Jeśli adres IP pozwala na identyfikację, to jest daną osobową

Trybunał Sprawiedliwości Unii Europejskiej orzekł, że dynamiczny adres IP zarejestrowany przez podmiot, który prowadzi witrynę internetową, przy okazji jej przeglądania, jest wobec tego podmiotu daną osobową. Będzie tak w sytuacji, gdy dysponuje on środkami prawnymi, które umożliwiają mu zidentyfikowanie osoby, która odwiedza witrynę.

Sprawa, którą rozpatrywał Trybunał Sprawiedliwości Unii Europejskiej dotyczyła obywatela Niemiec Patricka Breyera, który sprzeciwił się rejestrowaniu i przechowywaniu jego adresu IP, przez strony internetowe służb federalnych. Zbierają one te dane, żeby chronić się przed atakami cybernetycznymi i skutecznie je ścigać i karać. Breyer skierował sprawę do sądu administracyjnego i zażądał, aby ten zakazał służbom federalnym przechowywania (lub zlecania przechowywania przez podmioty trzecie) adresu IP jego serwisu hostingowego. Powództwo P. Breyera zostało oddalone w pierwszej instancji, dlatego wniósł on apelację do sądu drugiej instancji.

Sąd apelacyjny zmienił częściowo wcześniejsze orzeczenie. Nakazał Republice Federalnej Niemiec zaprzestać przechowywania lub zlecania przechowywania przez osoby trzecie – po zakończeniu każdego przeglądania – adresu IP systemu hostingowego P. Breyera, przekazanego w trakcie przeglądania przez niego dostępnych publicznie stron mediów online.

Zdaniem sądu apelacyjnego dynamiczny adres IP w połączeniu z datą sesji, do której się on odnosi, stanowi, w sytuacji gdy dany użytkownik strony internetowej ujawnił swoją tożsamość w trakcie tej sesji, dane osobowe. Sąd stwierdził, że operator strony może zidentyfikować użytkownika poprzez zestawienie jego nazwiska z adresem IP jego komputera.

Zarówno P. Breyer, jak i Republika Federalna Niemiec wnieśli skargę rewizyjną do niemieckiego federalnego trybunału sprawiedliwości na orzeczenie sądu apelacyjnego. Trybunał stwierdził, że adres IP dostarcza wskazówek co do tego, jakie strony lub określone pliki w Internecie w określonych datach P. Breyer przegląda, jednak nie pozwalają bezpośrednio określić jego tożsamości.

W związku z wieloma wątpliwościami w sprawie niemiecki trybunał sprawiedliwości zawiesił postępowanie i zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej z pytaniem, czy dynamiczne adresy IP (takie, które zmieniają się przy okazji każdego nowego połączenia z Internetem) są danymi osobowymi. Pytał też, czy podmioty, które prowadzą serwisy internetowe, są administratorami danych wobec adresów IP swoich użytkowników i czy w związku z tym muszą stosować wobec nich zasady ochrony danych osobowych. Trybunał Sprawiedliwości UE odpowiedział, że dynamiczny adres IP zarejestrowany przez podmiot, który prowadzi witrynę internetową, przy okazji jej przeglądania, jest wobec tego podmiotu daną osobową. Będzie tak w sytuacji, gdy dysponuje on środkami prawnymi, które umożliwiają mu zidentyfikowanie osoby, która odwiedza witrynę.

Trybunał przypomniał też, że zgodnie z prawem UE, dostawca usług medialnych może wykorzystywać dane osobowe swojego użytkownika bez jego zgody tylko, jeśli jest to konieczne do umożliwienia konkretnego skorzystania z tych usług i zafakturowania kosztów takiego korzystania.