Zdaniem Trybunału, dynamiczny adres protokołu internetowego osoby odwiedzającej stanowi dla podmiotu prowadzącego witrynę dane osobowe, gdy ten podmiot dysponuje środkami prawnymi umożliwiającymi mu zidentyfikowanie danej osoby odwiedzającej dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu osoby odwiedzającej. 

Patrick Breyer przed niemieckimi sądami sprzeciwił się temu, aby witryny internetowe niemieckich służb federalnych, które przegląda, rejestrowały i przechowywały jego adresy protokołów internetowych (zwane dalej "adresami IP"). Służby te rejestrują i przechowują, poza datą i godziną konsultacji, adresy IP osób odwiedzających, aby zabezpieczyć się przed atakami cybernetycznymi i umożliwić ściganie karne. Niemiecki federalny trybunał sprawiedliwości zwrócił się do Trybunału Sprawiedliwości w celu ustalenia, czy w tym kontekście "dynamiczne” adresy IP stanowią, wobec tego podmiotu prowadzącego witrynę internetową, dane osobowe i są zatem objęte ochroną przewidzianą dla takich danych. Dynamiczny adres IP to adres IP, który zmienia się przy okazji każdego nowego połączenia z Internetem. W odróżnieniu od statycznych adresów IP, dynamiczne adresy IP nie umożliwiają powiązania – za pomocą publicznie dostępnych plików – danego komputera i fizycznego podłączenia do sieci wykorzystywanego przez dostawcę dostępu do Internetu. A zatem jedynie dostawca dostępu do Internetu P. Breyera dysponuje dodatkowymi informacjami koniecznymi do jego identyfikacji. 

Komisja PE za zaostrzeniem kar dla cyberprzestępców >>>

Ponadto niemiecki Trybunał dążył do ustalenia, czy podmiot prowadzący witrynę internetową powinien, przynajmniej co do zasady, mieć możliwość gromadzenia i późniejszego wykorzystywania danych osobowych osób odwiedzających w celu zapewnienia ogólnej funkcjonalności swojej witryny. Bundesgerichtshof wskazuje w tym względzie, że większość niemieckiej doktryny interpretuje uregulowania niemieckie w tej dziedzinie w ten sposób, że owe dane powinny zostać usunięte w momencie zakończenia danego przeglądania, o ile nie są one konieczne do wystawienia faktury. 

W wyroku Trybunał odpowiedział przede wszystkim, że dynamiczny adres IP zarejestrowany przez "dostawcę usług medialnych online” (czyli przez podmiot prowadzący witrynę internetową, w niniejszym wypadku niemieckie służby federalne) przy okazji przeglądania witryny internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego podmiotu prowadzącego dane osobowe (w rozumieniu dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych), gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby odwiedzającej, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu tej osoby. Trybunał wskazał w tym względzie, że wydaje się, iż w Niemczech istnieją środki prawne umożliwiające dostawcy usług medialnych online zwrócenie się, w szczególności w przypadku ataków cybernetycznych, do właściwego organu, aby podjął on konieczne działania w celu uzyskania tych informacji od dostawcy dostępu do Internetu oraz w celu wszczęcia postępowania karnego. 

PE poparł zaostrzenie kar za "cyberprzestępstwa" >>>

Następnie Trybunał odpowiedział, że prawo Unii w postaci przywołanej wyżej dyrektywy 95/46, stoi na przeszkodzie uregulowaniu państwa członkowskiego, na podstawie którego dostawca usług medialnych online może gromadzić i wykorzystywać dane osobowe użytkownika tych usług – w braku jego zgody – tylko wtedy, jeżeli takie gromadzenie i wykorzystywanie są konieczne do umożliwienia konkretnego skorzystania ze wspomnianych usług przez tego użytkownika i zafakturowania kosztów takiego korzystania, przy czym cel polegający na zapewnieniu ogólnej funkcjonalności tychże usług nie może uzasadniać korzystania z tych danych po zakończeniu przeglądania danych mediów. 

Trybunał przypomniał, że zgodnie z prawem Unii przetwarzanie danych osobowych jest zgodne z prawem, między innymi, gdy jest ono konieczne dla realizacji potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej lub osób trzecich, którym dane są ujawniane, z wyjątkiem sytuacji, gdy pierwszeństwo mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. 

Uregulowanie niemieckie, zgodnie z wykładnią przeważającą w doktrynie, ogranicza zakres tej zasady, wykluczając możliwość ważenia celu polegającego na zagwarantowaniu ogólnej funkcjonalności mediów online z interesem lub podstawowymi prawami i wolnościami osób odwiedzających. 

W tym kontekście Trybunał podkreślił, że niemieckie służby federalne świadczące usługi medialne online mogą mieć uzasadniony interes w zapewnieniu, poza każdym konkretnym przypadkiem używania ich dostępnych publicznie witryn internetowych, ciągłości funkcjonalności tych witryn. 

Tak wynika z wyroku TS z 19 października 2016 r. w sprawie C-582/14 Patrick Breyer przeciwko  Bundesrepublik Deutschland.

 

Więcej informacji i narzędzi znajdziesz w programie
Lex Prawo Europejskie
Bądź na bieżąco ze zmianami prawnymi i korzystaj z aktualnych materiałów