Z uzasadnienia wyroku w sprawie o naruszenie dóbr osobistych przez nieudostępnienie danych

zakładanie konta w serwisie NKW jednym z wcześniejszych tekstów sygnalizowałem wyrok Sądu Okręgowego we Wrocławiu z dnia 23 lipca 2010 roku (sygn. I C 144/10): powództwo wytoczył mężczyzna, którego dane, w tym wizerunek, zostały wykorzystane do stworzenia w serwisie Nasza-klasa.pl fałszywego profilu, przy czym dodatkowo w profilu pojawiły się określenia, które - w oczach powoda - stanowiły naruszenie jego dóbr osobistych. Pisałem wówczas również: "Czekamy na uzasadnienie wyroku, gdyż może ono być niezwykle interesujące". Dziś znam już uzasadnienie wyroku. Wiem również, czego domagał się powód, a domagał się m.in.: "przeprosin i zapłaty w związku z naruszeniem jego dóbr osobistych poprzez to, że strona pozwana odmówiła powodowi udostępnienia danych osobowych osoby, która założyła fałszywy profil, a ponadto dopuściła do powstania takiego profilu, który został zlikwidowany dopiero po kilku prośbach powoda...". Lektura uzasadnienia stwarza kolejne pytania dotyczące zasad ochrony dóbr osobistych na gruncie przepisów Kodeksu cywilnego, ale nie tylko takie pytania się pojawiają...

Uzasadnienie wyroku ma 23 strony tekstu. Poza problematyką zagrożenia lub naruszenia dóbr osobistych sprawa dotyczy również odpowiedzialności dostawcy usług świadczonych drogą elektroniczną, w szczególności interpretacji przepisów art. 14 ustawy o świadczeniu usług drogą elektroniczną (warunkowe nieponoszenie odpowiedzialności przez hostującego usługi). Sprawa również ma istotne znaczenie dla ustalenia obowiązków podmiotów prowadzących tzw. "serwisy społecznościowe" (z braku lepszej nazwy), w szczególności wyrok w tej sprawie to element dyskusji na temat konieczności (lub braku konieczności) weryfikowania prawdziwych danych osób, które zakładają w internetowych serwisach konta. W efekcie wyrok, poza samym systemem dóbr osobistych, dotyczy kwestii znacznie szerszej, tj. prawa (czy istnieje takie?) do anonimowej komunikacji. Dziś jest tak, że nie tylko w serwisie Nasza klasa tożsamość zakładających konta nie jest sprawdzana, a po założeniu konta nie jest weryfikowana (w jaki sposób miałoby to nastąpić? na podstawie dowodu osobistego, bezpiecznego podpis elektronicznego, który ujawniałby również tożsamość podmiotu dokonującego interakcji z serwisem?).

W tej sprawie - na co warto również zwrócić uwagę - pojawia się też kwestia retencji pewnych danych telekomunikacyjnych, a w szczególności problematyka gromadzenia danych na temat numerów IP osób (w różnym czasie i przy różnych okolicznościach - co istotne) łączących się z serwisem internetowym w celu założenia konta w takim serwisie lub w celu logowania się na już założone. Oto - jak wynika z uzasadnienia wyroku - powód w pewnym momencie domagał się od świadczącego usługę: "udostępnienie danych osobowych osoby, która stworzyła ww. profil fikcyjny i jednocześnie udostępniła jego dane osobowe, w tym adres e-mail, numer IP komputera, z którego utworzono ten profil, celem złożenia prywatnego aktu oskarżenia". To - jak się wydaje - dość istotny niuans. Wedle informacji zawartych w uzasadnieniu wyroku: "pozwana spółka odmawiała udostępnienia powodowi powyższych danych, twierdząc, że powód nie jest do tego uprawniony". W dalszej części zaś ujawniono informację, że spółka "nie posiada danych osobowych w postaci adresów IP, z których zakładane są profile na prowadzonym przez nią portalu, dane te nie są zbierane i tym bardziej przechowywane, czy archiwizowane".

Pytanie brzmi: czy spółka powinna gromadzić takie dane, dotyczące samego aktu zakładania konta, w szczególności czy spółka powinna przechowywać (a jeśli przechowuje, to na jakiej podstawie prawnej), dane o nr IP komputera, z którego zakładane jest konto w serwisie internetowym (por. również Numer IP a identyfikacja konkretnej osoby fizycznej oraz Dyskusja o numerach IP jako danych osobowych (wyrok WSA w Warszawie))?

Kolejne pytanie brzmi: czy taki numer IP identyfikuje jakąkolwiek osobę?

Kolejne zaś: czy osoba, która realizuje uprawnienia wynikające z obowiązków informacyjnych w zakresie przetwarzania danych osobowych ma również możliwość domagania się udostępnienia w trybie ustawy o ochronie danych osobowych informacji niedotyczących jego osoby (jak np. danych o nr IP komputera, z wykorzystaniem którego osoba trzecia założyła "profil" ew. godzący w dobra osobiste oraz ew. prowadzący do przetwarzania danych osobowych (kto przetwarza te dane to sprawa - jak się wydaje - nadal otwarta: czy jest nim hostujący, czy - w ramach udostępnionej infrastruktury - osoba zakładająca profil).

Ważny dla tej sprawy przepis art. 33 ustawy o ochronie danych osobowych brzmi:

1. Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, a w szczególności podać w formie zrozumiałej:
1) jakie dane osobowe zawiera zbiór,
2) w jaki sposób zebrano dane,
3) w jakim celu i zakresie dane są przetwarzane,
4) w jakim zakresie oraz komu dane zostały udostępnione.

2. Na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie.

Przepis ten mówi o wniosku osoby, której dane dotyczą, a więc administrator danych powinien 1. znać tożsamość osoby, która wniosek składa, 2. sprawdzić w swoim zbiorze, czy są tam przetwarzane dane osobowe dotyczące danej osoby. Jeśli w zbiorze tylko jeden lub kilka elementów pokrywa się z danymi wskazującymi na tożsamość domagającego się ochrony, to czy już można uznać, że taki "rekord" bazy danych dotyczy danych takiej osoby? Który to miałby być element? Czy jeśli zgadzać się będzie tylko imię, to wystarczy? Czy jeśli będzie się zgadzać imię i nazwisko, to możemy uznać, że chodzi o dane tej samej osoby?

Tu wydaje się istotne, że w "fałszywym" profilu powoda osoba trzecia umieściła, obok imienia i nazwiska, również zdjęcie (wizerunek) powoda, to zaś powoduje, że kluczowe rozważania zaczynają dotyczyć kwestii "źródła", o którym mowa w art. 32 ust. 1 pkt. 4 uodo (uprawnienie do "uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej"; tu więc również problem zakresu tajemnicy do przestrzegania której zobowiązany jest spółka hostująca).

W kolejnych ustaleniach Sądu czytamy:

(...)
Strona pozwana poinformowała Generalnego Inspektora Ochrony Danych Osobowych, że udostępni powodowi dane osobowe osoby, która założyła fikcyjny profil z danymi powoda, jeżeli wystąpi on z pisemnym wnioskiem o udostępnienie danych. Powód złożył taki wniosek, dołączając do niego kserokopię swojego dowodu osobistego. W piśmie z dnia 20 października 2009r. strona pozwana w odpowiedzi na żądanie powoda złożone na podstawie art. 32 ustawy o ochronie danych osobowych poinformowała powoda, że z przesłanego przez niego pisma nie wynika w sposób nie budzący żadnych wątpliwości, że dane zamieszczone na profilu nr YYY odnoszą się do jego osoby, a tym samym, że jest on osobą uprawnioną do otrzymania danych. W związku z tym, strona pozwana odmówiła udzielenia powodowi informacji o powyższym profilu zarejestrowanym w serwisie strony pozwanej.
(...)

Przywołany wyżej art. 32 ustawy o ochronie danych osobowych dotyczy prawa do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych.

To już nie są tylko dywagacje teoretyczne, a stają się realnymi problemami sytuacje, w których przysłowiowy Jan Kowalski zechce poprosić o dane związane ze wszystkimi Janami Kowalskimi w serwisie, albo Kasia1985 zechce domagać się danych związanych z "kontami" wszystkich Katarzyn urodzonych w 1985 roku.

Jednocześnie - jeśli jedynymi danymi, jakie ma "serwis społecznościowy" są fikcyjne dane umieszczone w formularzu przez zakładającego konto, to tylko takie dane ma świadczący usługi. Pytany zatem o prawdziwe "imię i nazwisko zakładającego konto" spółka musiałaby mieć ponadnaturalne zdolności, aby odpowiedzieć.

Wygląda, jak "paragraf 22". Trzeba pamiętać, że sprawa nie jest prosta, a medal ma więcej niż dwie strony (por. Koordynacja działań prawnych Związku Pracodawców Branży Internetowej IAB Polska; w kontekście podlinkowanego niniejszym tekstu na temat mojej aktywności zawodowej wydaje mi się istotne, by odnotować, że NK należy do IAB Polska). Oto domagający się ochrony powinien mieć skuteczne środki ochrony swoich dóbr również w sytuacji, w której sprawa ma charakter cywilny (por. Wyrok ETPCz: prawo dochodzenia roszczeń w przypadku naruszenia prywatności). Z drugiej jednak strony świadczący usługę ma obowiązek chronić określone dane i nie udostępniać ich osobom do tego nieuprawnionym. W jaki sposób zatem świadczący usługę ma oceniać zgłaszane żądania, nie narażając się przy tym na ewentualną odpowiedzialność z art 51 ustawy o ochronie danych osobowych:

1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

"Paragraf 22" w tym przypadku dotyczy zatem nie tylko tych, którzy domagają się ochrony swych dóbr, ale również podmiotów świadczących usługi.

Trzeba tu przywołać również brzmienie art. 30 ustawy o ochronie danych osobowych, co do którego Sąd dość lakonicznie odniósł się w przywołanym niżej fragmencie uzasadnienia, że "nie zachodziły przesłanki wskazane w art. 30 ustawy, które mogłyby uzasadniać odmowę":

Art. 30. Administrator danych odmawia udostępnienia danych osobowych ze zbioru danych podmiotom i osobom innym niż wymienione w art. 29 ust. 1, jeżeli spowodowałoby to:
1) ujawnienie wiadomości stanowiących tajemnicę państwową,
2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego,
3) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,
4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.

Ustaleń sądu co do stanu faktycznego było znacznie więcej. Wydaje się jednak, że jest jedna sprawa, która gdzieś umknęła sądowi (to taki kolejny niuans):

  • GIODO nakazał pozwanej spółce udostępnienie powodowi numeru IP komputera użytego przy rejestracji fałszywego profilu. Nasza klasa nie posiada (nie gromadzi i nie archiwizuje) takich numerów, o czym poinformowała zarówno GIODO jak i powoda.
  • Policja poprosiła pozwaną spółkę o przekazanie jej numeru IP komputera z logowań na ten profil, który to numer IP został Policji niezwłocznie przekazany.

Widać z tego, że chodzi nie o te same numery IP, chociaż sąd (por. poniżej) uznał, że NK nie udostępniła danych powodowi (twierdząc, że ich nie ma), udostępniła je jednak Policji.

Chciałbym przywołać same rozważania Sądu, w części, która - jak uważam - jest dość istotna dla wszystkich podmiotów rozwijających serwisy internetowe, dla wszystkich podmiotów, które korzystają z tych serwisów oraz - tych podmiotów, które nie korzystają z serwisów, ale których dane ktoś może zdecydować się wykorzystać w takich serwisach. Krótko mówiąc - rozważania sądu w tej sprawie są istotne dla wszystkich uczestników "społeczeństwa informacyjnego" (wytłuszczenia moje):

(...)
Zgodnie z art. 23 k.c., dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach. Podstawę prawną roszczeń powoda stanowił art. 24 k.c., zgodnie z którym ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach określonych w kodeksie cywilnym może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.

W świetle przytoczonych przepisów oraz art. 6 kc. i 232 kpc. powód musiał wykazać fakt naruszenia jego dóbr osobistych przez stronę pozwaną, a gdy idzie o zgłoszone żądanie zapłaty kwoty 50 000 zł zadośćuczynienia i 600 zł odszkodowania – także winę pozwanego oraz wysokość poniesionej szkody i adekwatny związek przyczynowy (por. art. 415 k.c., art. 361 § 1 k.c.).

Ochrona dóbr osobistych przysługuje jednak uprawnionemu tylko w przypadku bezprawnego działania sprawcy. Z konstrukcji art. 24 § 1 kc. wynika, że na gruncie niemajątkowej ochrony dóbr osobistych mamy do czynienia z domniemaniem tego rodzaju działania sprawcy. Działaniem bezprawnym jest każda czynność naruszająca dobra osobiste, jeżeli nie zachodzi jedna z okoliczności wyłączających tę przesłankę, którą udowodnić musi pozwany w procesie o ochronę dóbr osobistych.

W rozpoznawanej sprawie powód domagał się ochrony jego dóbr osobistych - czci i godności, prawa do prywatności i prawa do ochrony danych osobowych. Twierdził, że do naruszenia dóbr osobistych doszło przez to, że pozwana dopuściła do umieszczenia i funkcjonowania przez pewien czas profilu godzącego w dobra osobiste powoda oraz znieważające jego osobę, zlikwidowała tenże profil dopiero po kilku prośbach powoda, a także przez to, że pozwana spółka odmówiła udostępnienia powodowi danych osobowych osoby, która założyła fałszywy profil.

Faktem powszechnie znanym jest to, że „nasza-klasa.pl” jest portalem społecznościowym, będącym platformą internetową, umożliwiającym użytkownikom nawiązywanie kontaktów, wyszukiwanie znajomych. Administratorem tego portalu jest strona pozwana, co nie było sporne w rozpoznawanej sprawie. Działalność zaś strony pozwanej polega na tym, że udostępnia ona zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorców - użytkowników portalu. Jednocześnie dane te są udostępnione w sieci Internet osobom trzecim na zasadach określonych w regulaminie. Świadcząc tego typu działalność, pozwana spółka jest zatem dostawcą usług internetowych, które obejmują przekazywanie, przechowywani i udostępnianie określonych informacji w Internecie, przy czym sama nie jest ich autorem (tzw. usługi hostingowe świadczone przez service providers - zob. G.J. Pacek, „Wybrane zagadnienia związane z odpowiedzialnością usług hostingowych”, e-Biuletyn CKBE Uniwersytetu Wrocławskiego, wersja elektroniczna). W sensie prawnym usługa taka - bez względu na stopień aktywności, czy postać, jest usługą świadczoną drogą elektroniczną, która polega na wysyłaniu i odbieraniu sygnału przez sieć telekomunikacyjną bez jednoczesnej obecności stron (art. 2 pkt 4 ustawy z dnia 18 lipca 2002r. o świadczeniu usług drogą elektroniczną), w tym także na posiadaniu statycznej strony internetowej. Usługi świadczone w ramach portali społecznościowych polegające na umożliwieniu umieszczania innym osobom różnego rodzaju treści przez użytkowników należy zatem zaliczyć do usług polegających na udostępnianiu innym osobom zasobów systemu teleinformatycznego (wspomniany wyżej hosting), których dotyczy art. 14 powyższej ustawy.

Zdaniem Sądu już na tym etapie rozważań konieczne jest wskazanie na pewne istotne kwestie, niezbędne do szczegółowej analizy zasadności twierdzeń powoda i zgłoszonych roszczeń.

Po pierwsze, strona pozwana jako dostawca usług hostingowych nie ponosi co do zasady odpowiedzialności za treść informacji przekazywanych osobom trzecim za pośrednictwem strony internetowej zlokalizowanej na administrowanych przez nią serwerach. Do istoty działalności hostingowej należy bowiem to, że dane te nie pochodzą od podmiotu świadczącego taką usługę, co także tyczy się danych zamieszczanych przez użytkowników serwisu na portalu „nasza-klasa.pl”. Niewątpliwie pozwana jest bowiem usługodawcą, który 1) nie jest inicjatorem przekazu danych; 2) nie wybiera odbiorcy przekazu danych; 3) nie wybiera oraz nie modyfikuje informacji zawartych w przekazie (por. uzas. wyroku Sądu Apelacyjnego we Wrocławiu z dnia 15 stycznia 2010r., sygn. akt I ACa 1202/09, Biuletyn Sądu Apelacyjnego we Wrocławiu 2010/2 poz. 167)

Z powyższego wynika przede wszystkim to, że nie można przypisać cechy bezprawności takiemu działaniu pozwanej, która umożliwia swoim użytkownikom zakładanie kont, w tym kont fikcyjnych. Powód nie może zatem wywodzić odpowiedzialności strony pozwanej za to, że niejako przy użyciu legalnych mechanizmów, doszło do zamieszczenia w Internecie treści naruszających jego dobra osobiste. Innymi słowy, bezprawny charakter ma jedynie działanie bezpośredniego sprawcy naruszenia (nieustalonej osoby, która zarejestrowała na portalu „nasza-klasa.pl” profil fikcyjny zawierający dane osobowe powoda, w tym jego wizerunek, w kontekście znieważających go informacji). Samo stworzenie mechanizmu w ramach działalności hostingowej pozwanej, bez wykazania szczególnych zaniedbań w zakresie realizacji obowiązków nałożonych przepisami prawa (o czym niżej) nie może uzasadniać odpowiedzialności strony pozwanej za naruszenie dóbr osobistych powoda. Przyjęcie za uzasadnione stanowiska powoda oznaczałoby zdaniem Sądu, że określona działalność pozwanej mająca charakter generalny (umożliwienie zakładania kont fikcyjnych) uzasadniałaby jej odpowiedzialność za naruszenie dóbr osobistych o charakterze zindywidualizowanym (założenie konkretnego konta fikcyjnego przez pewien podmiot naruszający dobra osobiste zindywidualizowanej osoby fizycznej). Zdaniem Sądu oznaczałoby to nieuzasadnione przerzucenie na podmiot świadczący usługi hostingowe odpowiedzialności za bezpośredniego sprawcę naruszenia dobra osobistego. Sąd miał na uwadze kontrowersje występujące w tej mierze w literaturze przedmiotu oraz trudną sytuację poszkodowanych, którzy próbują dochodzić swoich roszczeń w stosunku do usługodawców hostingu - właśnie ze względu na większą łatwość ich zlokalizowania (por. M. Wilkowska, „Wybrane zagadnienia związane z pobieraniem nielegalnych kopii utworów z Internetu”, PPH 2007 nr 12). Niemniej jednak zdaniem Sądu tak szerokie zakreślenie granic odpowiedzialności strony pozwanej nie znajduje uzasadnienia w obowiązującym stanie prawnym.

Powyższego stanowiska nie zmienia powoływany przez powoda argument dotyczący zmiany regulaminu strony pozwanej dokonanej już w toku procesu. W aktualnie obowiązującym regulaminie - po zmianie nazwy strony internetowej portalu społecznościowego prowadzonego przez pozwaną spółkę - użytkownik rejestrujący konto fikcyjne nie jest uprawniony do umieszczania w serwisie danych osobowych osób trzecich oraz wizerunku osób trzecich bez wymaganego prawem zezwolenia lub zgody tej osoby. Akceptując regulamin, użytkownik konta fikcyjnego jednocześnie oświadcza, że dane umieszczone na profilu są zgodne z prawem, w szczególności nie naruszają praw osób trzecich, umieszczenie na koncie danych osobowych, wizerunku oraz informacji, dotyczących innych osób nastąpiło w sposób legalny, dobrowolny oraz za zgodą tych osób, a użytkownik jest świadomy odpowiedzialności, jaka ciąży na nim za umieszczenie w portalu danych osobowych oraz wizerunku osób trzecich bez odpowiedniego zezwolenia. Wbrew stanowisku powoda, podane nowe regulacje regulaminowe nie zabezpieczają przed możliwym naruszeniem dóbr osobistych osób trzecich w związku z rejestracją profili fikcyjnych, a obowiązywanie powyższych zapisów w momencie rejestracji profilu fikcyjnego zawierającego dane osobowe powoda naruszające jego godność i dobre imię, nie spowodowałoby, że profil taki nie zostałby zarejestrowany. Istotnie, aktualnie strona pozwana wprowadziła w stosunku do użytkowników dokonujących rejestracji kont fikcyjnych podane wyżej wymogi. Niemniej jednak, samo tylko złożenie przez użytkowników serwisu oświadczeń chociażby o uzyskaniu zgodny osoby trzeciej na umieszczenie jej danych osobowych na profilu fikcyjnym nie oznacza jeszcze, że zgoda taka faktycznie została uzyskana, a strona pozwana dokonując rejestracji profilu nie ma w dalszym ciągu obowiązku weryfikowania tego faktu.

Przepis art. 14 ustawy o usługach elektronicznych stanowi, iż ten kto udostępnia zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie ponosi odpowiedzialności za przechowywane dane jeżeli po uzyskaniu wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych. Z regulacji tej wynika zasada, że podmiot świadczący usługi hostingowe (service provider) może uwolnić się z wszelkiej odpowiedzialności za treści umieszczane na przez użytkownika (w tym także z odpowiedzialności za naruszenie dóbr osobistych osób trzecich), między innymi pod warunkiem, że niezwłocznie podejmie kroki, aby uniemożliwić dostęp do danych, gdy otrzyma urzędowe zawiadomienie lub wiarygodną wiadomość o bezprawnym ich charakterze lub o bezprawnym charakterze działalności związanej z takimi danymi.

W rozpoznawanej sprawie zostało ustalone, że w dniu 31 marca 2009r. o godz. 22:15:09 powód poprzez formularz kontaktowy na portalu „nasza-klasa.pl” ze swojego profilu o numerze XXX w formie elektronicznej poinformował stronę pozwaną, że na fikcyjnym profilu o numerze YYY zamieszczono jego dane osobowe oraz opublikowano jego wizerunek. W zgłoszeniu poprosił o natychmiastowe usunięcie zdjęcia oraz likwidację podanego konta. Strona pozwana po dokonaniu sprawdzenia zgłoszenia podjęła decyzję o usunięciu profilu z systemu. Zabezpieczono dane na potrzeby ewentualnego postępowania sądowego. Następnego dnia, tj. 01 kwietnia 2009r., o godzinie 12:51 strona pozwana poinformowała powoda, że wskazane przez niego konto fikcyjne zostało usunięte.

Zdaniem Sądu, w zaistniałej sytuacji podjęte przez stronę pozwaną działania - zwłaszcza w kontekście praktyki stosowanej przez nią w przypadku tego typu zgłoszeń - stanowiły wystarczające spełnienie obowiązku uniemożliwienia dostępu do danych, niezwłocznie po otrzymaniu zawiadomienia powoda. Nie można w tym przypadku mówić, że pozwana spółka dopuściła się zwłoki nie mającej uzasadnienia w okolicznościach tego konkretnego przypadku.

Postępowanie dowodowe nie potwierdziło twierdzeń powoda, że profil fikcyjny został usunięty z serwisu dopiero po jego kilku prośbach. Zresztą, z takiego stanowiska powód wycofał się składając zeznania w charakterze strony, kiedy to podał, że co prawda profil usunięto po kilkunastu godzinach, ale strona pozwana dopuściła do tego, że przez pewien czas profil taki był dostępny w serwisie, co stwarzało w tym czasie ryzyko zapoznania się z jego treścią przez innych.

Sąd stwierdził, że strona pozwana nie ponosi odpowiedzialności za sam fakt funkcjonowania w prowadzonym przez nią serwisie profilu fikcyjnego zawierającego dane osobowe i wizerunek powoda naruszające jego cześć i godność od momentu jego rejestracji (najwcześniej od dnia 12 lutego 2009r.) do momentu zawiadomienia dokonanego przez powoda. W obowiązującym stanie prawnym brak jest bowiem normy nakładającej na podmioty świadczące usługi hostingowe obowiązku sprawdzania przechowywanych treści. Sąd podziela pogląd wyrażany w orzecznictwie sądów powszechnych, w myśl którego nie można się zgodzić z oceną, że standard zachowania, profesjonalizm, wymagał by administrator na bieżąco filtrował i usuwał wypowiedzi naruszające prawo lub mogące naruszać prawo w obiektywnym przekonaniu, bez uprzedniego o tym fakcie zawiadomienia. Stawianie pozwanemu takich wymogów byłoby sprzeczne z przepisami art. 14 i 15 w zw. z art. 12 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (zob. wyrok Sądu Apelacyjnego we Wrocławiu z dnia 15 stycznia 2010r., sygn. akt I ACa 1202/09, Biuletyn Sądu Apelacyjnego we Wrocławiu 2010/2 poz. 167). Także przedstawiciele doktryny stoją na stanowisku, że świadczący takie usługi podmiot nie ma obowiązku sprawdzania przekazywanych mu do przechowania, transmisji czy wprowadzonych do części udostępnionego przez niego komputera informacji. Nie ma on - krótko mówiąc - obowiązku cenzurowania tych informacji pod kątem ich ewentualnej bezprawności (tak: A. Frań, „Komentarz do ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną” - wydanie elektroniczne, System „Lex Omega”).

Zdaniem Sądu, strona pozwana dopuściła się jednak naruszenia dóbr osobistych powoda odmawiając udostępnienia mu danych osobowych osoby, która założyła fałszywy profil godzący w jego dobra osobiste oraz znieważający jego osobę, pomimo tego, że powód był uprawniony do ich uzyskania, co zostało potwierdzone ostateczną decyzją Generalnego Inspektora Ochrony Danych Osobowych.

Z ustalonego wyżej stanu faktycznego wynika, że powód niezwłocznie po zgłoszeniu pozwanej faktu istnienia profilu naruszającego jego dobra osobiste podjął kroki zmierzające do ustalenia bezpośredniego sprawcy naruszenia i pociągnięcia go do odpowiedzialności karnej. Pozwana od początku odmawiała udostępnienia mu danych osobowych tej osoby, twierdząc, że jest on osobą nieuprawnioną. W toku postępowania administracyjnego prowadzonego ze skargi powoda przez Generalnego Inspektora Danych Osobowych uzależniła udostępnienie danych od pisemnego wniosku powoda. Niemniej jednak, kiedy taki wniosek został przez niego złożony, w dalszym ciągu odmawiała udostępnienia tych danych uzasadniając to tym, że nie jest możliwe niewątpliwe stwierdzenie, czy powód faktycznie jest osobą, której dane osobowe znalazły się na profilu fikcyjnym. Co prawda, jak zeznał powód, takie stanowisko wynikało z dokonanej przez niego w między czasie zmiany nazwiska, ale strona pozwana o tym fakcie wiedziała, a powód do pisemnego wniosku dołączył kserokopię dowodu osobistego.

Kwestia uprawnień powoda do udostępnienia mu danych osobowych bezpośredniego sprawcy naruszenia jego dóbr osobistych została ostatecznie rozstrzygnięta decyzją GIODO z dnia 05 marca 2010r. (k.120), w której organ ten nakazał stronie pozwanej udostępnienie powodowi informacji o osobie, która założyła profil o numerze YYY na stronie internetowej „nasza-klasa.pl” - w zakresie obejmującym informacje o imieniu i nazwisku, adresie poczty elektronicznej oraz adresie IP komputera, z którego założono ww. profil, nakazując jednocześnie spełnienie obowiązku, o którym mowa w art. 33 ust. 1 ustawy o ochronie danych osobowych w formie pisemnej.
W wykonaniu tej decyzji strona pozwana poinformowała powoda, że fikcyjny profil o numerze yyy w serwisie „nasza-klasa.pl” założyła osoba o imieniu „s. d.”, nazwisku „w. jestem gejem”, mająca adres poczty elektronicznej „xyz@wp.pl”. Jednocześnie spółka wyjaśniła, że nie posiada danych osobowych w postaci adresów IP, z których zakładane są profile na prowadzonym przez nią portalu, dane te nie są zbierane i tym bardziej przechowywane, czy archiwizowane
. Strona pozwana udzieliła także powodowi informacji w wykonaniu obowiązku wynikającego z art. 33 ust. 1 ustawy o ochronie danych osobowych. Tymczasem jak wynika z uzasadnienia postanowienia Sądu Okręgowego w Poznaniu z dnia 16 czerwca 2010r. w toczącym się równolegle postępowaniu karnym strona pozwana przekazała Policji numer IP, host oraz adres poczty elektronicznej osoby, która dokonała rejestracji fikcyjnego profilu zawierającego dane osobowe powoda. Dodatkowo zaś, zdaniem Sądu, sposób w jaki wykonano decyzję nosi wręcz znamiona złośliwości, a powtórzenie zawartych w profilu treści upokarzających osobę powoda z pewnością naruszało jego godność. Jest oczywistym, że nakazując pozwanej udostępnienie danych osobowych osoby, która zarejestrowała profil fikcyjny, decyzja GIODO dotyczyła danych tej osoby fizycznej (imię, nazwisko), a nie danych wpisanych do formularza rejestrowego, które były wyświetlane na zarejestrowanym profilu. Strona pozwana jako podmiot prowadzący profesjonalną działalność hostingowi, w ramach której utworzyła i utrzymuje witrynę internetową - portal społecznościowy - zgodnie z ustalonymi przez siebie regułami - powinna sobie zdawać sprawę z tego, w jaki sposób decyzja powinna być wykonana. Co więcej, pozwana wiedziała o całokształcie okoliczności dotyczącej sprawy powoda, która trwała prawie rok. W tym czasie powód wykazał się determinacją w dochodzeniu swoich praw, pomimo tego, że nie posiadając danych osobowych sprawcy, wielokrotnie stawiany był w swego rodzaju sytuacji bez wyjścia, nie tylko przez organy ścigania, ale także przez stronę pozwaną. Skoro zaś strona pozwana nie posiadała imienia i nazwiska osoby, która zarejestrowała fikcyjny profil z danymi powoda, powinna o tym poinformować powoda wyjaśniając mu ponownie ten problem i wykonać decyzję GIODO w zakresie posiadanych danych (numer IP, adres poczty elektronicznej sprawcy).

Sąd podziela pogląd Generalnego Inspektowa Ochrony Danych Osobowych, że powód był uprawniony do pozyskania od pozwanej spółki danych osobowych osoby, która wykorzystując jego dane założyła fikcyjny profil naruszający jego dobra osobiste. Zgodnie z art. 29 ust. 2 ustawy o ochronie danych osobowych, dane osobowe udostępnia się na pisemny umotywowany wniosek, chyba że przepis ustawy stanowi inaczej. Powód swój wniosek do strony pozwanej od początku motywował tym, że zamierza wykorzystać żądane dane w celu dochodzenia praw przed sądem, ewentualnie złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa. W rozpoznawanym stanie faktycznym nie zachodziły przesłanki wskazane w art. 30 ustawy, które mogłyby uzasadniać odmowę udostępnienia danych osobowych - w szczególności, nie jest uzasadnione przypuszczenie, że wskutek tego doszłoby do naruszenia w istotny sposób dóbr osób trzecich.

Co więcej, zdaniem Sądu, strona pozwana przetwarzała dane osobowe powoda zawarte na profilu fikcyjnym (imię, nazwisko, wizerunek). Tym samym, powodowi przysługiwało prawo do kontroli tych danych, a zwłaszcza prawo do uzyskania informacji o źródle, z którego pochodzą dane jego dotyczące (art. 32 ust. 1 pkt 4 ustawy o ochronie danych osobowych).

Sąd nie kwestionuje tego, że strona pozwana jako administrator danych osobowych gromadzonych w systemie teleinformatycznym zobowiązana jest zgodnie z przepisami o ochronie danych osobowych do należytej staranności w zakresie ich przetwarzania. Niemniej jednak, wzgląd na ochronę danych osobowych nie może uzasadniać odmowy realizacji przez powoda powyższych uprawnień, jakie wynikają właśnie z ustawy o ochronie dowodowych. Wątpliwości strony pozwanej co do istnienia podstaw do udostępnienia powodowi danych osobowych osoby, która założyła fikcyjny profil mogły znajdować usprawiedliwienie najpóźniej do momentu wydania decyzji przez organ ochrony danych osobowych, jakim jest GIODO. Tymczasem nawet w obliczu wiążącej pozwaną spółkę decyzji administracyjnej nakazującej udostępnienie powodowi powyższych danych, w tym numeru IP komputera, z którego założono profil, strona pozwana wykonując ten nakaz udostępniła mu dane zawarte na profilu (które to właśnie naruszały jego godność, np. podanie jego nazwiska jako „XYZ jestem gejem”), wiedząc, że nie są to dane osoby rejestrującej profil fikcyjny. Co więcej - pozwana nie podała powodowi numeru IP tej osoby, informując wprost, że nie dysponuje danymi w tym zakresie, podczas gdy w tym samym czasie numer ten przekazała policji.

Rozpatrując zgłoszone przez powoda żądania w zakresie ochrony naruszonych dóbr osobistych, Sąd miał na uwadze to, że z art. 24 § 1 zdanie 2 k.c. wynika, że w razie naruszenia dobra osobistego ten czyje dobro zostało naruszone może żądać także, aby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków. W końcowym fragmencie tego przepisu przykładowo wskazano, iż czynność potrzebna do usunięcia skutków naruszenia może polegać na złożeniu oświadczenia odpowiedniej treści i w odpowiedniej formie.

Mając na względzie ustalony w sprawie zakres i charakter naruszenia dóbr osobistych powoda, Sąd stwierdził, że nakazanie pozwanej spółce, aby w terminie 14 dni od uprawomocnienia się wyroku, wystosowała do powoda, listem poleconym, pismo zawierające przeprosiny o treści: „Nasza Klasa Spółka z ograniczoną odpowiedzialnością” Sp. z o.o. we Wrocławiu przeprasza Pana S. M., dawniej S. W., za odmowę udostępnienia danych osobowych osoby, która założyła fałszywy profil godzący w jego dobra osobiste oraz znieważający jego osobę” stanowi wystarczający środek niemajątkowej ochrony dóbr osobistych powoda. W ocenie Sądu, taki sposób usunięcia skutków naruszenia jest dostosowany do charakteru i rodzaju naruszenia dóbr osobistych powoda (uchw. SN z 30.12.1971 r., III CZP 87/71, OSN 1972, Nr 6, poz. 104). Skoro do naruszenia dóbr osobistych powoda doszło poprzez odmowę udostępnienia mu danych osobowych osoby, która założyła fikcyjny profil godzący w jego dobra osobiste oraz znieważający jego osobę, co miało miejsce w wymienianej między stronami korespondencji w tej kwestii (w formie elektronicznej i pisemnej), to odpowiednią formą oświadczenia usuwającego skutki tego naruszenia powinno być skierowanie do powoda pisma z przeprosinami o treści wskazanej w wyroku. Tym samym, zdaniem Sądu w rozpoznawanej sprawie brak było podstaw do uwzględnienia żądania powoda w tym zakresie, w którym od początku domagał się publicznych przeprosin na stronie głównej portalu „nasza-klasa.pl” (obecnie „nk.pl”). Stwierdzone w niniejszym postępowaniu naruszenie dóbr osobistych powoda, jedynie w zakresie odmowy udostępnienia danych osobowych, nie miało charakteru publicznego, co zobowiązywało Sąd do odpowiedniego zmodyfikowania formy oświadczenia usuwającego skutki dokonanego naruszenia. Publiczny charakter miało jedynie samo zarejestrowanie profilu fikcyjnego i podanie w nim danych i wizerunku powoda naruszających jego dobra osobiste i znieważających jego osobę. Za ten fakt nie ponosi jednak odpowiedzialności strona pozwana, a ewentualnie bezpośredni sprawca naruszenia dóbr osobistych powoda.

Z kolei co do żądania zasądzenia od pozwanego kwoty 50 000 zł tytułem zadośćuczynienia za krzywdę doznaną wskutek naruszenia dóbr osobistych, Sąd stwierdził, że jedynie częściowo jest ono zasadne.

Zgodnie z art. 24 § 1 zdanie trzecie k.c., ten czyjego dobro osobiste zostało naruszone na zasadach przewidzianych w kodeksie może również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. Przepis ten odsyła zatem do unormowań zawartych w art. 445 k.c. i 448 k.c. Stwierdzenie zasadności żądania powoda, co do niemajątkowej ochrony jego dóbr osobistych samo przez się nie oznacza zasadności jego żądania zapłaty zadośćuczynienia za doznana krzywdę. Fakultatywny charakter zasądzenia zadośćuczynienia („sąd może zasądzić”) stanowi jednak istotną wskazówkę, że w konkretnych okolicznościach sprawy sąd uprawniony jest ocenić, że brak dostatecznych przesłanek do uwzględnienia tego środka ochrony, czy też powodowi należy się ochrona majątkowa ale w mniejszym zakresie (uzas. wyr. SN z 16.04.2002r., V CKN 1010/00, OSNC 2003, Nr 4, poz. 56).

Powód twierdził, że krzywda, jakiej doznał w wyniku naruszenia jego dóbr osobistych polegała na tym, że wobec odmowy udostępnienia mu danych osobowych sprawcy naruszenia nie mógł on dochodzić jego odpowiedzialności. Zeznając w charakterze strony na rozprawie w dniu 18 czerwca 2010r. stwierdził, że taka postawa strony pozwanej boli go tak samo, jak zarejestrowanie fikcyjnego profilu, „a może nawet jeszcze bardziej” (k.155).

Sąd zważył, że żądanie zapłaty zadośćuczynienia w kwocie 50 000 zł powód uzasadnił także tym, że wskutek istnienia fikcyjnego profilu doznał szykan i upokorzeń, utracił przyjaciół, stał się „wyrzutkiem” społeczeństwa i był wytykany na ulicy, a w rodzinnej miejscowości został napiętnowany. Krzywdę w takim rozmiarze powód uzasadnił także tym, że wskutek zaistniałych zdarzeń popadł w konflikt z ojcem i musiał się wyprowadzić do innego miasta.

Należało jednak stwierdzić, że za powyższe następstwa dokonanego naruszenia, strona pozwana nie ponosi odpowiedzialności, w tym także w zakresie rozmiaru zadośćuczynienia za krzywdę doznaną przez powoda.

Sąd nie kwestionuje zwłaszcza tego, że powód pozostaje w konflikcie ze swoim ojcem i musiał wyprowadzić się do P. W rozpoznawanej sprawie nie miało jednak istotnego znaczenia dla rozstrzygnięcia dokonywanie szczegółowych ustaleń zmierzających do wyjaśnienia przyczyn tego konfliktu oraz jego związku z faktem zarejestrowania fikcyjnego profilu powoda. Także i w tym przypadku powód może dochodzić ochrony dóbr osobistych od bezpośredniego sprawcy naruszenia, a nie od strony pozwanej.

W tej sytuacji, w ocenie Sądu, kwota 10 000 zł stanowi dla powoda sumę odpowiednią, rekompensującą całość negatywnych odczuć psychicznych, jakich powód doznał w wyniku odmowy udostępnienia mu przez stronę pozwaną danych osobowych osoby, która zarejestrowała w serwisie „nasza-klasa.pl” profil fikcyjny godzący w jego dobra osobiste oraz znieważający jego osobę. Zdaniem Sądu, nie budzi wątpliwości wina strony pozwanej, która bezpodstawnie odmawiała udostępnienia tych danych powodowi, pomimo wydania decyzji GIODO nakazującej ich udostępnienie, co także odnosiło się do numeru IP.

W całości nie było natomiast zasadne żądanie zasądzenia od pozwanego na rzecz powoda odszkodowania w wysokości 600 zł tytułem zwrotu kosztów związanych ze zmianą nazwiska.

Zgodnie z art. 24 § 2 kc., jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych. Nie wystarczy wówczas spełnienie przesłanek ochrony z art. 24 § 1 kc., lecz muszą być równocześnie spełnione przesłanki, od których zależy odpowiedzialność odszkodowawcza, w tym fakt poniesienia szkody i jej wysokość oraz związek przyczynowy między faktem naruszenia dóbr osobistych, a powstałą szkodą. Pomijając to, że między odmową udostępnienia danych osobowych bezpośredniego sprawny naruszenia, a faktem poniesienia wydatków związanych ze zmianą nazwiska, brak jest adekwatnego związku przyczynowego w rozumieniu art. 361 § 1 kc., należało stwierdzić, że powód nie wykazał, że poniósł szkodę w takiej właśnie wysokości.

Kierując się powyższymi względami, Sąd na podstawie art. 23 i 24 § 1 kc. orzekł w punkcie I wyroku, nakazując pozwanemu złożenie w terminie 14 dni od uprawomocnienia się wyroku oświadczenia w formie i o treści podanej w sentencji.

Z kolei w punkcie II wyroku na podstawie art. 24 § 1 zd. trzecie kc. w zw. z art. 448 kc.i art. 415 kc., Sąd zasądził od pozwanego na rzecz powoda kwotę 10 000 zł tytułem zadośćuczynienia za doznaną krzywdę.

W punkcie III wyroku Sąd oddalił dalej idące żądania, a mianowicie co do żądania przeprosin w pozostałym zakresie, żądania zadośćuczynienia co do pozostałej kwoty, a także w całości co do żądania odszkodowania z odsetkami.

W punktach IV-V Sąd orzekł o kosztach postępowania na podstawie art. 100 zd. pierwsze kpc., zasądzając od strony pozwanej na rzecz powoda koszty sądowe od uwzględnionej części żądań (600 zł stałej opłaty sądowej na podstawie 26 ust. 1 pkt 3 ustawy o kosztach sądowych oraz 500 zł opłaty stosunkowej od zasądzonego zadośćuczynienia) oraz znosząc wzajemnie między stronami koszty zastępstwa procesowego.

Nota bene - zastanawiam się, jak obywatel polski miałby dochodzić swoich roszczeń (np. w sprawie o zbliżonym stanie faktycznym, jak wyżej sygnalizowany) w przypadku, gdyby konto było założone w serwisie Facebook.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

ta sprawa to legistlacyjny kozioł ofiarny

Przyznam się szczerze, że przeczytałem całość z wypiekami na twarzy, niedowierzaniem i głębokim poczuciem absurdu. Wywód sądu w zakresie odpowiedzialności jest mętny i będąc w branży trudno go zaakceptować w części obciążającej ta spółkę ponieważ zwyczajnie lekceważy dorobek rozwoju teleinformatycznego. Oprócz kryptonimu sprawy "paragraf 22" równie adekwatne byłoby określenie "czeski film" - polska wersja. Mam nieodparte wrażenie, że konstrukcja hostingu i odpowiedzialności związanej z notice and take-down nie mieści się jeszcze w głowach niezwisłych umysłów. W tym związku przyczynowo-skutkowym, jeśli dzieje się (przepraszam ale wątpliwa i naciągana) krzywda to musi być (przepraszam ale wątpliwa i naciągana) sprawiedliwość. Jeśli sąd uznaje już prawidła hostingu i współczesnych technologii (to już jakiś postęp), to jednak nie może przeboleć jego konsekwencji i tego, że konkretny zapis infrastruktury technicznej nie zawsze zamieni się automagicznie w konkretną osobę dokonującą czynu. W tym momencie system wykazuje swoją ułomność wobec rzeczywistości i nowych czasów, a przecież niedopuszczalne jest skompromitowanie wymiaru sprawiedliwości, czy państwa. Lekkim w duchu skrótem myślowym dochodzi się do przekonania, że "ktoś tu za coś musi jednak odpowiadać", a najprostszą jednostką do zidentyfikowania będzie jakiś wielki agregat danych/hosting, który z ustawowego obowiązku wykazuje namiary na siebie. Dlatego uzasadnienie o naruszeniu dóbr pozostaje kuriozalne. Bo jak obronić ten wyrok w sytuacji, gdyby dane techniczne związane z profilem zostały od początku i bez decyzji GIODO w tym zakresie lekkomyślnie udostępnione (komuś kto w dodatku występował - jak wynika z tekstu - pod różnymi personaliami), a z którymi powód nie wiele by mógł zrobić? Nie trudno wyobrazić sobie dalsze motywy działania powoda dysponującego upragnionym zapisem: 1)będzie prowadził własne poszukiwania, a przy sprzyjającej konstelacji ustali osobę i dokona pozaprocesowej vendetty. Jeśli to się nie uda, to: 2) będzie domagał się od innego dostawcy usług internetowych wydania personaliów osoby, która kryje się pod parametrem (i tu w sposób oczywisty, jako nieuprawniony odbije się cudownie od ściany) c) posądzi o naruszenie dóbr hosting, gdyż (tu zataczamy koło), gdyż nie ma jak chronić swoich dóbr. Podmiotem uprawnionym do faktycznego ustalania tożsamości byłaby Policja, zwłaszcza, że prowadzi jak można przeczytać już jakieś postępowanie. Przecież na zdrowy rozsądek firma hostingowa nie wyjdzie poza własne możliwości techniczne, albo te ogólnodostępne, a tym bardziej nie wskaże powodowi automagicznie z parametru technicznego przetwarzanych danych i w sposób nie budzący żadnych wątpliwości - tożsamości konkretnej naruszającej dobra osoby (jak miałoby to wyglądać ? Panie Nowak, obrażał Pana Kowalski z pod piątki, tyle że wynajmuje pod tą piątką w Holandii, razem z siedmioma innymi osobami mieszkanie należące do Iksińskiego, który tam czasem wpada by skorzystać z komputera). Inny absurd tej sprawy, to fakt zgody co do braku konieczności zbierania i sprawdzania takich danych technicznych w momencie przystępowania do usługi przy jednoczesnym przypisywaniu odpowiedzialności za to, że dane których się nie zgromadziło nie zostały udostępnione.
Gdyby wypunktować wynik sentencji otrzymaliśmy to, że Nasza Klasa: a) świadczy usługę hostingu w sposób zgodny z przepisami prawa, b) chroni dane swoich Użytkowników i z procesowej ostrożności nieudostępnia danych osobom postronnym, c) współpracuje z organami państwowymi udostępniając im dane w sytuacji, gdy komuś dzieje się krzywda, d) odpowiada wobec realizacji (a,b,c) powyższych.

ani powód ani sąd nie

ani powód ani sąd nie zrozumiał, że IP z którego założone konto i IP z którego później się logowało to DWA RÓŻNE IP.

Swoją drogą śmieszne jest, że powód chce IP z którego założono konto bo może to być np. IP sieci wifi w jakimś klubie do którego dostęp ma masa ludzi. Dlatego IP logowań są bardziej przydatne, można je przeanalizować i trafić w jakieś mieszkanie. Ale wszyscy zapominają, że IP to nie jest adres konkretnej osoby...tylko końcówki sieci.

Inną sprawą jest to jakim cudem administrator ma obowiązek udzielić informacji...

Ponadto łatwo sobie można wyobrazić kolesi dogadujących się i otwarzających stan faktyczny z procesu tylko po to żeby dostać kasę...

oby powód ostatecznie przegrał a zwycięży sprawiedliwość

Wystarczy, jak zwycięży sprawiedliwość

VaGla's picture

Wystarczy, jak zwycięży sprawiedliwość. Powyższa notatka wskazuje na szereg problemów, które - jak się wydaje - będą powodować kolejne problemy w stosowaniu prawa. To, co można zrobić, to ustalić, a jeśli są - propagować zasady kontaktowania się pokrzywdzonych z serwisami internetowymi.
--
[VaGla] Vigilant Android Generated for Logical Assassination

IP rejestracji = IP logowania

Sąd słusznie nie zauważył różnicy między IP rejestracji a logowania, ponieważ pierwsze logowanie jest zdarzeniem powiązanym z rejestracją (co najwyżej problem może się pojawić jeśli pierwszego logowania nie ma już z uwagi na upływ czasu).
Natomiast nawet jakby uzyskał ten adres IP, to raczej ciężko byłoby mu ustalić na jego podstawie konkretną osobę (musiałby pewnie przeprowadzić takie samo ćwiczenie jak Z NK wobec telekomu).

--
pozdrawiam
i.o.

@i.o. różnica jest i to

@i.o. różnica jest i to duża. Zauważ że po wypełnieniu formularza na nk nie zachodzi automatyczne logowanie. Trzeba jeszcze klepnąć link aktywacyjny przesłany na maila. A i to nie oznacza logowania. Może zdarzyć się tak że człowiek zaloguje się miesiąć po tym jak założy konto.

Reasumując logowanie nie równa się założenia konta.

rejestracja a logowanie

i właśnie w tym momencie jest zakończona rejestracja i przeprowadzone pierwsze logowanie.
nie widzę żadnego innego wcześniejszego momentu, który można by sensownie wyróżnić jako moment "rejestracji".

--
pozdrawiam
i.o.

Różnica może być

Teoretycznie jest możliwe, że pierwsze logowanie będzie miesiąc po założeniu konta.

Praktycznie, jeśli odpowiedź ograniczała się do "nie mamy ip z rejestracji" zamiast "nie mamy ip z którego wypełniano formularz rejestracji, ale mamy ip z którego po raz pierwszy zalogowano się na utworzone konto i było to X czasu po utworzeniu konta. Co więcej mamy ip z którego kliknięto link aktywacyjny" - to widać wyraźny brak chęci współpracy ze strony NK. Ciekawe czy mają ip z którego klikano link aktywacyjny?

Kolejna rzecz - czy jakby NAPRAWDĘ się postarali, to by nie mogli ustalić tego IP? Np. porównać logi z requestami z Apache, (które zapewne mają) np. z czasem utworzenia konta?

W standardowej konfiguracji

W standardowej konfiguracji serwera (gdyby rzeczywiście było to Apache, a nie jest*) pewnie by mieli wszelkie IP (acz nie powiązane z faktem rejestracji ani logowania, więc tutaj bezużyteczne). Jednak NK to duży portal, więc przypuszczam, że celem optymalizacji mogli powyłączać wszelkie elementy logowania żądań do serwera, które nie były im niezbędnie potrzebne do działania portalu.

* Używają lighttpd - http://antyweb.pl/zespol-nk-opowiada-o-walce-z-wydajnoscia-czyli-jak-zabito-pana-gabke/ (tam piszą o serwerach zdjęć, ale główny serwer zdaje się używać tego samego).

brak chęci współpracy? to

brak chęci współpracy? to za to zasądza się teraz zadośćuczynienia? :)

nie bądźmy śmieszni...zresztą czynnik czy "naprawdę się postarali" jest mocno ocenny...

może i mogliby się postarać, informatyk by usiadł i poszukał ale kto za to zapłaci?

brak chęci współpracy?

brak chęci współpracy? to za to zasądza się teraz zadośćuczynienia?

Nie twierdzę że w TEJ sprawie zapadł taki wyrok z tego względu. Jednak, nie patrząc daleko można znaleźć rozstrzygnięcia sądowe w których sąd uzasadnia taki a nie inny werdykt chęcią współpracy podmiotu którego platforma może służyć do naruszania cudzych praw z ofiarami tego naruszenia.

Myślę, że GIODO/powód nie musi mieć 100% wiedzy na temat mechanizmów wewnętrznych serwisów i skoro wiadomo czego oczekuje (IP), to taki serwis mógłby wyjść naprzeciw tym oczekiwaniom.

zgoda ale zobacz, że

zgoda ale zobacz, że paradoksalnie przekazanie wszystkich logowań (a nie IP z którego założono konto) jest dla powoda korzystniejsze - więcej IP = większa szansa trafienia sprawcy. Dla mnie osobiście to uzasadnienie to poszukiwanie podstawy przez sąd żeby jednak dać kasę powodowi. A na marginesie skoro toczy się postępowanie karne to powód jako strona w tym postępowaniu również ma wgląd w materiały o których mowa w uzasadnieniu (ip z logowań). Zresztą przecież dostał adres e-mail - czemu nie poszedł tym tropem?

Ten wyrok, a raczej jego

Ten wyrok, a raczej jego uzasadnienie, to paranoja.

Jeżeli powód wnioskował o adres IP z rejestracji, a nie z logowań, a taki sam wniosek poparł GIODO, to gdyby pozwany (nk) wydał IP z logowań również nie zrealizowałby w odpowiedni sposób złożonego wniosku.
NK mogłaby nawet odpowiadać za nieuprawnione udostępnienie "danych osobowych" w postaci adresu IP.

Osoby odpowiedzialne za bazy danych osobowych po stronie nk wolą dmuchać na zimne, bo to wtedy one byłyby zagrożone karą wynikając z przepisów o ochronie danych osobowych, więc nie udostępnienie adresów z logowań mnie nie dziwi i jest dalece posuniętą ostrożnością.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>