Trybunał Sprawiedliwości UE dnia 19 października 2016 r. wydał wyrok, w którym uznał, że dynamiczny adres IP rejestrowany przez dostawcę danej usługi online w związku z przeglądaniem strony internetowej udostępnionej publicznie stanowi dane osobowe w rozumieniu przepisów o ochronie danych osobowych pod warunkiem, że dostawca ten dysponuje środkami prawnymi pozwalającymi na uzyskanie dodatkowych informacji umożliwiających identyfikację danego użytkownika. Jest ważny wyrok w zakresie wyznaczania pojęcia danych osobowych na gruncie prawa unijnego.

****

Zagadnienie uznawania adresu IP za dane osobowe podlegało już analizie zarówno TSUE, jak i Grupy Roboczej art. 29. Do tej pory przyjmowano, że przede wszystkim statyczny adres IP, który jest przypisany na stałe lub przez dłuższy czas do konkretnego komputera stanowi danę osobową. Natomiast wyrok w sprawie C-582/14, Patrick Breyer przeciwko Federalnej Republice Niemiec dotyczy dynamicznego adresu IP, który podlega zmianie przy rozpoczęciu każdej nowej sesji. TS UE w omawianej sprawie uznał, że dynamiczny adres IP rejestrowany przez dostawcę danej usługi online w związku z przeglądaniem strony internetowej udostępnionej publicznie stanowi dane osobowe w rozumieniu przepisów o ochronie danych osobowych pod warunkiem, że dostawca ten dysponuje środkami prawnymi pozwalającymi na uzyskanie dodatkowych informacji umożliwiających identyfikację danego użytkownika. Ponadto, Trybunał uznał, że dopuszczalne jest, aby dostawca usługi przetwarzał dane zebrane w związku z korzystaniem z niej po jego zakończeniu, jeżeli jest to zgodne z uzasadnionym interesem administratora.

Stan faktyczny

Patrick Breyer przeglądał strony internetowe niemieckich służb federalnych. Każde wejście na taką stroną jest rejestrowane w postaci logów. Po zakończeniu sesji przechowywane są nazwy konsultowanych danych, wyszukiwane pojęcia, data i godzina, ilość przesłanych danych, informacja o powodzeniu konsultacji oraz adres IP. Dostawcy internetu przydzielają użytkownikowi albo statyczny niezmienny adres IP albo dynamiczny adres IP, który zmienia się przy każdym nowym połączeniu z internetem. Co istotne, dynamiczne adresy IP nie umożliwiają ustalenia tożsamości danej osoby przy pomocy publicznie dostępnych plików komputera i fizycznego połączenia do sieci używanego przez dostawcę internetu.

Patrick Breyer wytoczył powództwo przed niemieckim sądem administracyjnym, mające na celu zakazanie Federalnej Republice Niemiec przechowywania lub zlecenia przechowywania przez osoby trzecie adresu IP Brayera po zakończeniu przeglądania dostępnych publicznie stron niemieckich służb federalnych, jeżeli rejestracja adresu nie jest konieczna do przywrócenia dostępności w przypadku awarii. Federalny Trybunał Sprawiedliwości zadając pytania prejudycjalne wskazał, iż dynamiczne adresy IP przechowywane przez dostawcę usługi stanowią w kontekście innych danych, informacje o użytkowniku dotyczące przeglądanych stron lub plików. Jednocześnie wskazano, że dynamiczne adresy IP mogą służyć do identyfikacji wyłącznie, jeżeli dostawca internetu przekaże informacje dotyczące tożsamości użytkownika, a uznanie danych za dane osobowe zależy właśnie od możliwości identyfikacji.

Pytania prejudycjalne

Pytania prejudycjalne skierowane do TS UE przez Federalny Trybunał Sprawiedliwości dotyczyły zasadniczo dwóch kwestii:

  • Czy pojęcie danych osobowych powinno być interpretowane na gruncie art. 2 lit a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dalej jako: dyrektywa 95/45/WE) tak, że adres IP, który jest rejestrowany przez usługodawcę w związku z wejściem na jego stronę internetową stanowi dane osobowe tylko wtedy, gdy podmiot oferujący dostęp dysponuje dodatkową wiedzą umożliwiającą identyfikację danej osoby?
  • Czy przesłanka przetwarzania danych osobowych z art. 7 lit f) dyrektywy 95/46/WE (tzw. klauzula prawnie usprawiedliwionego celu) stoi na przeszkodzie przepisowi prawa krajowego, zgodnie z którym usługodawca może wykorzystywać dane osobowe użytkownika bez jego zgody, tylko gdy jest to konieczne do umożliwienia i rozliczenia korzystania z określonej usługi online przez użytkownika, i zgodnie z którym cel polegający na zapewnieniu funkcjonowania usługi nie może być uzasadnieniem dla korzystania z tych danych po zakończeniu przeglądania danej strony?

Rozstrzygnięcie

Co do pierwszego pytania, TSUE zauważył, że dynamiczny adres IP nie stanowi samodzielnie informacji odnoszącej się do „zidentyfikowanej osoby fizycznej” zgodnie z definicją danych osobowych  z art. 2 lit a) dyrektywy 95/46/WE, ponieważ nie odnosi się bezpośrednio do tożsamości osoby, do której należy urządzenie. Następnie sąd rozważył, czy dynamiczny adres IP może zostać uznany za informację dotyczącą „możliwej do zidentyfikowania osoby fizycznej”, jeżeli dodatkowe informacje pozwalające na ustalenie tożsamości znajdują się w posiadaniu dostawcy dostępu do internetu. TSUE zauważył, że z definicji danych osobowych wynika możliwość zarówno bezpośredniej, jak i pośredniej identyfikacji. Termin „pośrednio” oznacza, że nie jest konieczne, aby dana informacja bez pozyskania dodatkowych danych umożliwiała identyfikację. Przy ocenie, czy wskazane informacje to dane osobowe należy brać pod uwagę racjonalne sposoby identyfikowania, jakie może wykorzystać administrator danych (motyw 26 dyrektywy 95/46/WE). Uznano również, że fakt posiadania informacji koniecznych do identyfikacji przez podmiot inny niż dostawca danej usługi nie wyklucza możliwości uznania tych danych za dane osobowe. Jednakże muszą istnieć środki prawne pozwalające na uzyskanie koniecznych informacji od dostawcy dostępu do internetu.

Natomiast co do drugiego pytania prejudycjalnego, TSUE wskazał, że art. art. 7 lit f) dyrektywy 95/46/WE (tzw. klauzulę prawnie usprawiedliwionego celu) należy interpretować tak, że jest on przeszkodą dla prawa państwa członkowskiego, na podstawie którego dostawca usług medialnych online może przetwarzać dane użytkownika bez jego zgody tylko w celach wykorzystywania danych koniecznych do rozliczenia i umożliwiania korzystania z danej usługi. Zauważono również, że cel zapewnienia ogólnej funkcjonalności nie może uzasadniać korzystania z danych po zakończeniu korzystania z danej usługi.

Co orzeczenie to oznacza w praktyce?

Nie ulega wątpliwości, że wyrok w sprawie Breyer idzie w kierunku coraz szerszego pojęcia danych osobowych oraz coraz ściślejszej ochrony podmiotu danych. Należy jednak podkreślić, że orzeczenie to będzie miało zastosowanie w przypadkach, gdy administrator danych będzie dysponował środkami prawnymi, które umożliwią mu identyfikację użytkownika. Nie każdemu dostawcy i nie w każdym przypadku będą one przysługiwały.

Na gruncie polskiego ustawodawca należy zwrócić uwagę na art. 6 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z którym „Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.” Zgodnie z tym przepisem każdorazowo należy dokonywać oceny uwzględniając specyfikę działania konkretnego administratora danych. Przy obecnym rozwoju technologii informacja, która dla jednego podmiotu może służyć do szybkiego ustalenia tożsamości, dla innego może się łączyć z działaniami wymagającymi nieproporcjonalnych kosztów, czasu lub działań. Przesłanka ta ma jednak charakter nieokreślony i będzie podlegać szacowaniu odrębnie w każdym przypadku.