma kompetencje, by nakazać administratorowi danych osobowych np. właścicielowi forum internetowego, udostępnienie danych osobowych sprawcy naruszenia.
Kwestię kompetencji GIODO w przypadku, gdy dojdzie do naruszenia przepisów o ochronie danych osobowych, rozstrzyga art. 18 ustawy o ochronie danych osobowych. I tak, w przypadku naruszenia przepisów GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień;
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego;
5) zabezpieczenie danych lub przekazanie ich innym podmiotom;
6) usunięcie danych osobowych.
Art. 18 ust. 1 pkt 2 przewiduje więc kompetencję GIODO do nakazania udostępnienia danych osobowych. Należy jednak pamiętać, że możliwość ta aktualizuje się wtedy, gdy dochodzi do naruszenia przepisów o ochronie danych osobowych. Oznacza to, że kompetencja GIODO do wydania decyzji nakazującej udostępnienie danych osobowych hejtera ograniczona jest wykazaniem, że administrator danych, który poszkodowanemu danych nie udostępnił, dopuścił się naruszenia przepisów ustawy. Ocenie GIODO nie podlega bowiem samo działanie naruszyciela, a fakt nieudostępnienia danych przez administratora na wniosek osoby dotkniętej działaniem hejtera. GIODO nakazując administratorowi udostępnienie danych osobowych, działając na wniosek zainteresowanego, w żadnej mierze nie ocenia, czy doszło do naruszenia dóbr osobistych, a jeśli tak, to których i w jakim wymiarze. Rola GIODO sprowadza się do oceny formalnej samego wniosku o nakazanie udostępnienia danych oraz do oceny istnienia interesu prawnego wnioskodawcy w ich pozyskaniu.
W stanie prawnym sprzed 2011 roku, gdy istniał art. 29 obligujący administratora danych osobowych do udostępnienia danych zainteresowanemu, o ile w sposób wiarygodny uzasadnił on potrzebę posiadania tych danych, a ich udostępnienie nie naruszało praw i wolności osób, których dotyczą, było prostsze. Dziś, gdy podstaw prawnych żądania udostępniania danych poszukuje się artykułach legalizujących sam proces przetwarzania, czyli art. 23 ust. 1 oraz ar.t 27 ust. 2 ustawy, sytuacja jest bardziej skomplikowana.
Przesłanka prawnie usprawiedliwionego celu (wskazywana w orzecznictwie jako podstawa udostępnienia danych hejterów) jest to przesłanka, która legalizuje jedynie przetwarzanie danych przez administratora. Przepis art. 23 ust. 1 pkt 5 nie ustanawia jednak w żadnej mierze obowiązku udostępniania danych czy ich przetwarzania w jakiejkolwiek innej formie. Jest jedynie, jak już wspomniano, podstawą przetwarzania, z której administrator może skorzystać, a nie podstawą istnienia obowiązku po stronie administratora.
Biorąc pod uwagę, że art. 23 ust. 1 pkt 5 zakłada, iż przetwarzanie danych osobowych jest dopuszczalne m.in. wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą, można zastanawiać się nad poszukiwaniem podstaw prawnych udostępnienia w prawnie usprawiedliwionym celu odbiorcy danych. Skoro dobra osobiste odbiorcy danych zostały naruszone i chce on dochodzić ich ochrony, ma oczywisty interes w ustaleniu tożsamości naruszyciela, a wykazanie przez niego prawnie usprawiedliwionego celu w pozyskaniu danych jest stosunkowo proste. Wydaje się jednak, że argumentacja ta nie jest wystarczająca, by wykazać, że administrator danych ma obowiązek ich udostępnienia. Z faktu, że przetwarzanie danych poprzez ich przekazanie zainteresowanemu można oprzeć o art. 23 ust. 1 pkt 5 ustawy, nie można jeszcze wysnuć wniosku, że takie przekazanie jest obowiązkiem administratora.
Jeżeli w/w działanie jest tylko możliwością, którą ustawa daje administratorowi, nie jest zaś jego obowiązkiem, można postawić pytanie, czy nieudostępnienie danych stanowi naruszenie przepisów o ochronie danych osobowych (o którym mowa w art. 18 ust. 1 ustawy), które powoduje, że GIODO może skorzystać ze swojej kompetencji nakazania przywrócenia stanu zgodnego z prawem poprzez udostępnienie danych. Jak już wspomniano i jak wynika z konstrukcji przepisu art. 18 ustawy, GIODO ma prawo nakazać przywrócenie stanu zgodnego z prawem. Tym samym, w danym stanie faktycznym dojść musi do naruszenia prawa. Czy nieskorzystanie z administratora danych z pewnej możliwości (przetwarzania danych osobowych poprzez ich udostępnienie) stanowi naruszenie prawa, które może być przedmiotem decyzji GIODO? Ostateczną odpowiedź przyniosą zapewne praktyka GIODO i orzecznictwo.
Podsumowanie
Nie ulega wątpliwości, że opisywana sytuacja byłaby dużo prostsza, gdyby w ustawie istniał przepis odnoszący się do niej wprost i obligujący administratora danych do ich udostępnienia w określonych okolicznościach. Skoro jednak takiego przepisu brak, a poczucie anonimowości i bezkarności w sieci ciągle rośnie, poszukuje się rozwiązań, które mają, mimo pewnych niedoskonałości obowiązującego stanu prawnego, umożliwić skuteczne dochodzenie roszczeń przez osoby poszkodowane działaniem hejterów. Na rozstrzygnięcie wskazanych dziś wątpliwości co do kompetencji GIODO przyjdzie nam jeszcze poczekać. Z pewnością kwestia ta będzie jeszcze przedmiotem niejednego orzeczenia WSA i NSA.
Katarzyna Witkowska
e-mail:
Alerty prawno-podatkowe