Powszechnie wiadomo, że w Internecie można natknąć się na wiele treści obraźliwych, w tym wprost stanowiących naruszenie dóbr osobistych konkretnych osób. Przepisu prawa, jak w każdym przypadku naruszenia dóbr osobistych, przewidują narzędzia z których można skorzystać w takich sytuacjach, ale jak korzystać z roszczeń, kiedy nie wiadomo przeciwko komu je kierować? Wszak najczęściej użytkownicy Internetu pozostają anonimowi. Czy administrator strony osobowej lub firma hostująca mają prawo udostępnić dane autora komentarza naruszającego dobra osoby, która takiego udostepnienia żąda i  co na to przepisy RODO?

Pierwszym pytaniem w takim przypadku jest to, jaką podstawę przetwarzania osoby dopuszczającej się naruszenia dóbr osobistych ma ofiara takiego naruszenia? W większości przypadków jest to pytanie czysto teoretyczne, gdyż przepisy RODO nie mają zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. Oczywiście dochodzenie roszczeń o ochronę dóbr osobistych (które co do zasady przysługują wyłącznie osobom fizycznym) jest czynnością czysto osobistą, do której RODO, w ogóle nie ma zastosowania.  Teoretyzując zaś- pamiętać jednak należy, że zgodnie z art. 43 Kodeksu Cywilnego przepisy o ochronie dóbr osobistych osób fizycznych stosuje się odpowiednio do osób prawnych. Można zatem sobie wyobrazić sytuację, w której np. spółka poszukuje ochrony swoich dóbr naruszonych np. komentarzem w Internecie, że oszukuje kontrahentów i nie płaci należności. Także w takim przypadku nie powinno być większych wątpliwości, co do podstawy przetwarzania danych. Będzie nią sytuacja, w której przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią- art. 6 ust. 1 lit f RODO.  Prawnie uzasadnionym interesem jest tu oczywiście konieczność ochrony dóbr i realizacji roszczeń z tym związanych.

A czy jest,  a jeśli taka to jaka, podstawa do przekazania przez administratora serwisu danych autora obraźliwego komentarza (wszak przekazanie danych także jest formą ich przetwarzania)? Odpowiedź na to pytanie daje nam dotychczasowe orzecznictwo PUODO w tym zakresie.

W decyzjach z dnia 21 marca 2019 r. (ZSPR.440.195.2019), z dnia 26 czerwca 2019 r. (ZSPR.440.1026.2018), z dnia 11 lipca 2019 r.(ZSPR.440.985.2019) Prezes Urzędu Ochrony Danych Osobowych wskazał, że w takim przypadku, dla operatora strony internetowej podstawą prawną przetwarzania danych w postaci ich przekazania jest również art. 6 ust. 1 lit f RODO. Przepis ten mówi bowiem o sytuacji, gdy  przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, ale także przez stronę trzecią. W takim przypadku prawu poszkodowanego wynikającego z jego uzasadnianego interesu w postaci konieczności ochrony dóbr osobistych odpowiada obowiązek administratora tych danych prowadzącego stronę internetową przekazania tych danych. Taki obowiązek aktualizuje się w każdym przypadku, gdy zachodzi niezbędność dysponowania informacjami indywidualizującymi osoby, przeciwko którym dana osoba zamierza skierować powództwo w związku z zarzutem nieuprawnionej ingerencji w sferę jej dóbr osobistych lub zamierza złożyć dowody w postepowaniu karnym lub cywilnym, w sytuacji, gdy nie dysponuje zasadniczo żadnymi informacjami o osobach, które zamieściły wpisy wyłącznie poza tymi, które wynikały z ich opublikowania. W takim przypadku zindywidualizowanie autorów kwestionowanych wpisów stanowi niezbędny warunek dochodzenia przeciwko nim roszczenia związanego z bezprawną ingerencją w sferę dóbr osobistych, zaś działania które służą ustaleniu tożsamości tych osób, w celu pociągnięcia ich do odpowiedzialności cywilnej i karnej w związku z treścią publikacji  mieszczą się w pojęciu prawnie usprawiedliwionego celu. W takim przypadku żądanie udostepnienia danych znajduje uzasadnienie prawne w  art. 6 lit. f RODO, i jako takie powinno zostać przez podmiot  posiadający dane uwzględnione.(decyzja z dnia 21 marca 2019 r.(ZSPR.440.195.2019),

Tym samym aktualne orzecznictwo PUODO potwierdza, że w przypadku konieczności  uzyskania danych anonimowych osób dla celów dochodzenia roszczeń o ochronę dóbr osobistych, zarówno u osoby żądającej takich danych, jak również podmiotu udostępnianego posiadane dane w związku z prowadzeniem portalu internetowego, znajduje podstawę prawną w  art. 6 ust. 1 lit f RODO. W takim przypadku osoby, których dane są ujawniane (dokonują naruszenia dóbr osobistych) nie mogą powołać się na wyłączenie, gdy nadrzędny charakter wobec  interesów osoby żądającej danych mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych Oczywistym jest, że pozyskanie (przetwarzanie) danych osobowych w ww. celu w każdym przypadku zostanie uznane przez osoby, których dane te dotyczą, za sprzeczne z ich interesem. Okoliczność ta – zwłaszcza mając na uwadze prawne gwarancje obrony przed roszczeniami strony przeciwnej – nie świadczy jednak o naruszeniu ich praw i wolności. Przyjęcie przeciwnego stanowiska skutkowałoby bezzasadną ochroną tego, kto mógł dopuścić się bezprawnej ingerencji w sferę prawnie chronionych interesów innej osoby (zwłaszcza przekonany o anonimowości, jaką gwarantuje mu sieć Internet) przed ewentualną odpowiedzialnością za jego działania (decyzja z dnia 21 marca 2019 r.(ZSPR.440.195.2019),

Gdy z żądaniem udostepnienia danych występują organy prawa, podstawa przetwarzania jest inna. W takim przypadku obowiązek udostepnienia danych wynika wprost z przepisu prawa, tj. art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną stanowi przepis prawa, art. 6 ust. 1 lit. c) RODO nakładający wprost na określone podmioty określone prawa i obowiązki w zakresie przetwarzania danych osobowych usługobiorców usług świadczonych drogą elektroniczną.  Wówczas przetwarzanie jest przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c) RODO)