2013-12-16
Można udostępniać dane podmiotom prywatnym, ale nie trzeba i nie warto (analiza wyroku NSA)

Zgodnie z zapowiedzią chciałbym jeszcze podzielić się kilkoma uwagami nt. wyroku NSA z dnia 21 sierpnia 2013 roku. Dla przypomnienia sprawa dotyczyła odmowy udostępnienia Promedica 24 danych osobowych użytkowników przez administratora forum (Agora S.A.). Żądanie Promedica24 oparte było na roszczeniu naruszenia jej dóbr osobistych. Administrator oparł swoją argumentację na założeniu, że ustawa o świadczeniu usług drogą elektroniczną (u.ś.u.d.e)  jest unormowaniem szczególnym wobec ustawy o ochronie danych osobowych (u.o.d.o.) i w związku z tym dane użytkowników mogą być udostępniane wyłącznie na żądanie organów państwa.

Jego rozstrzygnięcie jest dość zaskakujące i niejednoznaczne. Otóż NSA oddalił skargę kasacyjną GIODO. Uzasadnienie wskazujące na przyczyny takiego rozstrzygnięcia zajmuje jeden akapit na samym końcu uzasadnienia wyroku:

"Skarga kasacyjna złożona w niniejszej sprawie przez GIODO nie zasługiwała jednak na uwzględnienie, ponieważ organ nie wyważył interesów stron postępowania – podmiotu żądającego ujawnienia danych osobowych oraz administratora tych danych i osób, których dane te dotyczą. W niniejszej sprawie toczą się już dwa postępowania karne, których ani prokuratura ani też sąd nie umorzyły. Żądane przez wnioskodawcę dane osobowe zostały już udostępnione przez administratora danych na polecenie prokuratury i sądu. Powyższe czyni wątpliwym zasadność kolejnego żądania udostępnienia danych osobowych w trybie administracyjnym. Zarówno toczące się postępowania karne, jak i szeroki zakres danych, jaki został już udostępniony skarżącej spółce czyni nieproporcjonalnym kolejne nakazanie udostępnienia tych danych, tym razem przez GIODO."

Mimo takiego rozstrzygnięcia większość uzasadnienia NSA dotyczy kwestii rozumienia zależności pomiędzy u.ś.u.d.e. a u.o.d.o.W szczególności istotny jest następujący fragment:

.[z] brzmienia art. 18 ust.6 u.ś.u.d.e. wynika jedynie obowiązek udzielenia informacji o danych , organom państwa na potrzeby prowadzonych przez nie postępowań. Nie wynika natomiast zakaz udostępniania tych danych osobom , których prawa zostały naruszone. Zarówno jednak organ nakazujący ujawnienie danych , jak i sąd administracyjny rozpoznający skargę na tego rodzaju decyzję , muszą każdorazowo, przy uwzględnieniu indywidualnych okoliczności danej sprawy dokonać wyważenia przeciwstawnych interesów jakimi są prawo do ochrony danych osobowych i prawo do ochrony czci, godności , dobrego imienia czy też wizerunku firmy. Należy przy tym w sposób należyty uwzględniać wymogi wynikające z zasady proporcjonalności , tak aby stosowane środki były adekwatne do zagrożenia dobra wymagającego w danej sprawie większej ochrony.

Dodatkowo:

Administrator może przekazać dane wyłącznie, gdy zgłaszający oświadczy, że ma uzasadniony interes prawny (planuje cywilny pozew, a do jego skutecznego wniesienia potrzebuje dane osoby naruszającej dobra osobiste). Zasadność żądania danych powinna być jednak oceniana każdorazowo czy to przez dysponenta danych, czy ewentualnie przez GIODO.

W zasadzie wyrok NSA można więc podsumować trzema zdaniami : art. 18 ust. 6 u.ś.u.d.e nie może być traktowany jako tarcza przed jakimikolwiek próbami uzyskania danych od ISP, w szczególności brzmienie tego przepisu nie wyklucza możliwości udostępnienia danych na podstawie informacji, że żądający planuje cywilny pozew. W każdym przypadku jednak konieczna jest indywidualna ocena sytuacji przez ISP. Wydanie danych nie będzie uzasadnione, gdy dane te zostały uzyskane w inny sposób np. w drodze postępowania karnego.

Mam następujące uwagi po lekturze wyroku:

1. udostępnienie danych zależy od dobrej woli administratora

Każdy przypadek ma według sądu podlegać indywidualnej ocenie administratora. Następnie ta indywidualna ocena administratora zostanie poddana indywidualnej ocenie przez GIODO, a ocena GIODO (jeżeli nie jest zgodna z oceną administratora) zostanie  zweryfikowana indywidualną oceną sądów administracyjnych. Takie podejście z pewnością spowoduje, że interesy żądającego i udostępniającego zostaną właściwie wyważone.

Żądający po latach postępowania dowie się, czy sposób uzasadnienia żądania zasługiwał na uwzględnienie (jak w tym przypadku), ale danych już nie otrzyma. Administratorzy najczęściej przechowują wyłącznie adresy IP swoich użytkowników. W Polsce okres retencji tych danych przez operatorów telekomunikacyjnych wynosi 12 miesięcy. Wystarczy złożenie przez administratora skargi do sądu administracyjnego, aby walka toczyła się już wyłącznie o zasadę.

2. prawidłowość decyzji o nakazaniu udostępnienia danych jest zawsze względna

W tej sprawie NSA uznał żądanie udostępnienia danych za nieuzasadnione, gdyż dane zostały udostępnione w innym postępowaniu.

Oznacza to, że każda decyzja GIODO nakazująca udostępnienie danych stanie się decyzją nieprawidłową w chwili zgłoszenia przez organy państwa żądania udostępnienia tych danych w związku z postępowaniem karnym zainicjowanym przez żądającego, a jej ewentualne uchylenie będzie zależało od tego czy postępowanie w tej sprawie ma dalszy bieg.

3. administratorzy w ogóle nie powinni ujawniać danych swoich użytkowników podmiotom prywatnym

Należy zauważyć, że obecnie dość częstą praktyką jest działanie dwutorowe – zgłaszanie żądania udostępnienia danych do administratora i np. jednoczesne składanie zawiadomienia o przestępstwie. Taktyka ta jest logiczną konsekwencją niejasności prawa z jednej strony i niepewnością co do działań policji z drugiej (z uwagi na obłożenie organów ściagania nawet proste czynności procesowe mogą trwać wiele czasu).

W związku z powyższym administrator (znając praktykę postępowania) nigdy nie może być pewien czy żądający udostępnienia danych nie wszczął już procedury karnej. Co więcej, może przyjąć racjonalne założenie, że procedura karna została wszczęta (oczywiście może też przyjąć założenie odwrotne, ale ponieważ w interesie administratora jest ochrona własnych użytkowników, przyjęcie innego założenia jest mało prawdopodobne) i niedługo zostanie mu doręczone żądanie od policji, które będzie miał obowiązek spełnić.

W konsekwencji administrator zawsze w uzasadniony sposób może odmówić wydania danych tym samym pozbawiając żądającego możliwości ustalenia danych sprawcy naruszenia. I szczerze mówiąc, w świetle tego wyroku głęboko się zastanowię, zanim doradzę inne działanie swoim klientom.




Dodaj komentarz
Nick/Pseudonim
E-mail (ukryty)
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


Dzieje się

Mamy przyjemność być patronem ogólnopolskiego konkursu "IP Challenge", mającego na celu wyłonienie studentów o największej wiedzy z zakresu prawa własności intelektualnej.

Więcej o konkursie »

Bądź na bieżąco

Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. 


O serwisie

Zwięźle i praktycznie o nowych technologiach oraz prawie własności intelektualnej i jego zastosowaniu w sieci.

O autorach
Prawo konsumenckie
Ostatnie komentarze
Notariusz Szamotuły komentuje Aplikacja i strona to nie wszystko
Pomoc prawna komentuje Aplikacja i strona to nie wszystko
Archiwum
2018
Tagi
prawo autorskie (32)e-commerce (20)Internet (18)artykuły prasowe (18)Nowe prawo konsumenckie (17)
naruszenie prawa w internecie (14)orzecznictwo TSUE (13)konsumenci (13)cloud computing (12)e-sklep (11)znaki towarowe (11)regulaminy (11)e-handel (11)opłaty reprograficzne (11)sklep internetowy (11)dane osobowe (10)licencje (10)Trybunał Sprawiedliwości Unii Europejskiej (10)orzecznictwo sądów polskich (10)numer IP (10)e-sprzedaż (9)klauzule abuzywne (8)sprzedaż w internecie (8)handel elektroniczny (8)webinarium (8)własność intelektualna (8)copyright levies (7)prawo europejskie (7)udostępnianie danych osobowych (7)informatyka śledcza (7)bezpieczeństwo danych (7)identyfikacja po numerze IP (7)linkowanie (7)opłaty od urządzeń i czystych nośników (7)TSUE (6)oprogramowanie (6)odpowiedzialność host provider'ów (6)identyfikacja sprawcy w internecie (6)Znalezione Polubione (6)hosting provider (6)sprawy sądowe (6)dyrektywy (6)licencja (6)utwory (6)orzeczenia (5)spory konsumenckie (5)dozwolony użytek (5)embedding (5)platforma ODR (5)kopia (5)embeding (5)prawnicy (5)prawo konsumenckie (5)umowy prawnoautorskie (5)forum internetowe (5)service provider (5)dowody (5)poufność (5)zamówienia publiczne (4)sprzedaż (4)utwór (4)blockchain (4)embed (4)usługi świadczone drogą elektroniczną (4)umowy prawno-autorskie (4)linking (4)autorskie prawa majątkowe (4)wyczerpanie prawa (4)retencja danych (4)wyszukiwarka (4)nowe technologie (4)użytek prywatny (4)prawa pokrewne (4)chmura (4)reklama (4)rozpowszechnianie (4)dane (4)telekomunikacja (4)program komputerowy (4)copyrights (4)embedowanie (4)ADR (4)dokumenty elektroniczne (4)bazy danych (4)technologie (3)domeny (3)art. 14 uśude (3)monitorowanie użytkowników (3)baza danych (3)ryzyka cloud computing (3)Usedsoft (3)inwigilacja w sieci (3)sprzedaż programu (3)link (3)treści (3)bitcoin (3)ochrona baz danych (3)ustawa o świadczeniu usług drogą elektroniczną (3)utwory przyszłe (3)EuroZamowienia.pl (3)monitorowanie treści (3)hosting (3)Oracle (3)umowy o przeniesienie praw autorskich (3)dyrektywa 2001/29 (2)cookies (2)Svensson (2)organizacje zbiorowego zarządzania prawami autorskimi (2)nadania (2)dyrektywa w sprawie ochrony programów komputerowych (2)FinTech (2)dystrybucja (2)audyt oprogramowania (2)cloud computing dla prawników (2)administrator forum internetowego (2)ukierunkowane (2)udostępnianie utworu (2)metawyszukiwarka (2)reklamacje (2)właściwości pliku (2)blog (2)sklepy internetowe (2)dyrektywa o handlu elektronicznym (2)przeniesienie autorskich praw majątkowych (2)NDA (2)naruszenia praw autorskich (2)Chambers & Partners (2)Uber (2)prawa autorskie do strony (2)Google (2)tajemnica przedsiębiorstwa (2)zakupy internetowe (2)legalny użytkownik (2)strona internetowa (2)wiarygodna wiadomość (2)koszt retencji danych (2)ukierunkowana (2)promocja (2)Facebook (2)prawa producentów fonogramów (2)metawyszukiwarki (2)licencja pudełkowa (2)varia (2)ankiety online (2)GIODO (2)SaaS (2)UOKiK (2)internet rzeczy (2)SABAM. Scarlet Extended (2)Platformy internetowe (2)umowa o zachowaniu poufności (2)aplikacje mobilne (2)spory transgraniczne (2)transmisja (1)Pez Hejduk (C-441/13) (1)YouTube (1)monitoring internetu (1)ochrona opisów produktów (1)kwalifikowany podpis elektroniczny (1)alternatywne metody rozstrzygania sporów (1)sunrise period (1)podatki (1)statystyka (1)Unijne rozporządzenie nr 2015/2424 (1)zasady etyki (1)synchronizacja (1)korzystanie z utworów w postępowaniach sądowych (1)certyfikat (1)social media (1)prawo angielskie (1)plagiat jawny (1)unijny znak towarowy (1)usługi płatnicze (1)loterie (1)podpis elektroniczny weryfikowany kwalifikowanym certyfikatem (1)wiarygodne zawiadomienie (1)ethereum (1)UKE (1)egzemplarz (1)Procurement Explorer (1)sieci peer-to-peer (1)fan page (1)bring your own device (1)prawo odstąpienia (1)Dostawcy treści online (1)ACTA (1)artystyczne wykonanie (1)MS Word (1)tłumaczenie (1)Proseed (1)nowa ustawa (1)samochody autonomiczne (1)cross-border portability (1)prawa artystów wykonawców (1)Deutsche Grammophon (1)domena krajowa (1)artificial intelligence (1)eksport danych (1)korzystanie z dzieła w domenie publicznej (1)e-discovery (1)partnerstwo innowacyjne (1)QC Leisure (1)Pinckney C-170/12 (1)Urząd Unii Europejskiej ds. Własności Intelektualnej (1)RODO (1)Google Reader (1)konkurs w internecie (1)zmowy przetargowe (1)mechanizm opt-out (1)public viewing (1)dyrektywa 2009/24 (1)trade secrets (1)rozporządzenia Rady (WE) nr 44/2001 (1)OHIM (1)Aula Polska (1)odtwarzanie muzyki w miejscach publicznych (1)rejestracja domen (1)prawo do nadań (1)odpowiedzialność pośredników (1)kwalifikowany certyfikat (1)nadawcy radiowi i telewizyjni (1)ICANN (1)wprowadzenie do obrotu (1)BSA (1)ograniczenia przeniesienia praw (1)plagiat ukryty (1)WIPO (1)trwały nośnik (1)ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (1)Europejski Trybunał Praw Człowieka (1)aplikacja mobilna (1)plagiat (1)wspólnotowy znak towarowy (1)operatorzy witryn indeksujących (1)gry hazardowe (1)podpis elektroniczny (1)umowy na odległość (1)druk 3D (1)smart contracts (1)adaptacje filmowe utworów (1)patent (1)serwis społecznościowy (1)koszty cloud computing (1)BYOD (1)ustawa inwigilacyjna (1)Jednolity rynek cyfrowy (1)patenty (1)pobranie (1)właściwość sądu (1)odpowiedzialność za szkody (1)geoblokowanie (1)dyrektywa 2011/77/UE (1)screening (1)klasyfikacja nicejska (1)Coditel no. 1. (1)stosowne wynagrodzenie (1)jurysdykcja (1)baza EBD (1)sprzedaż serwisu (1)usługi dotyczące opakowań z cudzym znakiem (1)ambush marketing (1)domena publiczna (1)non disclosure agreement (1)startup (1)Murphy (1)Creative Commons (1)Coty Germany C-360/12 (1)EUIPO (1)prawo właściwe (1)prawa do fotografii produktów (1)czytnik (1)odbiorniki RTV w pokojach hotelowych (1)
więcej...
Poznaj inne nasze serwisy

Blog EuroZamowienia.pl
Blog kodeksWpracy.pl
Blog PrawoMówni.pl
Blog PrzepisNaEnergetyke.pl
Blog LepszaTaktyka.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Akceptuję