produkty

Intelektualna.pl
Opinia
07 11.2016

Dynamiczny adres IP jako dana osobowa – komentarz do wyroku TSUE w sprawie Breyer

przez Małgorzata Kurowska

19 października 2016 roku Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok wy-znaczający ważny kierunek interpretacyjny w zakresie wykładni pojęcia danych osobowych (sprawa C-582/14, Breyer vs. Federalna Republika Niemiec).

Powód, Patrick Breyer, wniósł do niemieckiego sądu o zakazanie przechowywania jego danych – dotyczących bieżącej sesji, zapisywanych w trakcie przeglądania stron internetowych niemieckich służb federalnych. W ocenie niemieckiego sądu apelacyjnego rozpatrującego sprawę, dynamiczny adres protokołu internetowego (IP), przypisany użytkownikowi jedynie na okres konkretnej sesji internetowej i przechowywany w jej logach, w powiązaniu z datą dokonywania określonych czynności oraz w sytuacji, gdy użytkownik ujawnił podczas takiej sesji swoją tożsamość (np. poprzez podanie adresu e-mail), stanowi daną osobową. Jednocześnie w sytuacji, gdy informacją o tożsamości użytkownika dysponuje inny podmiot (dostawca usług internetowych), nie można mówić o danych osobowych w odniesieniu do informacji o dynamicznym IP sesji, będącej w posiadaniu podmiotu świadczącego usługę drogą elektroniczną (dostawcy treści).

Na skutek pytania prejudycjalnego skierowanego przez niemiecki Federalny Trybunał Sprawiedliwości (Bundesgerichtshof), TSUE rozpatrzył przedstawiony problem na dwóch płaszczyznach. Konieczne stało się rozstrzygnięcie, czy istotnie dynamiczny adres IP stanowi daną osobową dla dostawcy treści internetowych (a jeśli tak – to w jakich okolicznościach), a także – jakie mogą być podstawy przetwarzania takich danych osobowych przez dostawcę treści internetowych.

TSUE w powołanym wyroku uznał, że dynamiczny adres protokołu internetowego stanowi daną osobową dla dostawcy treści internetowej („właściciela strony internetowej lub podmiotu nią zarządzającego”) w sytuacji, gdy dysponuje on środkami prawnymi umożliwiającymi uzyskanie dodatkowych informacji, będących w posiadaniu osoby trzeciej (dostawcy usługi internetowej), pozwalających na jednoznaczną identyfikację użytkownika.

Należy wskazać, że zgodnie z polską ustawą z dnia 29.08.1997 r. o ochronie danych osobowych („Uodo”), by informację uznać za umożliwiającą identyfikację osoby fizycznej, konieczne jest, by taka identyfikacja nie wiązała się z nadmiernymi kosztami, wysiłkiem lub działaniami (art. 6 ust 3 Uodo). Podobną normę znajdziemy w motywie 26. preambuły do dyrektywy 95/46/WE [1] („Dyrektywa”), stanowiącej podstawę rozstrzygnięcia w omawianej sprawie. Zgodnie z jej preambułą, w celu ustalenia, czy daną osobę można zidentyfikować, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby. Jednocześnie w preambule wskazano, że danymi osobowymi są informacje pozwalające na ustalenie tożsamości osoby pośrednio lub bezpośrednio.

Jak wynika z powyższego, TSUE rozstrzygając sprawę Breyer, posłużył się szerokim rozumieniem motywów preambuły oraz pojęcia pośredniej identyfikacji osoby fizycznej, i uznał, że wystarczające dla uznania informacji za daną osobową jest obiektywne istnienie jakiekolwiek osoby trzeciej, dysponującej dodatkowymi informacjami, pozwalającymi na identyfikację osoby fizycznej, pod warunkiem jednak istnienia środków prawnych umożliwiających połączenie tych informacji.

Taka interpretacja wydaje się dość daleko idąca, a w wielu przypadkach w przypadku literalnego stosowania sentencji wyroku, może się okazać także niemożliwa do stosowania w praktyce. Na problem z tym związany zwrócił zresztą uwagę rzecznik generalny, M. Campos Sánchez-Bordona, wskazując w opinii wydanej w przedmiotowym postępowaniu, że Ta maksymalistyczna interpretacja prowadziłaby w praktyce do uznawania za dane osobowe wszelkiego rodzaju informacji, niezależnie od tego jak bardzo byłyby one same w sobie niewystarczające do identyfikacji użytkownika. Nigdy nie można określić z całą pewnością tego, że nie istnieje osoba trzecia, która posiadałaby dane dodatkowe, jakie można by połączyć z tymi informacjami i które pozwalałby w rezultacie na ujawnienie tożsamości danej osoby.

Warto wskazać, że aktualne polskie ustawodawstwo może stać w sprzeczności z interpretacją proponowaną przez TSUE. Uodo wyraźnie zawęża bowiem wskazane w Dyrektywie wszystkie sposoby identyfikacji osoby fizycznej do sposobów nie wymagających nadmiernych kosztów wysiłków i działań.

Zarówno w dotychczasowym orzecznictwie TSUE, jak i w judykaturze polskiej, nie ulegało wątpliwości, że za dane osobowe należy uznać statyczny adres IP, przypisany do określonego urządzenia, które z kolei można przypisać do konkretnego użytkownika (zob. np. wyrok Naczelnego Sądu Administracyjnego z 11 maja 2011 roku, I OSK 1079/10). Stanowisko to podzielał także Generalny Inspektor Danych Osobowych (GIODO), który wskazywał, adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę[2]. Powyższy wyrok TSUE wydaje się w sposób istotny rozszerzać rozumienie dostępu do danych łączących adres IP z innymi danymi na dostęp także potencjalny lub hipotetyczny.

Należy jednak podkreślić, że omawiany wyrok dotyczył niemieckich instytucji federalnych (Einrichtungen des Bundes). Z treści uzasadnienia nie wynika wprawdzie jednoznacznie, o jaką konkretnie instytucję mogło chodzić (stroną postępowania była Republika Federalna Niemiec), należy jednak uznać za prawdopodobne, że był to podmiot posiadający szersze kompetencje. Ta kategoria podmiotów z reguły dysponuje szerokim wachlarzem możliwości prawnych w zakresie uzyskiwania, przetwarzania i łączenia informacji pochodzących z różnych źródeł, w tym w szczególności od dostawców usług internetowych. Tymczasem podmioty z sektora prywatnego – i to zarówno osoby fizyczne, jaki i prawne lub jednostki organizacyjne – zazwyczaj nie mają do dyspozycji środków prawnych pozwalających na uzyskanie informacji o użytkowniku usługi internetowej od jej dostawcy. Wydaje się zatem, że intepretując wyrok w duchu celów przyświecających Dyrektywie jak również Uodo, należy uznać, że będzie on miał zastosowanie jedynie dla przypadków, w których podmiot może bez nadmiernych trudności (a zatem w szczególności korzystając ze swoich uprawnień władczych) uzyskać określone informacje i połączyć je w sposób, umożliwiający na jednoznaczną identyfikację osoby fizycznej. W konsekwencji dynamiczny adres IP nie powinien stanowić danej osobowej dla dostawcy treści internetowej, jeśli jest on np. blogerem lub przedsiębiorcą, nieposiadającym realnych możliwości legalnego uzyskania informacji o użytkowniku prowadzonej przez niego strony internetowej od dostawcy usługi internetowej.

Przyjęcie przeciwnej, szerokiej interpretacji, prowadzi do pytania o status dostawcy treści internetowych na gruncie przepisów o ochronie danych osobowych. Literalna wykładnia wyroku sugerowałaby, że podmiot taki jest administratorem danych osobowych (ADO) w postaci dynamicznych adresów IP użytkowników odwiedzających daną witrynę, co do zasady nakazywałoby stosowanie przez niego wszystkich obowiązków obciążających ADO, w tym obowiązku informacyjnego.

Rozwiązaniem, w odniesieniu do którego do chwili obecnej nie wypowiedział się GIODO, byłoby traktowanie dynamicznych adresów IP jako danych przetwarzanych jedynie ze względów natury technicznej, co pozwoliłoby na ich zaklasyfikowanie jako zbiorów danych sporządzanych doraźnie (art.2 ust. 3 Uodo). Takie zbiory podlegają przepisom Uodo jedynie w zakresie rozdziału 5. dotyczącego zabezpieczenia danych. Należy jednak pamiętać, że taka wykładnia zobowiązuje podmiot przetwarzający do usunięcia lub anonimizacji przetwarzanych w ten sposób danych niezwłocznie po zakończeniu korzystania. Trudno ponadto ocenić, z jakim przyjęciem ze strony GIODO spotkałaby się taka praktyka.

Wobec powyższego, wydaje się, że praktyczne zastosowanie wyroku TSUE przy przyjęciu jego czysto literalnej interpretacji wiązać się będzie zatem z istotnymi trudnościami. Bardziej zasadne wydaje się jednak kierowanie wykładnią celowościową i każdorazowe weryfikowanie, czy istnieje faktyczna możliwość uzyskania informacji pozwalających na zidentyfikowanie osoby fizycznej – w sposób legalny i bez podejmowania nieracjonalnych wysiłków.

Drugim wątkiem poruszonym w omówionym wyroku była kwestia dopuszczalnych w prawie państwa członkowskiego ograniczeń podstaw prawnych przetwarzania danych osobowych. TSUE, w ślad za opinią zaprezentowaną przez Rzecznika, opowiedział się przeciwko ograniczeniu przesłanki usprawiedliwionego celu do konkretnie określonych w ustawie przypadków dopuszczalności przetwarzania. W efekcie należy uznać, że nie jest możliwe przesądzenie na gruncie prawa krajowego, że jedynie ściśle określone w ustawie okoliczności mogą stanowić podstawę przetwarzania danych osobowych.

W związku z powyższym, warto odnieść się do polskich przepisów regulujących przetwarzanie danych osobowych w związku z usługą świadczoną drogą elektroniczną. Artykuł 19 ustawy z dnia 18.07.2002 o świadczeniu usług drogą elektroniczną (uśude) był zresztą wzorowany[3] na art. 15 niemieckiej Telemediengesetz (TMG, ustawa o usługach medialnych online). Polski przepis art. 19 uśude określa szereg przesłanek pozwalających na przetwarzanie danych osobowych użytkownika po zakończeniu świadczenia usługi – przy czym uśude otwiera zawarty w tym przepisie katalog poprzez wskazanie na dopuszczalność przetwarzania danych w oparciu na upoważnienie wynikające z odrębnych ustaw.

Przyjęcie, że Uodo stanowi odrębną ustawę w rozumieniu art. 19 uśude sprawia, że do przetwarzania danych w związku ze świadczeniem usługi drogą elektroniczną zastosowanie znajdzie w szczególności art. 23 ust. 1 pkt 5) Uodo. W rezultacie, usługodawca takiej usługi będzie mógł powołać się przy przetwarzaniu danych na przesłankę usprawiedliwionego celu, o której moa w tym przepisie. Wydaje się, że właśnie taka interpretacja zapewni spójność polskiego ustawodawstwa z omawianym wyrokiem TSUE.

⁕⁕⁕

Wyrok TSUE wydaje się potwierdzać ogólny kierunek wykładni zasad ochrony danych osobowych, skoncentrowany na poszerzaniu i wzmacnianiu tej ochrony przysługującej podmiotom danych. Wydaje się, że dla jego zastosowania w praktyce konieczne jest kierowanie się celowościową wykładnią sentencji wyroku – w szczególności poprzez uwzględnienie braku faktycznych możliwości podmiotów z sektora prywatnego (przynajmniej na gruncie aktualnego prawodawstwa polskiego) uzyskania informacji przetwarzanych przez dostawcę usługi internetowej. Jednocześnie nie sposób zauważyć, że proponowany maksymalistyczny kierunek wykładni pojęcia danych osobowych może w praktyce spowodować duże trudności dla podmiotów przetwarzających dane osobowe. W takim wypadku, pozostaje mieć nadzieję, że uzyskane w ten sposób korzyści będą je istotnie przewyższać.

 


[1] Dyrektywa nr 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

[3] Klafkowska-Waśniowska, Katarzyna. Art. 19. W: Komentarz do ustawy o świadczeniu usług drogą elektroniczną, [w:] Świadczenie usług drogą elektroniczną oraz dostęp warunkowy. Komentarz do ustaw. Wydawnictwo Prawnicze LexisNexis, 2011.

Kategoria:

Komentarze (0)




Dozwolone znaczniki: <b><i><br>