"Dane te, którymi pozwany dysponował, powód otrzymał", czyli wyrok Sądu Apelacyjnego, wygrana NK

Wiemy więcej w sprawie, o której pisałem w tekście Z uzasadnienia wyroku w sprawie o naruszenie dóbr osobistych przez nieudostępnienie danych. Otóż po wyroku Sądu Okręgowego we Wrocławiu z dnia 23 lipca 2010 roku (sygn. I C 144/10) sprawa z apelacji NK.pl trafiła do Sądu Apelacyjnego we Wrocławiu. 18. listopada zapadł wyrok (sygn. akt I ACa 1129/10), którym SA zmienił zaskarżony wyrok SO w ten sposób, że oddalił powództwo przeciwko NK w całości. Przy okazji warto odnotować, że przyjęta przez Sejm 29 października 2010 roku nowelizacja ustawy o ochronie danych osobowych usunęła z systemu prawnego dotychczas tam istniejące art. 29 i 30 ustawy. To chyba dość istotna nowela.

Same okoliczności sprawy związanej z dochodzeniem przez powoda roszczeń od NK opisałem w tekście Wyrok uznający naruszenie dóbr osobistych przez brak wskazania sprawcy publikacji. Tam też przywoływałem stanowisko powoda, którego dane, w tym wizerunek, zostały wykorzystane do stworzenia w serwisie Nasza-klasa.pl fałszywego profilu. Dodatkowo w profilu pojawiły się określenia, które - w oczach powoda - stanowiły naruszenie jego dóbr osobistych. Ponieważ powód zwrócił się do spółki z żądaniem udostępnienia danych, a spółka żądanych danych nie udostępniła - Sąd Okręgowy zasądził od spółki 10 tys. zł tytułem zadośćuczynienia i nakazał spółce przeprosić powoda za naruszenie dóbr osobistych. Ale problem w tej sprawie było m.in. to, że... spółka nie miała danych, których domagał się od nich powód. Nie mogła zatem udostępnić czegoś, czym nie dysponowała.

Tak doszło do apelacji. Relację z wyroku Sądu Apelacyjnego publikuje mec. Michał Kluska w tekście Dobra osobiste a fikcyjne konto w portalu społecznościowym (wcześniej notatka pojawiła się na stronach redagowanych przez mecenasów kancelarii Olesiński i Wspólnicy, reprezentującej NK: Dobra osobiste a fikcyjne konto w portalu społecznościowym – wyrok SA we Wrocławiu).

Generalnie wyrok jest prawomocny. Dość istotne będzie poznanie uzasadnienia wyroku SA (na razie znamy tylko motywy ustne uzasadnienia, zatem trzeba będzie poczekać na przygotowanie pisemnego uzasadnienia).

Kluczowe w tej sprawie są następujące tezy zawarte w apelacji złożonej w imieniu NK.pl:

...zachowanie pozwanego nie naruszało jakichkolwiek dóbr osobistych powoda a odpowiedzialność pozwanego jest wyłączona z uwagi na to, że:

a. działanie pozwanego nie było bezprawne, albowiem pozwany wykonał w sposób prawidłowy i takim zakresie, w jakim mógł, decyzję GIODO nakazującą udostępnienie powodowi danych osobowych osoby, która założyła fałszywy profil godzący w dobra osobiste powoda oraz znieważający jego osobę,

b. powód – wbrew ustaleniom Sądu Okręgowego – nie był uprawniony do uzyskania od pozwanego danych osobowych osoby, która założyła fałszywy profil godzący w dobra osobiste powoda oraz znieważający jego osobę, a pozwany nie znał i nie zna danych osobowych osoby, która założyła fałszywy profil powoda, oraz – wbrew ustaleniom Sądu Okręgowego – pozwany nie był obowiązany do udostępnienia powodowi ww. danych, albowiem ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nie zawiera nakazu wydania danych osobowych oraz przewiduje odpowiedzialność karną za udostępnienie danych osobowych osobom nieuprawnionym,

c. przepisy prawa nie nakładają na pozwanego, jako hostingodawcę, obowiązku gromadzenia oraz przechowywania informacji o numerze IP komputera, z którego zakładany jest profil (konto) na serwisie internetowym, który to numer 1) nie służy identyfikowaniu konkretnej osoby oraz konkretnego komputera, 2) może być dowolnie zmieniony, 3) może posłużyć wyłącznie do ustalenia adresu końcówki sieci teleinformatycznej, który to adres nie musi być związany z konkretną osobą,

d. przepisy prawa nie nakładają na pozwanego, jako hostingodawcę, obowiązku gromadzenia oraz przechowywania jakichkolwiek innych danych służących do identyfikacji użytkownika portalu społecznościowego administrowanego przez pozwanego, w tym numerów IP komputerów z logowań na profile użytkowników.

Wydaje się przy tym istotne, by odnotować fakt, że 29 października Sejm przyjął ustawę o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw. To zaś, na co szczególnie warto zwrócić uwagę, to to, że ustawa uchyla art. 29 i art. 30 ustawy o ochronie danych osobowych.

Zarówno art. 29, jak i art. 30 ustawy o ochronie danych osobowych, był elementem, który uwzględniał Sąd Okręgowy badając wcześniej sprawę przeciwko NK.

Wówczas w uzasadnieniu Sąd Okręgowy napisał m.in.:

Sąd podziela pogląd Generalnego Inspektowa Ochrony Danych Osobowych, że powód był uprawniony do pozyskania od pozwanej spółki danych osobowych osoby, która wykorzystując jego dane założyła fikcyjny profil naruszający jego dobra osobiste. Zgodnie z art. 29 ust. 2 ustawy o ochronie danych osobowych, dane osobowe udostępnia się na pisemny umotywowany wniosek, chyba że przepis ustawy stanowi inaczej. Powód swój wniosek do strony pozwanej od początku motywował tym, że zamierza wykorzystać żądane dane w celu dochodzenia praw przed sądem, ewentualnie złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa. W rozpoznawanym stanie faktycznym nie zachodziły przesłanki wskazane w art. 30 ustawy, które mogłyby uzasadniać odmowę udostępnienia danych osobowych - w szczególności, nie jest uzasadnione przypuszczenie, że wskutek tego doszłoby do naruszenia w istotny sposób dóbr osób trzecich.

Wraz z nowelizacją ustawy prawodawca usunął z systemu prawnego następujące przepisy:

Art. 29. 1. W przypadku udostępniania danych osobowych w celach innych niż włączenie do zbioru, administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
2. Dane osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1, mogą być także udostępnione w celach innych niż włączenie do zbioru, innym osobom i podmiotom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą.
3. Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że przepis innej ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie.
4. Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.

Art. 30. Administrator danych odmawia udostępnienia danych osobowych ze zbioru danych podmiotom i osobom innym niż wymienione w art. 29 ust. 1, jeżeli spowodowałoby to:
1) ujawnienie wiadomości stanowiących tajemnicę państwową,
2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego,
3) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,
4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.

W uzasadnieniu projektu ustawy można przeczytać:

(...)
W projektowanej nowelizacji proponuje się również uchylenie art. 29 ustawy. Celem zmiany jest dostosowanie przepisów ustawy do przepisów prawa UE. Komisja Europejska odnosząc się do treści art. 29 podkreślała, że zwolnienie z zasady ograniczonego celu jest dopuszczalne jedynie w celu utrzymania porządku publicznego. Przyjęto zatem, iż wiarygodne uzasadnienie potrzeby posiadania danych osobowych nie powinno stanowić samoistnej przesłanki udostępnienia danych osobie trzeciej. Uchylenie art. 29 ma również charakter porządkujący. Nieuzasadnione było poddanie odrębnemu reżimowi wyłącznie procesu udostępniania danych osobowych w celach innych niż włączenie do zbioru, w sytuacji, gdy istnieją generalne zasady – określone w art. 23 ust. 1 i art. 27 ust. 2 ustawy – regulujące legalność przetwarzania, a zatem również udostępniania danych.
(...)

Ustawa z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw została podpisana przez Prezydenta RP w dniu 18 listopada 2010 r.

Zgodnie z ustawą - do postępowań wszczętych i niezakończonych na podstawie ustawy o ochronie danych osobowych przed dniem wejścia w życie nowelizacji, stosuje się przepisy dotychczasowe.

Ustawa nowelizująca wejdzie w życie po upływie 3 miesięcy od dnia ogłoszenia (a fakt ogłoszenia można śledzić na stronach RCL).