2013-12-16
Można udostępniać dane podmiotom prywatnym, ale nie trzeba i nie warto (analiza wyroku NSA)

Zgodnie z zapowiedzią chciałbym jeszcze podzielić się kilkoma uwagami nt. wyroku NSA z dnia 21 sierpnia 2013 roku. Dla przypomnienia sprawa dotyczyła odmowy udostępnienia Promedica 24 danych osobowych użytkowników przez administratora forum (Agora S.A.). Żądanie Promedica24 oparte było na roszczeniu naruszenia jej dóbr osobistych. Administrator oparł swoją argumentację na założeniu, że ustawa o świadczeniu usług drogą elektroniczną (u.ś.u.d.e)  jest unormowaniem szczególnym wobec ustawy o ochronie danych osobowych (u.o.d.o.) i w związku z tym dane użytkowników mogą być udostępniane wyłącznie na żądanie organów państwa.

Jego rozstrzygnięcie jest dość zaskakujące i niejednoznaczne. Otóż NSA oddalił skargę kasacyjną GIODO. Uzasadnienie wskazujące na przyczyny takiego rozstrzygnięcia zajmuje jeden akapit na samym końcu uzasadnienia wyroku:

"Skarga kasacyjna złożona w niniejszej sprawie przez GIODO nie zasługiwała jednak na uwzględnienie, ponieważ organ nie wyważył interesów stron postępowania – podmiotu żądającego ujawnienia danych osobowych oraz administratora tych danych i osób, których dane te dotyczą. W niniejszej sprawie toczą się już dwa postępowania karne, których ani prokuratura ani też sąd nie umorzyły. Żądane przez wnioskodawcę dane osobowe zostały już udostępnione przez administratora danych na polecenie prokuratury i sądu. Powyższe czyni wątpliwym zasadność kolejnego żądania udostępnienia danych osobowych w trybie administracyjnym. Zarówno toczące się postępowania karne, jak i szeroki zakres danych, jaki został już udostępniony skarżącej spółce czyni nieproporcjonalnym kolejne nakazanie udostępnienia tych danych, tym razem przez GIODO."

Mimo takiego rozstrzygnięcia większość uzasadnienia NSA dotyczy kwestii rozumienia zależności pomiędzy u.ś.u.d.e. a u.o.d.o.W szczególności istotny jest następujący fragment:

.[z] brzmienia art. 18 ust.6 u.ś.u.d.e. wynika jedynie obowiązek udzielenia informacji o danych , organom państwa na potrzeby prowadzonych przez nie postępowań. Nie wynika natomiast zakaz udostępniania tych danych osobom , których prawa zostały naruszone. Zarówno jednak organ nakazujący ujawnienie danych , jak i sąd administracyjny rozpoznający skargę na tego rodzaju decyzję , muszą każdorazowo, przy uwzględnieniu indywidualnych okoliczności danej sprawy dokonać wyważenia przeciwstawnych interesów jakimi są prawo do ochrony danych osobowych i prawo do ochrony czci, godności , dobrego imienia czy też wizerunku firmy. Należy przy tym w sposób należyty uwzględniać wymogi wynikające z zasady proporcjonalności , tak aby stosowane środki były adekwatne do zagrożenia dobra wymagającego w danej sprawie większej ochrony.

Dodatkowo:

Administrator może przekazać dane wyłącznie, gdy zgłaszający oświadczy, że ma uzasadniony interes prawny (planuje cywilny pozew, a do jego skutecznego wniesienia potrzebuje dane osoby naruszającej dobra osobiste). Zasadność żądania danych powinna być jednak oceniana każdorazowo czy to przez dysponenta danych, czy ewentualnie przez GIODO.

W zasadzie wyrok NSA można więc podsumować trzema zdaniami : art. 18 ust. 6 u.ś.u.d.e nie może być traktowany jako tarcza przed jakimikolwiek próbami uzyskania danych od ISP, w szczególności brzmienie tego przepisu nie wyklucza możliwości udostępnienia danych na podstawie informacji, że żądający planuje cywilny pozew. W każdym przypadku jednak konieczna jest indywidualna ocena sytuacji przez ISP. Wydanie danych nie będzie uzasadnione, gdy dane te zostały uzyskane w inny sposób np. w drodze postępowania karnego.

Mam następujące uwagi po lekturze wyroku:

1. udostępnienie danych zależy od dobrej woli administratora

Każdy przypadek ma według sądu podlegać indywidualnej ocenie administratora. Następnie ta indywidualna ocena administratora zostanie poddana indywidualnej ocenie przez GIODO, a ocena GIODO (jeżeli nie jest zgodna z oceną administratora) zostanie  zweryfikowana indywidualną oceną sądów administracyjnych. Takie podejście z pewnością spowoduje, że interesy żądającego i udostępniającego zostaną właściwie wyważone.

Żądający po latach postępowania dowie się, czy sposób uzasadnienia żądania zasługiwał na uwzględnienie (jak w tym przypadku), ale danych już nie otrzyma. Administratorzy najczęściej przechowują wyłącznie adresy IP swoich użytkowników. W Polsce okres retencji tych danych przez operatorów telekomunikacyjnych wynosi 12 miesięcy. Wystarczy złożenie przez administratora skargi do sądu administracyjnego, aby walka toczyła się już wyłącznie o zasadę.

2. prawidłowość decyzji o nakazaniu udostępnienia danych jest zawsze względna

W tej sprawie NSA uznał żądanie udostępnienia danych za nieuzasadnione, gdyż dane zostały udostępnione w innym postępowaniu.

Oznacza to, że każda decyzja GIODO nakazująca udostępnienie danych stanie się decyzją nieprawidłową w chwili zgłoszenia przez organy państwa żądania udostępnienia tych danych w związku z postępowaniem karnym zainicjowanym przez żądającego, a jej ewentualne uchylenie będzie zależało od tego czy postępowanie w tej sprawie ma dalszy bieg.

3. administratorzy w ogóle nie powinni ujawniać danych swoich użytkowników podmiotom prywatnym

Należy zauważyć, że obecnie dość częstą praktyką jest działanie dwutorowe – zgłaszanie żądania udostępnienia danych do administratora i np. jednoczesne składanie zawiadomienia o przestępstwie. Taktyka ta jest logiczną konsekwencją niejasności prawa z jednej strony i niepewnością co do działań policji z drugiej (z uwagi na obłożenie organów ściagania nawet proste czynności procesowe mogą trwać wiele czasu).

W związku z powyższym administrator (znając praktykę postępowania) nigdy nie może być pewien czy żądający udostępnienia danych nie wszczął już procedury karnej. Co więcej, może przyjąć racjonalne założenie, że procedura karna została wszczęta (oczywiście może też przyjąć założenie odwrotne, ale ponieważ w interesie administratora jest ochrona własnych użytkowników, przyjęcie innego założenia jest mało prawdopodobne) i niedługo zostanie mu doręczone żądanie od policji, które będzie miał obowiązek spełnić.

W konsekwencji administrator zawsze w uzasadniony sposób może odmówić wydania danych tym samym pozbawiając żądającego możliwości ustalenia danych sprawcy naruszenia. I szczerze mówiąc, w świetle tego wyroku głęboko się zastanowię, zanim doradzę inne działanie swoim klientom.




Dodaj komentarz
Nick/Pseudonim
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


Dzieje się

Mamy przyjemność być patronem ogólnopolskiego konkursu "IP Challenge", mającego na celu wyłonienie studentów o największej wiedzy z zakresu prawa własności intelektualnej.

Więcej o konkursie »

Bądź na bieżąco

Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. 


O serwisie

Zwięźle i praktycznie o nowych technologiach oraz prawie własności intelektualnej i jego zastosowaniu w sieci.

O autorach
Prawo konsumenckie
Ostatnie komentarze
Notariusz Szamotuły komentuje Aplikacja i strona to nie wszystko
Archiwum
2018
Tagi
prawo autorskie (33)e-commerce (20)Internet (18)artykuły prasowe (18)Nowe prawo konsumenckie (17)
naruszenie prawa w internecie (14)orzecznictwo TSUE (13)konsumenci (13)cloud computing (12)znaki towarowe (11)regulaminy (11)e-handel (11)opłaty reprograficzne (11)sklep internetowy (11)e-sklep (11)dane osobowe (11)licencje (10)Trybunał Sprawiedliwości Unii Europejskiej (10)orzecznictwo sądów polskich (10)numer IP (10)e-sprzedaż (9)webinarium (8)własność intelektualna (8)klauzule abuzywne (8)sprzedaż w internecie (8)handel elektroniczny (8)bezpieczeństwo danych (7)identyfikacja po numerze IP (7)linkowanie (7)opłaty od urządzeń i czystych nośników (7)copyright levies (7)prawo europejskie (7)udostępnianie danych osobowych (7)informatyka śledcza (7)hosting provider (6)sprawy sądowe (6)nowe technologie (6)dyrektywy (6)licencja (6)utwory (6)TSUE (6)oprogramowanie (6)odpowiedzialność host provider'ów (6)identyfikacja sprawcy w internecie (6)Znalezione Polubione (6)platforma ODR (5)kopia (5)embeding (5)prawnicy (5)prawo konsumenckie (5)umowy prawnoautorskie (5)forum internetowe (5)service provider (5)dowody (5)poufność (5)orzeczenia (5)technologie (5)spory konsumenckie (5)dozwolony użytek (5)embedding (5)retencja danych (4)wyszukiwarka (4)użytek prywatny (4)prawa pokrewne (4)chmura (4)reklama (4)rozpowszechnianie (4)ustawa o świadczeniu usług drogą elektroniczną (4)dane (4)telekomunikacja (4)program komputerowy (4)copyrights (4)embedowanie (4)ADR (4)dokumenty elektroniczne (4)bazy danych (4)zamówienia publiczne (4)sprzedaż (4)utwór (4)blockchain (4)embed (4)usługi świadczone drogą elektroniczną (4)umowy prawno-autorskie (4)linking (4)autorskie prawa majątkowe (4)wyczerpanie prawa (4)treści (3)bitcoin (3)ochrona baz danych (3)utwory przyszłe (3)EuroZamowienia.pl (3)monitorowanie treści (3)hosting (3)Oracle (3)umowy o przeniesienie praw autorskich (3)domeny (3)art. 14 uśude (3)monitorowanie użytkowników (3)baza danych (3)ryzyka cloud computing (3)Usedsoft (3)inwigilacja w sieci (3)sprzedaż programu (3)link (3)sklepy internetowe (2)RODO (2)dyrektywa o handlu elektronicznym (2)przeniesienie autorskich praw majątkowych (2)NDA (2)naruszenia praw autorskich (2)Uber (2)Chambers & Partners (2)prawa autorskie do strony (2)Google (2)tajemnica przedsiębiorstwa (2)zakupy internetowe (2)legalny użytkownik (2)strona internetowa (2)kancelaria prawna (2)LegalTech (2)wiarygodna wiadomość (2)koszt retencji danych (2)ukierunkowana (2)promocja (2)Facebook (2)prawa producentów fonogramów (2)metawyszukiwarki (2)licencja pudełkowa (2)varia (2)ankiety online (2)GIODO (2)SaaS (2)UOKiK (2)internet rzeczy (2)Platformy internetowe (2)SABAM. Scarlet Extended (2)umowa o zachowaniu poufności (2)aplikacje mobilne (2)spory transgraniczne (2)dyrektywa 2001/29 (2)usługi prawne (2)cookies (2)Svensson (2)organizacje zbiorowego zarządzania prawami autorskimi (2)FinTech (2)nadania (2)dyrektywa w sprawie ochrony programów komputerowych (2)sztuczna inteligencja (2)dystrybucja (2)audyt oprogramowania (2)prawo angielskie (2)cloud computing dla prawników (2)administrator forum internetowego (2)ukierunkowane (2)udostępnianie utworu (2)metawyszukiwarka (2)reklamacje (2)właściwości pliku (2)blog (2)cyberbezpieczeństwo (1)korzystanie z dzieła w domenie publicznej (1)e-discovery (1)partnerstwo innowacyjne (1)QC Leisure (1)Pinckney C-170/12 (1)Urząd Unii Europejskiej ds. Własności Intelektualnej (1)ochrona dóbr osobistych (1)Google Reader (1)konkurs w internecie (1)zmowy przetargowe (1)mechanizm opt-out (1)public viewing (1)dyrektywa 2009/24 (1)trade secrets (1)rozporządzenia Rady (WE) nr 44/2001 (1)OHIM (1)ochrona wizerunku (1)Aula Polska (1)odtwarzanie muzyki w miejscach publicznych (1)odpowiedzialność pośredników (1)rejestracja domen (1)prawo do nadań (1)kwalifikowany certyfikat (1)nadawcy radiowi i telewizyjni (1)trwały nośnik (1)ICANN (1)wprowadzenie do obrotu (1)BSA (1)ograniczenia przeniesienia praw (1)plagiat ukryty (1)WIPO (1)ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (1)Europejski Trybunał Praw Człowieka (1)operatorzy witryn indeksujących (1)aplikacja mobilna (1)plagiat (1)wspólnotowy znak towarowy (1)smart contracts (1)gry hazardowe (1)podpis elektroniczny (1)umowy na odległość (1)druk 3D (1)serwis społecznościowy (1)adaptacje filmowe utworów (1)patent (1)Jednolity rynek cyfrowy (1)koszty cloud computing (1)BYOD (1)ustawa inwigilacyjna (1)dostawcy usług cyfrowych (1)patenty (1)geoblokowanie (1)pobranie (1)właściwość sądu (1)odpowiedzialność za szkody (1)operator usług kluczowych (1)dyrektywa 2011/77/UE (1)screening (1)klasyfikacja nicejska (1)Coditel no. 1. (1)stosowne wynagrodzenie (1)jurysdykcja (1)baza EBD (1)Royal Wedding (1)sprzedaż serwisu (1)usługi dotyczące opakowań z cudzym znakiem (1)ambush marketing (1)domena publiczna (1)non disclosure agreement (1)startup (1)Murphy (1)Creative Commons (1)Coty Germany C-360/12 (1)EUIPO (1)ochrona prywatności (1)prawo właściwe (1)prawa do fotografii produktów (1)czytnik (1)odbiorniki RTV w pokojach hotelowych (1)monitoring internetu (1)transmisja (1)Pez Hejduk (C-441/13) (1)YouTube (1)ochrona opisów produktów (1)kwalifikowany podpis elektroniczny (1)alternatywne metody rozstrzygania sporów (1)sunrise period (1)podatki (1)statystyka (1)Unijne rozporządzenie nr 2015/2424 (1)zasady etyki (1)synchronizacja (1)korzystanie z utworów w postępowaniach sądowych (1)certyfikat (1)social media (1)usługi płatnicze (1)plagiat jawny (1)unijny znak towarowy (1)ethereum (1)loterie (1)podpis elektroniczny weryfikowany kwalifikowanym certyfikatem (1)wiarygodne zawiadomienie (1)sieci peer-to-peer (1)UKE (1)egzemplarz (1)Procurement Explorer (1)Dostawcy treści online (1)fan page (1)bring your own device (1)prawo odstąpienia (1)ustawa o krajowym systemie cyberbezpieczeństwa (1)ACTA (1)artystyczne wykonanie (1)cross-border portability (1)MS Word (1)tłumaczenie (1)Proseed (1)nowa ustawa (1)samochody autonomiczne (1)usługi cyfrowe (1)prawa artystów wykonawców (1)eksport danych (1)Deutsche Grammophon (1)domena krajowa (1)artificial intelligence (1)
więcej...
Poznaj inne nasze serwisy

Blog EuroZamowienia.pl
Blog kodeksWpracy.pl
Blog PrawoMówni.pl
Blog PrzepisNaEnergetyke.pl
Blog LepszaTaktyka.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Akceptuję