Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie Breyer przeciwko Republice Federalnej Niemiec może mieć duże znaczenie dla praktyki stosowania przepisów o ochronie danych osobowych.

W odpowiedzi na jedno z pytań Trybunał Sprawiedliwości Unii Europejskiej (dalej: TSUE) zajął stanowisko w sprawie pojęcia danych osobowych. Istotą tego rozstrzygnięcia w sprawie Breyer przeciwko Republice Federalnej Niemiec (C-582/14) jest kwestia identyfikowalności jednostki, czyli możliwości wskazania osoby, do której odnoszą się dane będące w posiadaniu konkretnego podmiotu. Dane dotyczące osób fizycznych podlegają ochronie w sytuacji, w której można je skojarzyć z konkretną osobą. Informacje o bliżej nieznanej osobie nie podlegają ochronie, nabierają waloru danych osobowych i podlegają regulacjom prawnym z zakresu ochrony danych osobowych, z chwilą gdy możemy wskazać, do kogo się one odnoszą. Ochronie podlegają także dane o osobie, której w danym momencie wprawdzie nie można wskazać, ale identyfikacja jest łatwa i nie wymaga nadmiernych sił i środków1. Identyfikowalność osoby zależy od okoliczności i wielu różnych czynników.

Postęp technologiczny powoduje, że możliwości wskazania konkretnej osoby są coraz doskonalsze. Dotyczy to w szczególności danych pozostawianych w sieci. Jednym z aspektów identyfikowalności użytkowników internetu zajął się TSUE w omawianej sprawie.

Przebieg sprawy

Niemiecki Federalny Trybunał Sprawiedliwości zwrócił się do TSUE z dwoma pytaniami prejudycjalnymi. Poniżej zajmiemy się tylko jednym z nich, dotyczącym właśnie pojęcia danych osobowych.

Pytanie brzmiało: „Czy art. 2 lit. a dyrektywy 95/46/WE powinien być interpretowany w ten sposób, że adres protokołu internetowego (adres IP), który usługodawca [dostawca usług medialnych online] rejestruje w związku z wejściem na jego stronę internetową, stanowi dla niego dane osobowe już wtedy, gdy osoba trzecia (tu: dostawca dostępu) dysponuje dodatkową wiedzą wymaganą do identyfikacji danej osoby?”.

Sprawa dotyczyła przetwarzania danych osoby przeglądającej publicznie dostępne strony internetowe niemieckich służb federalnych. Każde wejście na taką stronę jest rejestrowane w pliku logów. Po zakończeniu danej sesji w tych danych przechowuje się nazwę konsultowanych danych lub strony, pojęcia wpisane w polach wyszukiwania, dzień i godzinę konsultacji, ilość przesłanych danych, informację, czy konsultacja się powiodła, oraz adres IP komputera, za pomocą którego przeglądano określone dane lub strony. Głównym powodem zbierania takich informacji była ochrona przed atakami i ściganie hakerów.

Adres IP jest przyznawany użytkownikowi internetu przez dostawcę dostępu do sieci. Może mieć formę statycznego lub dynamicznego IP. W omawianej sprawie, P. Breyer zażądał zakazania przechowywania adresów IP po zakończeniu przeglądania stron, chyba że ich dalsze przechowywanie jest konieczne do przywrócenia dostępności tych mediów w przypadku awarii. Niemiecki sąd apelacyjny przyznał P. Breyerowi rację jedynie w części. Uznano, że dynamiczny adres IP stanowi dane osobowe dla operatora strony internetowej, o ile dostawcy znane są inne dane identyfikujące konkretnego użytkownika. Dodatkowe dane (np. adres e-mail) mogą zostać połączone z adresem IP i skutkować identyfikacją konkretnej osoby. [...]

Pełna treść w papierowym wydaniu kwartalnika ABI Expert styczeń-marzec 2017