Minął już z górą rok od wejścia w życie ustawy z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw, która uchyliła m.in. art. 29 i 30 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[1]. Uchylono więc przepisy, które – jako jedyne – regulowały pewien przejaw przetwarzania danych osobowych, jakim jest udostępnianie danych. Z perspektywy czasu ich obowiązywania można już pokusić się o sformułowanie pewnych bardziej generalnych refleksji na temat skutków, jakie ta zmiana wywarła dla praktyki ochrony danych osobowych. Na uwagę zasługuje w szczególności wpływ zmian w przepisach na praktykę udostępniania danych osobowych dla celów poszukiwania ochrony prawnej przez osoby, których prawa zostały naruszone.

W tego rodzaju stanach faktycznych, Generalny Inspektor Ochrony Danych Osobowych (GIODO) przyjmował konsekwentnie, że konieczność wskazania w pozwie danych osobowych osoby pozwanej uzasadnia wiarygodną potrzebę posiadania danych osobowych. Jako reprezentatywną dla tej linii orzeczniczej wskazać można decyzję GI-DEC-DS-28/04 z dnia 9 lutego 2004 r. GIODO przyjmował więc w swoich decyzjach, że podmiot, który zamierza dochodzić ochrony swoich praw przed sądem, działa w warunkach prawnie usprawiedliwionego celu przetwarzania danych osobowych niezbędnych do wskazania osoby pozwanej w piśmie inicjującym postępowanie sądowe w sprawie[2]. Tym samym podmiot taki dysponował podstawą prawną dla przetwarzania danych osobowych osoby pozwanej. Pogląd ten był również akceptowany w doktrynie – podkreślano w szczególności, że dopuszczalnym jest przetwarzanie danych osobowych na podstawie art. 23 ust. 1 pkt 5 Uodo w związku z dochodzeniem roszczeń w ogólności, nie tylko zaś roszczeń z tytułu prowadzonej działalności gospodarczej[3]. W sytuacji natomiast, w której podmiot ten nie dysponował danymi osobowymi pozwanego, konieczność wskazania w pozwie danych osobowych osoby pozwanej uzasadnia wiarygodną potrzebę posiadania danych osobowych. W konsekwencji podmiot, który takimi danymi dysponował, winien je udostępnić osobie żądającej tychże danych, na zasadzie art. 29 ust. 2 Uodo.

Przedmiotowe stanowisko GIODO podzielały również sądy administracyjne. Tytułem przykładu wskazać można wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 26 października 2009 r., sygn. II SA/Wa 1759108. Co więcej, orzecznictwo sądowe szło nawet o krok dalej. Przyjmowano mianowicie, że art. 29 Uodo umożliwia udostępnienie danych także wówczas, gdy dane te podlegają dalej idącej ochronie, niżby wynikała z przepisów samej Uodo. Chodzi tutaj o przypadki, gdy dane osobowe chronione były tajemnicą zawodową, np. tajemnicą telekomunikacyjną. Ma to istotne znaczenie w sytuacji, gdy podmiot praw dysponuje wyłącznie adresem IP potencjalnego naruszyciela i poszukuje jego danych osobowych w celu wytoczenia powództwa. Te dane są w posiadaniu przedsiębiorcy telekomunikacyjnego świadczącego usługę dostępu do sieci Internet, podlegają jednak ochronie jako informacje objęte tajemnicą telekomunikacyjną, na zasadzie art. 159 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne[4]. W tego rodzaju stanie faktycznym Naczelny Sąd Administracyjny w wyroku z dnia 5 lutego 2008 r., sygn. I OSK 37/07, wskazał, że brzmienie art. 161 ust. 1 zd. 2 Prawa telekomunikacyjnego prowadzi do wniosku, iż przetwarzanie danych objętych tajemnicą telekomunikacyjną może odbywać się w oparciu o przesłanki określone w innych aktach prawnych rangi ustawowej. Zdaniem NSA, takimi przepisami odrębnymi, które upoważniają do przetwarzania danych osobowych, są m. in. przepisy Uodo, co stanowiło podstawę dla dopuszczalności udostępniania danych osobowych objętych tajemnicą telekomunikacyjną na podstawie art. 29 ust. 2 Uodo. Analogiczny pogląd wyrażony został w prawomocnym wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 lutego 2010 r., sygn. II SA/Wa 1598/09, w którym WSA nakazał przedsiębiorcy telekomunikacyjnemu udostępnienie danych osobowych osoby korzystającej z usługi dostępu do sieci Internet. Pogląd taki aprobowany był również w nauce prawa[5].

Konsekwencją takiego stanu rzeczy była praktyka polegająca na udostępnianiu, na warunkach określonych wart. 29 ust. 2 Uodo, informacji o osobach, w stosunku do których zamierzano wszcząć postępowanie cywilne. Wraz z upływem czasu dostrzegalna była jednak ewolucja w podejściu GIODO oraz sądów administracyjnych do możliwości nakazania udostępniania przez GIODO danych osobowych objętych tajemnicą telekomunikacyjną[6]. Po uchyleniu art. 29 ust. 2 Uodo sądy administracyjne stanęły na stanowisku, zgodnie z którym uchylony przepis nie stanowił podstawy prawnej dla udostępniania danych osobowych objętych tajemnicą telekomunikacyjną.

Wraz z wejściem w życie ustawy z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw, uchylony został art. 29 i powiązany z nim art. 30 Uodo. Powstaje więc pytanie, czy po 7 marca 2011 r. istnieją podstawy prawne dla udostępniania danych osobowych sprawców naruszeń praw własności intelektualnej w Internecie, celem wytoczenia przeciwko nim powództwa.

W literaturze zwrócono uwagę, że po uchyleniu art. 29 i 30 Uodo, udostępnienie danych osobowych na wniosek podmiotu, który nie legitymuje się szczególną podstawa prawną dla udostępnienia danych osobowych, a takim podmiotem jest właśnie ten, kto zamierza wytoczyć powództwo cywilne, wymaga istnienia prawnie usprawiedliwionego celu nie tylko po stronie wnioskodawcy, ale również po stronie podmiotu udostępniającego dane[7]. Z systemu prawnego został bowiem usunięty przepis, który umożliwiał udostępnianie danych w razie wiarygodnego uzasadnienia potrzeby posiadania danych. Z tego względu, dopuszczalność udostępniania danych osobowych powinna być oceniana na gruncie ogólnych podstaw prawnych przetwarzania danych, tj. na podstawie art. 23 ust. 1 albo art. 27 ust. 2 Uodo. Skoro więc osoba, której dane dotyczą, nie wyraziła zgody na udostępnienie jej danych osobowych, a na takie udostępnienie nie zezwala żaden szczególny przepis prawa, istotnie jedyną możliwością legalnego udostępnienia danych stanowi powołanie się na art. 23 ust. 1 pkt. 5 Uodo. Przytoczony wyżej pogląd wydaje się jednak dyskusyjny, jako że w art. 23 ust. l pkt 5 Uodo w sposób wyraźny odwołano się do prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych. Użycie spójnika „albo” przesądza, że istnienie prawnie usprawiedliwionego celu po stronie odbiorcy danych (tutaj: podmiotu wnioskującego o udostepnienie danych) jest wystarczającym dla przyjęcia dopuszczalności przetwarzania danych osobowych na podstawie art. 23 ust. 1 pkt. 5 Uodo. Przetwarzania, a więc również udostępniania, jako że udostępnianie danych osobowych jest jedną z postaci przetwarzania danych. Co więcej, próba poszukiwania prawnie usprawiedliwionego celu po stronie podmiotu udostępniającego dane osobowe w celu wytoczenia powództwa przez odbiorcę danych z zasady skazana byłaby na porażkę. W tym przypadku bowiem udostępnianie i dalsze przetwarzanie danych odbywa się wyłącznie w interesie odbiorcy danych – podmiotu wnioskującego o udostępnienie danych – nie można więc mówić o istnieniu jakiegokolwiek prawnie usprawiedliwionego celu po stronie podmiotu, który dane udostępnia. Uchylenie art. 29 Uodo przesądziło również – niezależnie od zmiany linii orzeczniczej sądów administracyjnych – brak możliwości udostępniania na jego podstawie danych osobowych objętych tajemnicą telekomunikacyjną[8]. Stan ten jest przy tym o tyle niekorzystny dla możliwości dochodzenia roszczeń związanych z ochroną własności intelektualnej, że w prawie państw – członków Unii Europejskiej ochrona informacji o osobie korzystającej z usług telekomunikacyjnych na zasadach tajemnicy zawodowej jest rozwiązaniem spotykanym bardzo rzadko. W sytuacji więc, gdy z przepisów prawa wspólnotowego nie wynika obowiązek ustanowienia procedury udostępniania danych osobowych na potrzeby postępowania cywilnego[9], a dane te w prawie polskim chronione są tajemnicą telekomunikacyjną, powstaje rażąca dysproporcja pomiędzy ochroną prawa do prywatności z jednej strony, a ochroną innego konstytucyjnie gwarantowanego prawa, jakim jest prawo własności, z drugiej strony. Nie istnieje bowiem w chwili obecnej na gruncie przepisów Uodo procedura, która umożliwiałaby udostępnianie danych osobowych objętych tajemnicą telekomunikacyjną na potrzeby postępowania cywilnego.

Uchylenie art. 29 i 30 Uodo może wywołać dodatkowy, niekorzystny skutek dla możliwości uzyskiwania danych osobowych dla celów prowadzonych postępowań cywilnych, w tym dla samego wytoczenia powództwa. Mianowicie, art. 29 ustawy interpretowany był w ten sposób, że w razie odmowy udostępnienia danych osobowych przez administratora danych, wnioskodawca mógł zwrócić się do GIODO, który uprawniony był do wydania decyzji administracyjnej nakazującej udostępnienie danych[10]. Podstawą prawną wydania przez GIODO decyzji nakazującej udostępnienie danych był w tym wypadku art. 18 ust. 1 Uodo, zgodnie z którym w przypadku naruszenia przepisów o ochronie danych osobowych GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem. Skoro więc nieudostępnienie danych osobowych na podstawie art. 29 ust.2 Uodo uzasadniało władczą ingerencję GIODO, a taka władcza ingerencja możliwa była wyłącznie w przypadku naruszenia przepisów o ochronie danych osobowych, pośrednio przyjmowano więc w ten sposób, że art. 29 ust. 2 Uodo kreuje obowiązek udostępnienia danych osobowych, którego wykonanie podlegało ochronie prawnej w postępowaniu przed GIODO. Tymczasem uchylenie art. 29 Uodo tą podstawę prawną usunęło[11].

W stanie prawnym obowiązującym obecnie Uodo przewiduje wyłącznie uprawnienie do przetwarzania danych osobowych w celu wytoczenia powództwa o ochronę dóbr osobistych. Nie przewiduje jednak – wobec uchylenia art. 29 ust. 2 Uodo – obowiązku udostępniania danych. Z tego względu wydaje się, że GIODO nie jest obecnie uprawniony do nakazania udostępnienia danych osobowych[12]. W nauce prawa wyrażony został również pogląd odmienny, zgodnie z którym odmowa udostępnienia danych osobowych stanowi naruszenie przepisów o ochronie danych osobowych i jako taka uzasadnia władczą ingerencję ze strony GIODO[13]. Uzasadnieniem dla takiego stanowiska jest przyjęcie, że pozbawienie GIODO możliwości nakazania udostępnienia danych osobowych prowadziłoby do całkowitej dowolności w ocenie dopuszczalności udostępniania danych, a tym samym do często nieuzasadnionego odmawiania udostępniania danych. Żaden z tych poglądów nie doczekał się jeszcze weryfikacji sądowej[14]. Podkreślić jednak należy, że w praktyce orzeczniczej GIODO w dalszym ciągu wydawane są decyzje administracyjne nakazujące udostępnienie danych osobowych na potrzeby prowadzenia sądowego postępowania cywilnego[15].

GIODO w pewnym sensie stara się więc wypełnić lukę, jaka powstała w systemie prawnym po uchyleniu art. 29 i 30 Uodo. Lukę, która może prowadzić do zarzutu naruszenia przez Polskę Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności[16]. W wyroku Europejskiego Trybunału Praw Człowieka z dnia 2 grudnia 2008 r. w sprawie K.D. przeciwko Finlandii, sygn. 2872/02, Trybunał analizował pod kątem zgodności z Konwencją stan prawny obowiązujący w Finlandii, w którym nie istniały prawne możliwości ujawnienia danych osobowych sprawcy naruszenia dóbr osobistych w Internecie. W tym świetle trybunał stwierdził naruszenie art. 8 Konwencji przez Finlandię. W ocenie Trybunału, państwo ma obowiązek zapewnienia środków prawnych dla ochrony życia prywatnego jednostki także wtedy, gdy ochrona ta ma dotyczyć relacji między jednostkami. Nie wystarczy więc powstrzymywanie się przez państwo od ingerencji w sferę życia prywatnego jednostki. Trybunał podkreślił również, że gwarancje prywatności dla użytkowników Internetu nie mogą mieć charakteru absolutnego i w pewnych sytuacjach, takich jak zapobieganie przestępczości, czy ochrona praw i wolności innych osób, gwarancje prywatności mogą podlegać ograniczeniom.

__________________________________

[1]  Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm. Powoływana dalej jako Uodo.

[2] P. Litwiński, Udostępnianie danych osobowych po uchyleniu art. 29 ustawy o ochronie danych osobowych. Kilka uwag na tle praktyki stosowania prawa. [w:] Nowe rozporządzenie UE o ochronie danych osobowych. Udostępnianie danych osobowych w praktyce administratorów danych. Bieżące problemy wykonywania przepisów o ochronie danych osobowych,  XII Forum ADO/ABI, Centrum Promocji Informatyki, Warszawa 2012, s. 56 – 57.

[3] A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis, Warszawa 2004, s. 130.

[4] Dz. U. z 2004 r., Nr 171, poz. 1800 z późn. zm. Powoływana dalej jako Prawo telekomunikacyjne.

[5] S. Piątek, Prawo telekomunikacyjne. Komentarz, Wydawnictwo C.H. Beck, Warszawa 2005, s. 866.

[6] Patrz: wyrok WSA w Warszawie z dnia 28 listopada 2011 r., sygn. II SA/Wa 1875/11.

[7] X. Konarski, Nowe zasady i tryb udostępniania danych osobowych [w:] G. Sibiga (red.), Nowelizacja ustawy o ochronie danych osobowych 2010, Dodatek do Monitora Prawniczego z 2011 r., Nr 3, s. 21 – 22.

[8] P. Litwiński, Udostępnianie danych osobowych…, s. 59.

[9] Sprawa Música de España (Promusicae) v Telefónica de España SAU (sygn. akt C-275/06). Wyrok ETS nie oznacza zakazu udostępniania danych osobowych klientów indywidualnych, tylko brak takiego nakazu dla firm przetwarzających takie dane.

[10] G. Sibiga, Postępowanie w sprawach ochrony danych osobowych, Dom Wydawniczy ABC, Warszawa 2003, s. 96.

[11] Patrz: Wyrok WSA w Warszawie z dnia 9 lutego 2005 r., sygn. II SA/Wa 1085/04.

[12] X. Konarski, Nowe zasady..., s. 23.

[13] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Wolters Kluwer Polska Sp. z o.o., Warszawa 2011, s. 433.

[14] P. Litwiński, Udostępnianie danych osobowych…, s. 60.

[15] Patrz m.in.: Decyzja GIODO z dnia 13 czerwca 2011 r., DOLiS/DEC- 480/11.

Eliza Źródło artykułu: http://e-ochronainformacji.pl/artykuly-darmowe/dane-osobowe-darmowe/udostepnianie-danych-osobowych-po-uchyleniu-art-29-uod/
Autor:

  • authorOpublikowany przez:
  • writerOpublikowany: Październik 9, 2012
  • liveOpublikowane artykuły: 85

One comment on “Udostępnianie danych osobowych po uchyleniu art. 29 Uodo

  1. Na razie to jest rynek swoje a PIP i GIODO swoje. Kontrole są straszne kary do 50 tys. zł szczęście że jeszcze da się jakoś zabezpieczyć ja kupowałem tu dokumentację http://rbdo.pl/sklep/ i w sumie w razie kontroli mam spokój, bo jest to zgodne z ustawą o ochronie danych osobowych i na stronie giodo też znalazłem że ich polecają.

    „każdy przedsiębiorca lub jednostka organizacyjna przetwarzająca dane osobowe (np. dane pracowników, Klientów, osób stowarzyszonych, uczniów) ma obowiązek opracowania dokumentacji systemu zarządzania bezpieczeństwem danych osobowych. Obowiązek wdrożenia dokumentacji spoczywa bezpośrednio na właścicielach firm…”

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

4 125 Spam Comments Blocked so far by Spam Free Wordpress

HTML tags are not allowed.



Wyślij Komentarz