Usługodawca może przetwarzać dane o adresie IP usługobiorcy po zakończeniu korzystania z usług (wyrok TSUE C-582/14)

W wydanym dziś wyroku TSUE wypowiedział się na ciekawy temat: czy dopuszczalne jest przetwarzanie danych osobowych (adres IP) przez administratora serwisu internetowego także po zakończeniu przeglądania strony internetowej — a to ze względu na przeciwdziałanie zagrożeniom cybernetycznym?

wyrok Trybunału Sprawiedliwości EU z 19 października 2016 r. w sprawie Patrick Breyer przeciwko Niemcom (C-582/14)
1) Artykuł 2 lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że dynamiczny adres protokołu internetowego zarejestrowany przez dostawcę usług medialnych online przy okazji przeglądania przez daną osobę strony internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego dostawcy dane osobowe w rozumieniu tego przepisu, w sytuacji gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby, której dane dotyczą, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu dla tej osoby.
2) Artykuł 7 lit. f) dyrektywy 95/46 należy interpretować w ten sposób, że stoi on na przeszkodzie uregulowaniu państwa członkowskiego, na podstawie którego dostawca usług medialnych online może gromadzić i wykorzystywać dane osobowe użytkownika tych usług — w braku jego zgody — tylko wtedy, jeżeli takie gromadzenie i wykorzystywanie są konieczne do umożliwienia konkretnego skorzystania ze wspomnianych usług przez tego użytkownika i zafakturowania kosztów takiego korzystania, przy czym cel polegający na zapewnieniu ogólnej funkcjonalności tychże usług nie może uzasadniać korzystania z tych danych po zakończeniu przeglądania danych mediów.

Sprawy miały się następująco: obywatel Republiki Federalnej Niemiec wniósł do sądu skargę przeciwko przetwarzaniu przez administratorów serwisów internetowych należących do służb federalnych adresów IP zakończeń sieci, z których korzystają użytkownicy odwiedzający te strony. Retencja tych danych miała na celu m.in. zabezpieczenie przed atakami cybernetycznymi i umożliwienie ścigania sprawców takich zagrożeń.

Rozpatrujący sprawę sąd powziął wątpliwość: czy dynamiczny adres IP, który z zakończeniem sieci może powiązać wyłącznie operator telekomunikacyjny (dostawca internetu), jest daną osobową? Oraz czy dane takie muszą być nadal przechowywane także po zakończeniu korzystania z usług (czyli po opuszczeniu strony)?

Zdaniem TSUE dane w postaci dynamicznego adresu IP stanowią dane osobowe, o ile administrator serwisu dysponuje środkami prawnymi umożliwiającymi zidentyfikowanie użytkownika, a to poprzez informacje posiadane przez dostawcę internetu. Niemieckie prawo przewiduje taką możliwość (w przypadku ataków cybernytycznych), jednak przetwarzanie takich danych jest dopuszczalne ze względu na uzasadniony interes administratora serwisu lub innych osób.

Osobiście niespecjalnie dziwi mnie konkluzja orzeczenia: nie miałem nigdy wątpliwości, że usługodawca może przetwarzać dane użytkowników także po opuszczeniu przez nich strony internetowej. Natomiast szkoda, że w pytaniu prejudycjalnym nie odniesiono się do kwestii okresu przechowywania tych danych — jakby na to nie patrzeć adekwatność przetwarzania danych miałaby tu coś na rzeczy…

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

0 komentarzy
Inline Feedbacks
zerknij na wszystkie komentarze