W uzasadnieniu wyroku z 21 sierpnia 2013 r. (I OSK 1666/12) Naczelny Sąd Administracyjny zawarł jedno z pierwszych oficjalnych stanowisk wymiaru sprawiedliwości odnoszących się do kwestii ochrony prywatności w sieci.

Orzeczenie NSA wskazuje, że zgodnie z przepisami art. 31 ust 2 i 3 Konstytucji Rzeczpospolitej Polskiej oraz przepisami Dyrektywy 2006/24/WE uprawnione jest domaganie się wydania danych osobowych autorów obraźliwych wpisów na forach internetowych również przez podmioty prywatne. Przepis art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r. nr 144, poz. 1204 ze zm.), według którego usługodawca jest obowiązany udostępnić dane organom państwa na potrzeby prowadzonych przez nie postępowań nie stanowi podstawy przyjęcia, że zasadna jest wobec powyższego odmowa udostępniania tych danych innym podmiotom, które o to wystąpią.

Oczywiście każda sprawa winna być rozpatrywana indywidualnie z uwzględnieniem specyfiki przypadku, a administrator danych stawiany jest w sytuacji konieczności "rozważenia interesów wszystkich stron", po to by ewentualnie uznać żądanie wydania danych za "uzasadnione" i "proporcjonalne". Na wokandach w sądach cywilnych i karnych coraz więcej pojawia się spraw z zakresu kolizji prawa ochrony dóbr osobistych i prawa do wolności słowa, to specyfika nie tylko polskiego wymiaru sprawiedliwości, ponieważ takie rozstrzygnięcia podejmują obecnie sędziowie w wielu państwach na świecie, z racji przeniesienia debaty dotyczącej życia społeczno-gospodarczego do mediów elektronicznych. Platforma internetu uwidacznia problem kolizji tych praw, koniecznym jest więc dogłębna analiza technicznych aspektów jego funkcjonowania, ponieważ, mimo że ustawa, a potem orzecznictwo otwierają drogę do dochodzenia od właściciela serwisu określonych danych jego użytkowników, nie oznacza to jednak, że takie dane będą technicznie możliwe do wydania.

Wprawdzie każde działanie użytkownika jest na różne sposoby monitorowane w internecie, ale dostępność części danych zależy nierzadko tylko od konstrukcji technicznej danego serwisu. Tak jest między innymi z adresami IP, częstym przedmiotem debaty na gruncie przepisów prawnych. Zgodnie z przepisem art. 180a ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2004 r. nr 171, poz. 1800 ze zm.) adres IP musi być przechowywany przez 12 miesięcy przez operatorów publicznej sieci telekomunikacyjnej i dostawców publicznie dostępnych usług telekomunikacyjnych, jest adresem występującym np. w logach serwera, uwidaczniającym żądanie określonych danych w ramach strony www. Nie jest to on adresem IP powiązanym z konkretnym postem zamieszczonym na forum. Dostęp do poziomu szczegółowości pozwalającego ustalić autora posta może zapewnić deweloper  serwisu internetowego, jeżeli utworzy w tabeli bazy danych właściwe pola do przechowywania takich adresów, a kolejno umieszczać tam będzie ten adres i inne danymi posta, czego znaczna część deweloperów wcale nie robi (w mniejszych serwisach lokalnych). Często żądanie wydania adresu IP może zostać niezrealizowane z powodu nieprzechowywania tych adresów.

Oczywiście adres IP nie jest daną, która jednoznacznie identyfikuje użytkownika, gdyż może się odnosić do jednego lub wielu podmiotów; może być zmieniany, celowo ukrywany, adres IP może być bramką dostępową do internetu dla wielu komputerów zgromadzonych w jednej sieci, może być adresem dynamicznym, przydzielanym na nowo przy każdym połączeniu z internetem; poza tym wielu użytkowników korzysta z serwera Proxy, w celu zatarcia śladów. W interesie przedsiębiorców świadczących usługi związane z internetem (hostingu, cloudingu itp.) jest ochrona stabilności biznesu, między innymi poprzez  zapewnienie bezpieczeństwa danych ich klientów, co pozostaje w sprzeczności z chęcią wydawania posiadanych danych lub usuwaniem niechcianych wpisów. W tym kontekście wspomniany wyrok NSA nie będzie stanowić dostatecznego uzasadnienia dla przedsiębiorców do wydawania danych, tym bardziej, że jego uzasadnienie nie jest jednoznaczne co do istoty.

Powyższe problemy na gruncie polskim to tylko część zawiłości, zupełnym niepowodzeniem może się bowiem zakończyć próba uzyskania dostępu do danych w związku z międzynarodowymi usługami IT, jak się nietrudno domyślić wniosek o udostępnienie danych kierowany do administratora zagranicznego serwisu może nie odnieść żadnego skutku, najlepszym przykładem jest portal Facebook, gdzie każdy użytkownik akceptuje regulamin zawierający między innymi formułę "wszelkie spory pomiędzy serwisem a użytkownikiem podlegają przepisom prawa stanu Kalifornia, bez względu na przepisy prawa kolizyjnego". Konkluzja nie jest optymistyczna: możliwość żądania wydania danych należących do użytkowników formalnie i prawnie istnieje, wyrok NSA z 21 sierpnia 2013 r. jest w tym sensie pomocny, ale kwestią decydującą w konkretnej sprawie są nie ograniczenia prawne, lecz przede wszystkim ograniczenia techniczne, stanowiące czasem jeszcze większą barierę w skutecznym dochodzeniu ochrony określonych praw.