2013-12-16
Można udostępniać dane podmiotom prywatnym, ale nie trzeba i nie warto (analiza wyroku NSA)

Zgodnie z zapowiedzią chciałbym jeszcze podzielić się kilkoma uwagami nt. wyroku NSA z dnia 21 sierpnia 2013 roku. Dla przypomnienia sprawa dotyczyła odmowy udostępnienia Promedica 24 danych osobowych użytkowników przez administratora forum (Agora S.A.). Żądanie Promedica24 oparte było na roszczeniu naruszenia jej dóbr osobistych. Administrator oparł swoją argumentację na założeniu, że ustawa o świadczeniu usług drogą elektroniczną (u.ś.u.d.e)  jest unormowaniem szczególnym wobec ustawy o ochronie danych osobowych (u.o.d.o.) i w związku z tym dane użytkowników mogą być udostępniane wyłącznie na żądanie organów państwa.

Jego rozstrzygnięcie jest dość zaskakujące i niejednoznaczne. Otóż NSA oddalił skargę kasacyjną GIODO. Uzasadnienie wskazujące na przyczyny takiego rozstrzygnięcia zajmuje jeden akapit na samym końcu uzasadnienia wyroku:

"Skarga kasacyjna złożona w niniejszej sprawie przez GIODO nie zasługiwała jednak na uwzględnienie, ponieważ organ nie wyważył interesów stron postępowania – podmiotu żądającego ujawnienia danych osobowych oraz administratora tych danych i osób, których dane te dotyczą. W niniejszej sprawie toczą się już dwa postępowania karne, których ani prokuratura ani też sąd nie umorzyły. Żądane przez wnioskodawcę dane osobowe zostały już udostępnione przez administratora danych na polecenie prokuratury i sądu. Powyższe czyni wątpliwym zasadność kolejnego żądania udostępnienia danych osobowych w trybie administracyjnym. Zarówno toczące się postępowania karne, jak i szeroki zakres danych, jaki został już udostępniony skarżącej spółce czyni nieproporcjonalnym kolejne nakazanie udostępnienia tych danych, tym razem przez GIODO."

Mimo takiego rozstrzygnięcia większość uzasadnienia NSA dotyczy kwestii rozumienia zależności pomiędzy u.ś.u.d.e. a u.o.d.o.W szczególności istotny jest następujący fragment:

.[z] brzmienia art. 18 ust.6 u.ś.u.d.e. wynika jedynie obowiązek udzielenia informacji o danych , organom państwa na potrzeby prowadzonych przez nie postępowań. Nie wynika natomiast zakaz udostępniania tych danych osobom , których prawa zostały naruszone. Zarówno jednak organ nakazujący ujawnienie danych , jak i sąd administracyjny rozpoznający skargę na tego rodzaju decyzję , muszą każdorazowo, przy uwzględnieniu indywidualnych okoliczności danej sprawy dokonać wyważenia przeciwstawnych interesów jakimi są prawo do ochrony danych osobowych i prawo do ochrony czci, godności , dobrego imienia czy też wizerunku firmy. Należy przy tym w sposób należyty uwzględniać wymogi wynikające z zasady proporcjonalności , tak aby stosowane środki były adekwatne do zagrożenia dobra wymagającego w danej sprawie większej ochrony.

Dodatkowo:

Administrator może przekazać dane wyłącznie, gdy zgłaszający oświadczy, że ma uzasadniony interes prawny (planuje cywilny pozew, a do jego skutecznego wniesienia potrzebuje dane osoby naruszającej dobra osobiste). Zasadność żądania danych powinna być jednak oceniana każdorazowo czy to przez dysponenta danych, czy ewentualnie przez GIODO.

W zasadzie wyrok NSA można więc podsumować trzema zdaniami : art. 18 ust. 6 u.ś.u.d.e nie może być traktowany jako tarcza przed jakimikolwiek próbami uzyskania danych od ISP, w szczególności brzmienie tego przepisu nie wyklucza możliwości udostępnienia danych na podstawie informacji, że żądający planuje cywilny pozew. W każdym przypadku jednak konieczna jest indywidualna ocena sytuacji przez ISP. Wydanie danych nie będzie uzasadnione, gdy dane te zostały uzyskane w inny sposób np. w drodze postępowania karnego.

Mam następujące uwagi po lekturze wyroku:

1. udostępnienie danych zależy od dobrej woli administratora

Każdy przypadek ma według sądu podlegać indywidualnej ocenie administratora. Następnie ta indywidualna ocena administratora zostanie poddana indywidualnej ocenie przez GIODO, a ocena GIODO (jeżeli nie jest zgodna z oceną administratora) zostanie  zweryfikowana indywidualną oceną sądów administracyjnych. Takie podejście z pewnością spowoduje, że interesy żądającego i udostępniającego zostaną właściwie wyważone.

Żądający po latach postępowania dowie się, czy sposób uzasadnienia żądania zasługiwał na uwzględnienie (jak w tym przypadku), ale danych już nie otrzyma. Administratorzy najczęściej przechowują wyłącznie adresy IP swoich użytkowników. W Polsce okres retencji tych danych przez operatorów telekomunikacyjnych wynosi 12 miesięcy. Wystarczy złożenie przez administratora skargi do sądu administracyjnego, aby walka toczyła się już wyłącznie o zasadę.

2. prawidłowość decyzji o nakazaniu udostępnienia danych jest zawsze względna

W tej sprawie NSA uznał żądanie udostępnienia danych za nieuzasadnione, gdyż dane zostały udostępnione w innym postępowaniu.

Oznacza to, że każda decyzja GIODO nakazująca udostępnienie danych stanie się decyzją nieprawidłową w chwili zgłoszenia przez organy państwa żądania udostępnienia tych danych w związku z postępowaniem karnym zainicjowanym przez żądającego, a jej ewentualne uchylenie będzie zależało od tego czy postępowanie w tej sprawie ma dalszy bieg.

3. administratorzy w ogóle nie powinni ujawniać danych swoich użytkowników podmiotom prywatnym

Należy zauważyć, że obecnie dość częstą praktyką jest działanie dwutorowe – zgłaszanie żądania udostępnienia danych do administratora i np. jednoczesne składanie zawiadomienia o przestępstwie. Taktyka ta jest logiczną konsekwencją niejasności prawa z jednej strony i niepewnością co do działań policji z drugiej (z uwagi na obłożenie organów ściagania nawet proste czynności procesowe mogą trwać wiele czasu).

W związku z powyższym administrator (znając praktykę postępowania) nigdy nie może być pewien czy żądający udostępnienia danych nie wszczął już procedury karnej. Co więcej, może przyjąć racjonalne założenie, że procedura karna została wszczęta (oczywiście może też przyjąć założenie odwrotne, ale ponieważ w interesie administratora jest ochrona własnych użytkowników, przyjęcie innego założenia jest mało prawdopodobne) i niedługo zostanie mu doręczone żądanie od policji, które będzie miał obowiązek spełnić.

W konsekwencji administrator zawsze w uzasadniony sposób może odmówić wydania danych tym samym pozbawiając żądającego możliwości ustalenia danych sprawcy naruszenia. I szczerze mówiąc, w świetle tego wyroku głęboko się zastanowię, zanim doradzę inne działanie swoim klientom.

 

 

Autorem tekstu jest Paweł Lipski
Dodaj komentarz
Nick/Pseudonim
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


Bądź na bieżąco

Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. 


O serwisie

Zwięźle i praktycznie o nowych technologiach oraz prawie własności intelektualnej i jego zastosowaniu w sieci.

O autorach
Prawo konsumenckie
Ostatnie komentarze
Parts Store komentuje Strategia i jeszcze raz strategia
Archiwum
Tagi
prawo autorskie (33)e-commerce (20)Internet (18)artykuły prasowe (18)Nowe prawo konsumenckie (17)
naruszenie prawa w internecie (14)dane osobowe (13)orzecznictwo TSUE (13)konsumenci (13)cloud computing (12)e-sklep (11)znaki towarowe (11)regulaminy (11)e-handel (11)opłaty reprograficzne (11)sklep internetowy (11)numer IP (10)licencje (10)Trybunał Sprawiedliwości Unii Europejskiej (10)orzecznictwo sądów polskich (10)e-sprzedaż (9)webinarium (8)własność intelektualna (8)klauzule abuzywne (8)sprzedaż w internecie (8)handel elektroniczny (8)linkowanie (7)opłaty od urządzeń i czystych nośników (7)copyright levies (7)prawo europejskie (7)udostępnianie danych osobowych (7)informatyka śledcza (7)bezpieczeństwo danych (7)identyfikacja po numerze IP (7)licencja (6)utwory (6)TSUE (6)oprogramowanie (6)odpowiedzialność host provider'ów (6)identyfikacja sprawcy w internecie (6)Znalezione Polubione (6)hosting provider (6)sprawy sądowe (6)nowe technologie (6)dyrektywy (6)forum internetowe (5)service provider (5)dowody (5)poufność (5)orzeczenia (5)technologie (5)spory konsumenckie (5)dozwolony użytek (5)embedding (5)platforma ODR (5)kopia (5)embeding (5)prawnicy (5)prawo konsumenckie (5)umowy prawnoautorskie (5)dokumenty elektroniczne (4)bazy danych (4)zamówienia publiczne (4)sprzedaż (4)utwór (4)blockchain (4)embed (4)usługi świadczone drogą elektroniczną (4)umowy prawno-autorskie (4)linking (4)autorskie prawa majątkowe (4)wyczerpanie prawa (4)retencja danych (4)wyszukiwarka (4)RODO (4)użytek prywatny (4)prawa pokrewne (4)chmura (4)reklama (4)rozpowszechnianie (4)ustawa o świadczeniu usług drogą elektroniczną (4)dane (4)telekomunikacja (4)program komputerowy (4)copyrights (4)embedowanie (4)ADR (4)umowy o przeniesienie praw autorskich (3)domeny (3)art. 14 uśude (3)monitorowanie użytkowników (3)baza danych (3)ryzyka cloud computing (3)Usedsoft (3)inwigilacja w sieci (3)sprzedaż programu (3)link (3)treści (3)bitcoin (3)ochrona baz danych (3)utwory przyszłe (3)EuroZamowienia.pl (3)monitorowanie treści (3)hosting (3)Oracle (3)licencja pudełkowa (2)varia (2)ankiety online (2)GIODO (2)SaaS (2)UOKiK (2)internet rzeczy (2)SABAM. Scarlet Extended (2)Platformy internetowe (2)umowa o zachowaniu poufności (2)aplikacje mobilne (2)spory transgraniczne (2)dyrektywa 2001/29 (2)cookies (2)Svensson (2)organizacje zbiorowego zarządzania prawami autorskimi (2)usługi prawne (2)nadania (2)dyrektywa w sprawie ochrony programów komputerowych (2)FinTech (2)sztuczna inteligencja (2)dystrybucja (2)audyt oprogramowania (2)prawo angielskie (2)cloud computing dla prawników (2)administrator forum internetowego (2)ukierunkowane (2)udostępnianie utworu (2)ustawa o krajowym systemie cyberbezpieczeństwa (2)metawyszukiwarka (2)reklamacje (2)właściwości pliku (2)blog (2)sklepy internetowe (2)cyberbezpieczeństwo (2)dyrektywa o handlu elektronicznym (2)przeniesienie autorskich praw majątkowych (2)NDA (2)naruszenia praw autorskich (2)Chambers & Partners (2)Uber (2)prawa autorskie do strony (2)Google (2)tajemnica przedsiębiorstwa (2)zakupy internetowe (2)legalny użytkownik (2)strona internetowa (2)kancelaria prawna (2)LegalTech (2)wiarygodna wiadomość (2)koszt retencji danych (2)ukierunkowana (2)promocja (2)Facebook (2)prawa producentów fonogramów (2)metawyszukiwarki (2)pobranie (1)właściwość sądu (1)odpowiedzialność za szkody (1)geoblokowanie (1)dyrektywa 2011/77/UE (1)screening (1)klasyfikacja nicejska (1)operator usług kluczowych (1)Coditel no. 1. (1)stosowne wynagrodzenie (1)jurysdykcja (1)baza EBD (1)sprzedaż serwisu (1)usługi dotyczące opakowań z cudzym znakiem (1)ambush marketing (1)domena publiczna (1)non disclosure agreement (1)startup (1)Royal Wedding (1)Murphy (1)Creative Commons (1)Coty Germany C-360/12 (1)EUIPO (1)prawo właściwe (1)prawa do fotografii produktów (1)czytnik (1)odbiorniki RTV w pokojach hotelowych (1)ochrona prywatności (1)transmisja (1)Pez Hejduk (C-441/13) (1)YouTube (1)monitoring internetu (1)ochrona opisów produktów (1)kwalifikowany podpis elektroniczny (1)alternatywne metody rozstrzygania sporów (1)sunrise period (1)podatki (1)statystyka (1)Unijne rozporządzenie nr 2015/2424 (1)zasady etyki (1)synchronizacja (1)korzystanie z utworów w postępowaniach sądowych (1)certyfikat (1)social media (1)plagiat jawny (1)unijny znak towarowy (1)usługi płatnicze (1)ETIAS (1)loterie (1)podpis elektroniczny weryfikowany kwalifikowanym certyfikatem (1)wiarygodne zawiadomienie (1)ethereum (1)UKE (1)egzemplarz (1)Procurement Explorer (1)sieci peer-to-peer (1)atak hakerski (1)fan page (1)bring your own device (1)prawo odstąpienia (1)Dostawcy treści online (1)ACTA (1)artystyczne wykonanie (1)MS Word (1)tłumaczenie (1)Proseed (1)nowa ustawa (1)samochody autonomiczne (1)cross-border portability (1)prawa artystów wykonawców (1)usługi cyfrowe (1)Deutsche Grammophon (1)domena krajowa (1)artificial intelligence (1)eksport danych (1)korzystanie z dzieła w domenie publicznej (1)e-discovery (1)partnerstwo innowacyjne (1)QC Leisure (1)Pinckney C-170/12 (1)Urząd Unii Europejskiej ds. Własności Intelektualnej (1)Google Reader (1)konkurs w internecie (1)zmowy przetargowe (1)mechanizm opt-out (1)ochrona dóbr osobistych (1)public viewing (1)dyrektywa 2009/24 (1)trade secrets (1)rozporządzenia Rady (WE) nr 44/2001 (1)OHIM (1)Aula Polska (1)odtwarzanie muzyki w miejscach publicznych (1)ochrona wizerunku (1)rejestracja domen (1)prawo do nadań (1)odpowiedzialność pośredników (1)kwalifikowany certyfikat (1)nadawcy radiowi i telewizyjni (1)ICANN (1)wprowadzenie do obrotu (1)BSA (1)ograniczenia przeniesienia praw (1)plagiat ukryty (1)WIPO (1)trwały nośnik (1)cyfrowa transformacja (1)ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (1)Europejski Trybunał Praw Człowieka (1)aplikacja mobilna (1)plagiat (1)wspólnotowy znak towarowy (1)operatorzy witryn indeksujących (1)dane nieosobowe (1)gry hazardowe (1)podpis elektroniczny (1)umowy na odległość (1)druk 3D (1)smart contracts (1)adaptacje filmowe utworów (1)patent (1)serwis społecznościowy (1)RODO w ubezpieczeniach (1)koszty cloud computing (1)BYOD (1)ustawa inwigilacyjna (1)Jednolity rynek cyfrowy (1)patenty (1)dostawcy usług cyfrowych (1)
więcej...
Poznaj inne nasze serwisy

Blog W ramach regulacji
Blog EuroZamowienia.pl
Blog kodeksWpracy.pl
Blog PrzepisNaEnergetyke.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.Akceptuję