Podpis pod zdjęciem w NK - uzasadnienie wyroku WSA w Warszawie (sygn. II SA/Wa 1495/08)

No właśnie. Otrzymałem od skarżącego skan wyroku z uzasadnieniem, ale istotnie uzasadnienie wyroku w sprawie danych osoby fizycznej, która domaga się usunięcia podpisu pod zdjęciem opublikowanym przez osobę trzecią w serwisie Nasza-klasa, opublikowano również w centralnej bazie orzeczeń sądów administracyjnych. Dlatego po prostu przywołam to uzasadnienie wyroku WSA w Warszawie z 3 marca 2009 r. (sygn. II SA/Wa 1495/08)

Wcześniej kilka linków do wcześniejszych tekstów poświęconych tej sprawie, które zebrałem w dziale dane osobowe niniejszego serwisu: WSA w Warszawie: podpis pod zdjęciem w Naszej Klasie to jednak dane osobowe (to o samym wyroku, zaś komentarze mediów komentowałem w tekście Dziennikarze całkiem się pogubili...), WSA zbada decyzję GIODO w sprawie danych gromadzonych w Naszej-klasie (tu zapowiedź wydania wyroku), GIODO: imię, nazwisko, zdjęcie, szkoła, klasa i rocznik - łącznie - nie są danymi osobowymi... (tu o samej decyzji, drugiej już w tej sprawie, która potem była zaskarżona), Dalsze boje o usunięcie danych z Naszej-klasy (sąd i prokuratura wydały postanowienia) (to materiał z sierpnia 2008 r), również Dane osobowe w Naszej-klasie: GIODO odmówił uwzględnienia wniosku skarżącego i Dane osobowe w serwisach społecznościowych - decyzję warto rozpatrzyć raz jeszcze. Jest tego zresztą więcej, a zainteresowani znajdą odesłania w podlinkowanych wyżej tekstach.

Co znajdziemy w wyroku i uzasadnieniu Wojewódzkiego Sądu Administracyjnego w Warszawie? Dokładnie to:

Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Jacek Fronczyk, Sędziowie WSA Bronisław Szydło, Przemysław Szustakiewicz (spr.), Protokolant Agnieszka Kolasa, po rozpoznaniu na rozprawie w dniu 3 marca 2009 r. sprawy ze skargi T. W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2008 r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżoną decyzję 2. zaskarżona decyzja nie podlega wykonaniu w całości 3. przyznaje ze środków budżetowych Wojewódzkiego Sądu Administracyjnego w Warszawie na rzecz adwokata M. M. kwotę 240 zł (słownie dwieście czterdzieści) oraz kwotę 52,80 zł (słownie pięćdziesiąt dwa osiemdziesiąt) stanowiącą 22% podatku od towarów i usług, tytułem nieopłaconej pomocy prawnej udzielonej z urzędu

Uzasadnienie

Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 22 w zw. z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), decyzją z dnia [...] maja 2008 r. nr [...], po przeprowadzeniu postępowania administracyjnego w sprawie skargi T. W. dotyczącej przetwarzania jego danych osobowych przez N. Sp. z o.o. z siedzibą we W., odmówił uwzględnienia wniosku.

W uzasadnieniu organ wskazał na następujący stan faktyczny. T. W. zwrócił się w dniu [...] stycznia 2008 r. do Generalnego Inspektora Ochrony Danych Osobowych ze skargą w sprawie przetwarzania jego danych osobowych przez N.Sp. z o.o. z siedzibą we W., właściciela strony internetowej [...]. Skarżący poinformował, iż na stronie internetowej [...] zamieszczono zdjęcie [...] na którym on się znajduje. Pod zdjęciem wymieniono imiona i nazwiska znajdujących się na nim osób (również skarżącego), w sposób pozwalający na ustalenie wizerunku skarżącego na powyższej fotografii. W związku z powyższym skarżący kilkakrotnie zwracał się do portalu [...] z żądaniem usunięcia podpisu pod zdjęciem. Spotkał się jednak z brakiem reakcji ze strony ww. podmiotu. W wyniku przeprowadzonego postępowania Generalny Inspektor Ochrony Danych Osobowych ustalił, iż w dniu [...] grudnia 2007 r. zarejestrowany użytkownik ww. portalu opublikował tam zdjęcie [...]. Następnie inny zarejestrowany użytkownik, tego samego dnia, umieścił pod ww. fotografią imiona i nazwiska części osób znajdujących się tam - w tym dane skarżącego. Skarżący bezskutecznie żądał w dniu [...] stycznia 2008 r. od N. Sp. z o.o. usunięcia jego danych osobowych. Organ, powołując się na treść przepisów ustawy o ochronie danych osobowych, stwierdził, iż informacje o imieniu i nazwisku skarżącego oraz szkole i klasie, do której uczęszczał w połączeniu z jego wizerunkiem są danymi osobowymi, zaś administratorem tych danych jest N. Sp. z o.o. Należy jednak mieć na uwadze, iż podmiot ten na podstawie ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z późn. zm.) świadczy na rzecz zarejestrowanych użytkowników portalu usługę drogą elektroniczną, polegającą na przechowywaniu danych tychże użytkowników w systemie teleinformatycznym. Ta działalność Spółki stanowi przesłankę legalizującą przetwarzania danych osobowych, zgodnie z art. 23 ust. 1 pkt 5 ustawy. Ponadto organ stwierdził, iż w niniejszej sprawie nie zostały naruszone prawa skarżącego, ponieważ dostęp do jego danych jest ograniczony do grupy osób zarejestrowanych na powyższym portalu.

W dniu [...] czerwca 2008 r. T. W. wniósł o ponowne rozpatrzenie sprawy. W uzasadnieniu skarżący wskazał, iż uzasadnienie decyzji I instancji zawiera wiele sprzeczności, nieścisłości i jest niejednoznaczne. Zarzucił organowi pobieżne i lakoniczne potraktowanie jego sprawy. Ponownie podkreślił, iż jego dane osobowe zostały opublikowane na portalu [...] bez jego wiedzy i zgody, co narusza jego prawa i wolności obywatelskie.

Po rozpoznaniu powyższego wniosku Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] września 2008 r. nr [...] uchylił zaskarżoną decyzję z dnia [...] maja 2008 r. oraz umorzył postępowanie. W uzasadnieniu organ wskazał, iż ponowna analiza sprawy prowadzi do wniosku, że kwestionowane informacje o skarżącym nie mieszczą się w definicji danych osobowych. Należy bowiem wziąć pod uwagę, iż imię i nazwisko skarżącego zostało podane pod jego wizerunkiem sprzed wielu lat. Stąd też samo zestawienie zdjęcia z dalekiej przeszłości wraz z imieniem i nazwiskiem określonej osoby oraz szkoły podstawowej, do której uczęszczała nie pozwala na identyfikację tej osoby bez nadmiernych kosztów i czasu. Ustalenie zaś, że kwestionowane dane nie stanowią danych osobowych w rozumieniu cyt. ustawy powoduje, że postępowanie w tym przedmiocie stało się bezprzedmiotowe i na podstawie art. 105 § 1 kpa należało je umorzyć.

Powyższa decyzja stała się przedmiotem skargi T. W. do Wojewódzkiego Sądu Administracyjnego w Warszawie. Skarżący wniósł o uchylenie decyzji I i II instancji. Zarzucił organowi naruszenie prawa materialnego, tj. art. 6 ust. 1 ustawy o ochronie danych osobowych, poprzez jego niewłaściwą interpretację, art. 32 ust. 1 pkt 7 i 8 cyt. ustawy poprzez uznanie, że skarżącemu nie przysługuje żądanie zaprzestania przetwarzania jego danych i prawo sprzeciwu oraz naruszenie art. 7 kpa poprzez niewyjaśnienie stanu faktycznego sprawy. Nie zgodził się z twierdzeniem organu, iż kwestionowane informacje o nim nie stanowią danych osobowych w rozumieniu ustawy. Stwierdził, iż każda informacja na temat osoby zidentyfikowanej lub dającej się zidentyfikować stanowi dane osobowe. Ponadto twierdzenie organu, iż jego dane są dostępne tylko dla określonego kręgu osób - zarejestrowanych użytkowników portalu, jest nie do przyjęcia, ponieważ ww. portal nie posiada żadnych mechanizmów weryfikacji tożsamości, co powoduje, iż jest on łatwo dostępny dla każdego. Ponadto zwrócił uwagę, iż o ile pewne trudności ze zidentyfikowaniem jego osoby miałby zarejestrowany użytkownik, który go nie zna, o tyle takich przeszkód nie doznałaby osoba, również zarejestrowana, która go zna i poszukuje o nim dodatkowych informacji.

W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji.

W dniu 11 grudnia 2008 r. wpłynęło do Sądu pismo uczestnika postępowania N. Sp. z o.o., w którym strona wyraziła pogląd, poprzedzony długim wywodem prawnym, iż zaskarżona decyzja została wydana zgodnie z prawem, ponieważ znajdujące się na stronie internetowej [...] informacje dotyczące skarżącego nie stanowią danych osobowych w rozumieniu art. 6 ustawy o ochronie danych osobowych.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Na podstawie art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), do rozpoznania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona.

Natomiast zgodnie z treścią art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.

Rozpoznawana po tym względem skarga zasługuje na uwzględnienie.

Przypomnieć należy, że w zaskarżonej decyzji Generalny Inspektor Ochrony Danych Osobowych, kierując się treścią art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (zwana dalej uodo), uznał, iż informacje o imieniu i nazwisku skarżącego w połączeniu z informacjami o nazwie i adresie szkoły podstawowej oraz oznaczeniu klasy, do której uczęszczał [...] nie są danymi osobowymi. Analiza stanu faktycznego bowiem prowadzi do wniosku, że powiązanie tych informacji z informacjami o T. W. obecnie wymaga niewspółmiernego zaangażowania kosztów, czasu i działań. Inaczej mówiąc, zdaniem organu, czynnikiem decydującym o tym, czy mamy do czynienia z danymi osobowymi, czy też nie, jest powiązanie informacji z przeszłości określonej osoby z jej obecną sytuacją. Takie stanowisko jest błędne.

Na wstępie należy tu wskazać, że art. 1 uodo wyraźnie wprowadza zasadę autonomii informacyjnej człowieka oznaczającą ochronę informacji o nim. Przepis ten "stanowi swego rodzaju emanację ogólnego prawa gwarantowanego Konstytucją (art. 47), w myśl którego "Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym". Spostrzeżenie to oparte jest na założeniu, iż dane osobowe są niejako częścią życia prywatnego lub rodzinnego, względnie że posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję decydowania o swoim życiu osobistym" (W. Barta [w:] Komentarz do art.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926), [w:] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, LEX, 2007). Oznacza to zatem, że ochrona danych osobowych jest powiązany z ochroną prawa do prywatności człowieka. Wynika to z treści art. 6 uodo wskazującego, w ust. 1, że dane osobowe dotyczą identyfikowanej lub możliwej do zidentyfikowania osoby fizycznej lub prawnej i w ust. 2, że możliwa do zidentyfikowania jest taka osoba, której można określić tożsamość. Z treści przytoczonego przepisu można zatem wnioskować, że danymi osobowymi są takie dane, które identyfikują tożsamość danej osoby. Przyjąć więc należy, że dla identyfikacji, jako przesłanki określającej dane osobowe, kluczowe znaczenie ma kwestia określenia tożsamości danej osoby.

Pojęcie "tożsamość" nie jest określone w przepisach cyt. ustawy z dnia 29 sierpnia 1997 r. Oznacza to, że interpretując je należy sięgnąć do wykładni językowej, która przez "tożsamość" rozumie "świadomość siebie swoich cech i własnej odrębności (Uniwersalny Słownik Języka Polskiego pod red. S. Dubicza Warszawa 2003, s. 96; podobnie Słownik Języka Polskiego zamieszczony na portalu internetowym gazeta.pl.). Z kolei tożsamość osobista jest określana jako - bycie tym samym człowiekiem (tą samą osobą), bycie sobą, bycie tym za kogo się podajemy. Tożsamość to więcej, niż identyczność, jednakowość (Wikipedia - wolna encyklopedia). W języku polskim pojęcie "tożsamość" oznacza więc cechy, które stanowią o tym kim dana osoba jest, czym różni się od innych. Na tak rozumianą tożsamość składa się nie tylko to, kim się jest obecnie, ale także to kim się było, a nawet zamierzenia na przyszłość, wszystko to powoduje, że dana osoba różni się od innej. Jeśli jeszcze powiążemy kwestie określenia tożsamości danej osoby z tym, że ochrona danych osobowych dotyczy także ochrony prywatności, to tym bardziej oczywiste jest, iż ochrona ta dotyczy także informacji dotyczących przeszłości określonego człowieka.

Warto także wskazać, iż w motywie 12 dyrektywy 96/45WE Parlamentu Europejskiego i Rady z dnia 25 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. UE. L. 95. 281. 31 ze zm.) położono nacisk na ochronę całości danych dotyczących danej osoby, a więc i informacji dotyczących jej przeszłości. Natomiast w motywie dyrektywy 26 stwierdzono, że zasady ochrony danych muszą odnosić się do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób. W celu ustalenia, czy daną osobę można zidentyfikować, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby. Zasady ochrony danych nie mają zastosowania do danych, którym nadano anonimowy charakter w taki sposób, że podmiot danych nie będzie mógł być zidentyfikowany. Zidentyfikowanie danej osoby dotyczy więc także przeszłych informacji o określonym człowieku, przez które to informacje można zdobyć wiedzę o jego tożsamości. Należy więc uznać, że prawo europejskie rozumie ochronę danych osobowych także jako ochronę wszystkich faktów dotyczących przeszłości określonego człowieka.

Należy zatem przyjąć, iż zgodnie z treścią art. 6 ust. 2 uodo o tym, czy mamy do czynienia z danymi osobowymi, decydują nie tylko wiadomości dotyczące aktualnej sytuacji osoby fizycznej, ale także informacje odnoszące się do tego co robiła i kim była w przeszłości. Oznacza to, że również takie dane podlegają ochronie przewidzianej w ustawie o ochronie danych osobowych.

Należy także podnieść, że w rozpatrywanej sprawie na portalu internetowym [...] ujawniono wizerunek oraz imię i nazwisko skarżącego. Są to bez wątpienia dane osobowe, które podlegają ochronie z ustawy z dnia 29 sierpnia 1997 r., bowiem na ich podstawie można zidentyfikować osobę.

W tej sytuacji nie można uznać, że w rozpatrywanej sprawie informacje o T. W. zamieszczone na portalu internetowym [...] nie są danymi osobowymi w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, a w konsekwencji tego uznać, iż sprawa jako bezprzedmiotowa podlega umorzeniu. W sprawie, jak wykazano powyżej, mamy do czynienia z danymi osobowymi, a więc organ powinien rozpoznać merytorycznie wniosek skarżącego o ponowne rozpoznanie sprawy zakończonej decyzją z dnia [...] maja 2008 r.

Mając powyższe na względzie, na podstawie art. 145 § 1 pkt 1 lit. a i c ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), Wojewódzki Sąd Administracyjny w Warszawie orzekł, jak w sentencji wyroku. O wykonalności zaskarżonej decyzji Sąd orzekł na podstawie art. 152 powołanej ustawy - Prawo o postępowaniu przed sądami administracyjnymi, a w sprawie kosztów na mocy art. 250 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnym.