Subskrybuj nas na Youtube
Zapisz się na newsletter
Dynamiczny adres IP należy uznać za dane osobowe – stwierdził wczoraj Trybunał Sprawiedliwości Unii Europejskiej.
Za każdym razem, gdy odwiedzamy jakąkolwiek stronę internetową, zostaje to zarejestrowane w plikach logów, czyli wirtualnych dziennikach wejść i wyjść. Zawierają one informacje m.in. o tym, na jakie podstrony wchodził użytkownik, o jakiej porze, jakie hasła wpisywał do wyszukiwarki oraz jaki adres IP jest przypisany do jego komputera. Patrickowi Breyerowi, członkowi niemieckiej Partii Piratów, nie spodobało się, że dostęp do tych adresów uzyskują też służby, kiedy wchodzi się na ich strony internetowe. I nie przekonywało go tłumaczenie, że informacje te są zbierane i przechowywane głównie po to, aby identyfikować i ścigać sprawców ataków hakerskich.
Kilka lat temu pozwał więc niemiecki rząd za naruszenie prawa do ochrony danych osobowych, twierdząc, że adres IP, pozwalający zidentyfikować jego komputer, jest przetrzymywany o wiele dłużej niż jest to technicznie konieczne. Tzw. dynamiczne adresy IP są automatycznie przypisywane klientom przez dostawców internetu i zmieniają się przy każdorazowym połączeniu z siecią. Same w sobie nie pozwalają zatem zidentyfikować internauty, ale w powiązaniu z innymi informacjami, które posiada usługodawca, nie jest to trudne. Rzecz w tym, że właściciel serwisu internetowego nie ma dostępu do tych danych.
Mimo to Breyer domagał się całkowitego zakazania przechowywania adresów IP po opuszczeniu witryny, chyba że ich rejestracja byłaby potrzebna do ponownego otworzenia strony w przypadku awarii. Sąd I instancji oddalił pozew, natomiast sąd apelacyjny częściowo podzielił argumenty Breyera i zdecydował, że usługodawca nie może zbierać adresów IP, jeśli ma też np. informację o godzinie wejścia do serwisu.
Federalny trybunał sprawiedliwości rozpoznający skargi obu stron zauważył jednak, że dane te nie wystarczą, aby namierzyć internautę. Administrator portalu jest w stanie zidentyfikować go tylko wtedy, gdy operator sieci przekaże mu dodatkowe informacje, np. adres e-mail. Dlatego też niemiecki sąd miał wątpliwości, czy adresy IP zbierane przez właścicieli witryn internetowych stanowią dane osobowe w sytuacji, gdy inne informacje potrzebne do namierzenia użytkownika ma firma telekomunikacyjna.
W pierwszej kolejności TSUE zauważył, że zgodnie z dyrektywą w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (95/46/WE) dane osobowe to nie tylko informacje umożliwiające same w sobie, czyli bezpośrednio poznać tożsamość internauty, lecz także pośrednio. Innymi słowy informacje te nie muszą znajdować się w rękach jednego podmiotu. Wprawdzie niemieckie przepisy nie pozwalają dostawcom internetu przekazywać właścicielom portali danych o swoich klientach, ale istnieją środki prawne, dzięki którym mogą je uzyskać. Na przykład, zwrócić się o nie do sądu w celu wszczęcia postępowania karnego. Jak podkreślił trybunał luksemburski, ponieważ prawo krajowe je przewiduje, adresy IP są danymi osobowymi. – TSUE po raz kolejny potwierdził, że idzie w kierunku coraz silniejszej ochrony prywatności. Natomiast dla przedsiębiorców, zwłaszcza tych mniejszych, wyrok ten oznacza, że przy tworzeniu nowych produktów będą musieli lepiej uzasadniać wykorzystanie danych osobowych – ocenia mec. Marcin Serafin z kancelarii Maruta Wachta.
– Do tej pory w Polsce uznawano, że do danych osobowych zalicza się raczej statyczne adresy IP. Ale nawet jeśli uznać, że te dynamiczne też są danymi osobowymi, to ustawa o świadczeniu usług drogą elektroniczną zezwala na ich przetwarzanie po zakończeniu korzystania usługi np. do ustalenia ewentualnego niedozwolonego korzystania z usługi – zauważa mec. Ewa Fabian, specjalistka od ochrony danych osobowych.
TSUE przypomniał też, że dyrektywa przewiduje zamknięty katalog przypadków, w których przetwarzanie tych danych jest legalne i państwa UE nie mogą dodawać kolejnych. Z drugiej strony prawo unijne nie pozwala z góry wykluczać możliwości przetwarzania określonych kategorii danych osobowych. Dla właściciela strony internetowej może się to bowiem okazać potrzebne dla zapewnienia internautom możliwości sprawnego korzystania z jego serwisu.
