19 października 2016 roku Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawie Patrick Breyer vs Republika Federalna Niemiec (C-582/14). Na uwagę zasługuje stanowisko Trybunału w przedmiocie obu pytań prejudycjalnych i jako że każde z nich jest niezmiernie istotne dla praktyki, przedstawimy je w dwóch, osobnych wpisach. W dzisiejszym poście skupimy się na rozważaniach, czy dynamiczny adres IP do dane osobowe.
Jaka była istota sporu?
Partic Breyer wszczął spór przed sądem krajowym dążąc do zakazania Republice Federalnej Niemiec przechowywania (lub zlecania przechowywania przez osoby trzecie) adresu IP jego systemu hostingowego po zakończeniu przeglądania dostępnych publicznie stron, na których niemieckie służby federalne umieszczają szereg informacji. Skąd takie żądanie? W celu obrony przed działaniem cyberprzestępców, strony internetowe rejestrują ruch na nich w odpowiednich plikach logów. Już po zakończeniu sesji, w tych plikach przechowywane są nadal dane strony, wyszukiwane hasła, datę i godzinę konsultacji oraz sam adres IP. Patric Breyer nie chciał, aby witryny internetowe służb federalnych rejestrowały i po zakończeniu sesji dalej przechowywały informacje o jego adresie IP. Przedmiotem sporu były dynamiczne adresy IP, czyli adresy tymczasowe i zmienne, nie stałe – przypisane w sposób jednoznaczny do użytkownika. Wątpliwości, które powstały w trakcie analizy sprawy doprowadziły do złożenia przez federalny trybunał sprawiedliwości złożenie pytań prejudycjalnych do Trybunału Sprawiedliwości UE.
Pierwsze pytanie dotyczyło tego, czy art. 2 lit. A dyrektywy 95/46/WE (który przewiduje, że „dane osobowe” to „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”) należy rozumieć tak, że dynamiczny adres IP zarejestrowany przez dostawcę usług medialnych online przy okazji przeglądania przez daną osobę strony internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego dostawcy dane osobowe w rozumieniu tego przepisu, w sytuacji gdy tylko osoba trzecia, w niniejszym przypadku dostawca dostępu do Internetu dla tej osoby, dysponuje dodatkowymi informacjami koniecznymi do identyfikacji tejże osoby. Upraszczając, pytanie dotyczyło tego, czy dynamiczne adresy IP powinny być traktowane jak dane osobowe wobec podmiotu prowadzącego daną witrynę, a w związku z tym, czy podlegają ochronie przewidzianej dla danych osobowych.
Drugie z pytań prejudycjalnych dotyczyło z kolei tego, czy art. 7 dyrektywy 95/46/WE uniemożliwia wprowadzenie przepisu prawa krajowego, zgodnie z którym dostawca usług medialnych online może gromadzić i wykorzystywać dane osobowe użytkownika bez jego zgody tylko wtedy, gdy jest to konieczne do umożliwienia i zafakturowania konkretnego skorzystania z mediów online przez danego użytkownika, i zgodnie z którym cel polegający na zapewnieniu ogólnego funkcjonowania mediów online nie może uzasadniać korzystania z tych danych po zakończeniu danej sesji. Zagadnienie to jednak z uwagi na jego wagę omówimy w osobnym wpisie.
Jak rozumieć pojęcie danych osobowych?
Badaniu przez Trybunał poddana została możliwość przypisania statusu administratora danych osobowych w postaci adresu IP nie tylko dostawcy dostępu do Internetu, ale także dostawcy udostępnianych publicznie usług medialnych online, który sam bezpośrednio nie dysponuje dodatkowymi informacjami identyfikującymi podmiot danych. Należy jednak pamiętać, że z perspektywy dostawcy usług online dynamiczny adres IP oraz data, godzina przeglądania strony internetowej nie stanowią informacji umożliwiających ustalenie tożsamości użytkownika i same w sobie nie stanowią informacji odnoszących się do zidentyfikowanej osoby fizycznej. Trzeba mieć jednak na uwadze, że dostawca Internetu dysponuje dodatkowymi informacjami, które zestawione z ww. danymi umożliwiają identyfikację osoby fizycznej. Oczywiście identyfikacja dotyczy w istocie abonenta, nie osoby która faktycznie korzystała w danym momencie z przyłączonego do sieci komputera.
Odpowiedź na kluczowe pytanie, czy dynamiczny adres IP to dane osobowe wymaga więc ustalenia, czy można ten adres uznać za informację odnoszącą się do możliwej do zidentyfikowania osoby fizycznej, skoro dodatkowe informacje niezbędne do tego celu są w posiadaniu innego usługodawcy. Trybunał podkreślił, że sama okoliczność, że te dodatkowe informacje nie znajdują się w posiadaniu jednego dostawcy, nie powinna z gruntu wykluczać tego, że dynamiczny adres IP może stanowić dane osobowe. Dlatego też Trybunał uznał za konieczne zweryfikowanie, czy połączenie danych dostawcy witryny internetowej z danymi innego dostawcy faktycznie umożliwić identyfikację osoby, której dane dotyczą. W toku sprawy wskazywano, że nie można mówić o możliwości identyfikacji konkretnej osoby, jeżeli np. istnieją prawne ograniczenia w tym zakresie ze względu na zakaz przekazywania przez dostawcę Internetu dodatkowych informacji umożliwiających identyfikację do dostawcy usług medialnych online. Wskazywano jednak jednocześnie, że pomimo takiego zakazu, istnieją środki prawne, które umożliwiają zainteresowanemu dostawcy zwrócenie się do odpowiedniego organu, który może podjąć działania w celu uzyskania informacji od dostawcy Internetu. Trzeba pamiętać, że analizowany problem i konieczność identyfikacji osób wiąże się przede wszystkim z wszczynaniem postępowania karnego, chodzi o przypadek ustalania tożsamości w specyficznym celu.
Trybunał Sprawiedliwości UE wskazał więc, że jeżeli dostawca ma, nawet potencjalną, możliwość pozyskania dodatkowych informacji, które są w posiadaniu dostawcy Internetu, w takiej sytuacji dynamiczny adres IP stanowi wobec niego dane osobowe.
Duże zmiany dla praktyki?
Po wydaniu przez Trybunał Sprawiedliwości wyroku w sprawie Breyer, pojawiły się komentarze, że zmienia on zasadniczo sposób postrzegania danych osobowych. Trudno nie zgodzić się z tezą, że rozstrzygnięcie Trybunału poszerza zakres informacji, które mogą być uznane za dane osobowe, z uwagi na pośrednią możliwość określenia tożsamości konkretnej osoby. Wniosek ten wzmacniany jest również poprzez fakt, że Trybunał dostrzegając ograniczenia wynikające z nadmierności kosztów, czasu lub działań, mimo tego dochodzi w rozpatrywanej sprawie do konkluzji, że nawet w przypadku konieczności zainicjowania postępowań zmierzających do uzyskania danych umożliwiających dopiero ustalenie tożsamości, nie będziemy mieli do czynienia z nadmiernością czasu lub działań. Tym samym katalog informacji, które będziemy uznawać za dane osobowe może ulegać istotnemu rozszerzeniu w praktyce.