Jeśli możesz ustalić adres IP użytkownika twojej strony internetowej to znaczy, że przetwarzasz dane osobowe orzekł TSUE

W dniu 19 października 2016 r. Trybunał Sprawiedliwości Unii Europejskiej  w sprawie o sygnaturze C-582/14 wydał wyrok w którym stwierdził, że

  • art. 2 lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że dynamiczny adres IP zarejestrowany przez dostawcę usług medialnych online przy okazji przeglądania przez daną osobę strony internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego dostawcy dane osobowe w rozumieniu tego przepisu, w sytuacji gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby, której dane dotyczą, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu dla tej osoby.
  • art. 7 lit. f) dyrektywy 95/46 należy interpretować w ten sposób, że stoi on na przeszkodzie uregulowaniu państwa członkowskiego, na podstawie którego dostawca usług medialnych online może gromadzić i wykorzystywać dane osobowe użytkownika tych usług – w braku jego zgody – tylko wtedy, jeżeli takie gromadzenie i wykorzystywanie są konieczne do umożliwienia konkretnego skorzystania ze wspomnianych usług przez tego użytkownika i zafakturowania kosztów takiego korzystania, przy czym cel polegający na zapewnieniu ogólnej funkcjonalności tychże usług nie może uzasadniać korzystania z tych danych po zakończeniu przeglądania danych mediów.

 

Powyższe oznacza, że nawet blogerzy mogą nieświadomie być Administratorami Danych Osobowych co może wiązać się z choćby ustawowym obowiązkiem rejestracji zbioru danych u Generalnego Inspektora Danych Osobowych.


Wyrok zapadł w odpowiedzi na nast następujące pytania prejudycjalne:

1) Czy art. 2 lit. a) dyrektywy 95/46 powinien być interpretowany w ten sposób, że adres protokołu internetowego (adres IP), który usługodawca [dostawca usług medialnych online] rejestruje w związku z wejściem na jego stronę internetową, stanowi dla niego dane osobowe już wtedy, gdy osoba trzecia (tu: dostawca dostępu) dysponuje dodatkową wiedzą wymaganą do identyfikacji danej osoby?

2)      Czy art. 7 lit. f) [tej dyrektywy] stoi na przeszkodzie przepisowi prawa krajowego, zgodnie z którym usługodawca [dostawca usług medialnych online] może gromadzić i wykorzystywać dane osobowe użytkownika bez jego zgody tylko wtedy, gdy jest to konieczne do umożliwienia i zafakturowania konkretnego skorzystania z mediów online przez danego użytkownika, i zgodnie z którym cel polegający na zapewnieniu ogólnego funkcjonowania mediów online nie może uzasadniać korzystania z tych danych po zakończeniu danej sesji [przeglądania danej strony]?”.

Pytania te zostały zadane przez Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy) w związku z następującym stanem faktycznym:

Patrick Breyer przeglądał wiele stron internetowych niemieckich służb federalnych. Na tych dostępnych publicznie stronach wspomniane służby dostarczają zaktualizowanych informacji. Aby chronić się przed atakami i umożliwić ściganie na drodze karnej „piratów”, w przypadku większości tych portali każde wejście na stronę jest rejestrowane w pliku logów. Po zakończeniu danej sesji w danych tych przechowuje się nazwę konsultowanych danych lub strony, pojęcia wpisane w polach wyszukiwania, dzień i godzinę konsultacji, ilość przesłanych danych, informację, czy konsultacja się powiodła oraz adres IP komputera, za pomocą którego przeglądano określone dane lub strony. Adresy IP stanowią ciągi liczb, które są przypisywane komputerom podłączonym do Internetu, aby umożliwić ich komunikację za pomocą tej sieci. Przy konsultowaniu strony internetowej adres IP komputera wykorzystywanego do konsultacji danej strony jest przesyłany do serwera, na którym jest zarejestrowana konsultowana strona. Jest to konieczne, by konsultowane dane można było przesłać odpowiedniemu odbiorcy. Ponadto dostawcy dostępu do Internetu przyznają użytkownikom Internetu bądź „statyczny” adres IP, bądź „dynamiczny” adres IP, który zmienia się przy okazji każdego nowego połączenia z Internetem. W odróżnieniu od statycznych adresów IP dynamiczne adresy IP nie umożliwiają powiązania – za pomocą publicznie dostępnych plików – danego komputera i fizycznego podłączenia do sieci wykorzystywanego przez dostawcę dostępu do Internetu.   Patrick Breyer wytoczył przed niemiecki sąd administracyjny powództwo, które miało na celu zakazanie Republice Federalnej Niemiec przechowywania – lub zlecania przechowywania przez osoby trzecie – adresu IP systemu hostingowego P. Breyera po zakończeniu przeglądania dostępnych publicznie stron mediów online niemieckich służb federalnych, o ile rejestracja tego adresu nie jest konieczna do przywrócenia dostępności tych mediów w przypadku awarii.  Jako że powództwo P. Breyera zostało oddalone w pierwszej instancji, wniósł on apelację od orzeczenia oddalającego powództwo.   Sąd apelacyjny zmienił częściowo owo orzeczenie. Nakazał on Republice Federalnej Niemiec zaniechać przechowywania lub zlecania przechowywania przez osoby trzecie – po zakończeniu każdego przeglądania – adresu IP systemu hostingowego P. Breyera, przekazanego w trakcie przeglądania przez niego dostępnych publicznie stron mediów online niemieckich służb federalnych, w przypadku gdy adres ten jest przechowywany w powiązaniu z datą sesji, do której on się odnosi i gdy P. Breyer ujawnił swoją tożsamość w trakcie tej sesji, także w formie adresu e-mail wskazującego na jego tożsamość, o ile to przechowywanie nie jest konieczne do przywrócenia dostępności mediów online w przypadku awarii.   Zdaniem tegoż sądu apelacyjnego dynamiczny adres IP w połączeniu z datą sesji, do której się on odnosi, stanowi, w sytuacji gdy dany użytkownik strony internetowej ujawnił swoją tożsamość w trakcie tej sesji, dane osobowe, ponieważ operator tej strony może zidentyfikować tego użytkownika poprzez zestawienie jego nazwiska z adresem IP jego komputera. Wspomniany sąd apelacyjny uznał, że nie należy jednak uwzględnić powództwa P. Breyera w innych przypadkach. W przypadku bowiem gdy P. Breyer nie podaje swojej tożsamości w trakcie przeglądania strony, jedynie dostawca dostępu do Internetu może powiązać adres IP z zidentyfikowanym abonentem. Natomiast w rękach Republiki Federalnej Niemiec, jako dostawcy usług medialnych online, adres IP nie stanowi jednej z danych osobowych, nawet w połączeniu z datą przeglądania strony, do której się on odnosi, zważywszy że użytkownik rozpatrywanych stron internetowych nie może zostać zidentyfikowany przez to państwo członkowskie.    Zarówno P. Breyer, jak i Republika Federalna Niemiec wnieśli skargę rewizyjną („Revision”) do Bundesgerichtshof (federalnego trybunału sprawiedliwości, Niemcy) na orzeczenie sądu apelacyjnego. Patrick Breyer wnosi o uwzględnienie w całości jego wniosku o zakazanie czynności, o których mowa powyżej. Republika Federalna Niemiec wnosi o oddalenie tego wniosku.  Sąd odsyłający wyjaśnia, że dynamiczne adresy IP komputera P. Breyera, przechowywane przez Republikę Federalną Niemiec działającą w charakterze dostawcy usług medialnych online, stanowią – przynajmniej w kontekście innych danych przechowywanych w plikach logów – szczegółowe dane dotyczące sytuacji rzeczowej P. Breyera, jako że dostarczają wskazówek co do przeglądania przez niego określonych stron lub określonych plików w Internecie w określonych datach.  Niemniej przechowywane w ten sposób dane nie pozwalają ustalić bezpośrednio tożsamości P. Breyera. Operatorzy stron internetowych będących przedmiotem sporu w postępowaniu głównym mogliby bowiem zidentyfikować P. Breyera wyłącznie wtedy, gdyby jego dostawca dostępu do Internetu przekazał im informacje na temat tożsamości tego użytkownika. Uznanie tych danych za „osobowe” zależy w konsekwencji od tego, czy P. Breyer mógł zostać zidentyfikowany.

 Bundesgerichtshof (federalny trybunał sprawiedliwości) wskazuje na doktrynalną kontrowersję dotyczącą kwestii, czy w celu ustalenia, czy osoba może zostać zidentyfikowana, należy oprzeć się na kryterium „obiektywnym” bądź na kryterium „względnym”.

Zastosowanie kryterium „obiektywnego” skutkowałoby tym, że dane takie jak adresy IP będące przedmiotem sporu w postępowaniu głównym mogłyby być uznawane, po zakończeniu przeglądania rozpatrywanych stron internetowych, za dane osobowe, nawet jeśli tylko osoba trzecia jest w stanie ustalić tożsamość osoby, której dane dotyczą, przy czym tą osobą trzecią jest w niniejszym przypadku dostawca dostępu do Internetu dla P. Breyera, który to dostawca przechowywał dodatkowe dane umożliwiające zidentyfikowanie P. Breyera za pomocą wspomnianych adresów IP.

Zgodnie z kryterium „względnym” takie dane mogłyby być uznawane za dane osobowe wobec podmiotu takiego jak dostawca dostępu do Internetu dla P. Breyera, ponieważ pozwalają one na precyzyjną identyfikację użytkownika (zob. w tym względzie wyrok z dnia 24 listopada 2011 r., Scarlet Extended, C‑70/10, EU:C:2011:771, pkt 51), lecz nie mogłyby być one uznawane za dane osobowe wobec innego podmiotu takiego jak operator stron internetowych przeglądanych przez P. Breyera, jako że operator ten nie dysponuje – w przypadku gdy P. Breyer nie ujawnił swojej tożsamości w trakcie przeglądania tych stron – informacjami koniecznymi do jego identyfikacji bez nadmiernego wysiłku.

W takich okolicznościach Bundesgerichtshof (federalny trybunał sprawiedliwości) postanowił zawiesić postępowanie i zwrócić się do Trybunału z ww. pytaniami prejudycjalnymi, na które odpowiedzi udzielił TSUE w opisywanym wyroku.

Zobacz wyrok NSA w sprawie adresów IP jako danych osobowych


powrót na stronę główną prawników z FWSK

Powiązane wpisy