Krótko i na temat, ale o tym może być jeszcze głośno: w wydanej kilka dni temu opinii rzecznik generalny TSUE stwierdził, że przetwarzanie adresów IP sprawców naruszeń praw autorskich w celu wysyłania im swoistych „ostrzeżeń” nie oznacza naruszenia prawa do zachowania prywatności w internecie — ponieważ w przeciwnym razie ustalenie tożsamości sprawcy naruszenia popełnionego w internecie byłoby niemożliwe (opinia rzecznika generalnego TSUE Macieja Szpunara w/s La Quadrature du Net, C-470/21).
Orzeczenie dotyczyło skargi na przepisy francuskiego prawa przewidujące zautomatyzowane i masowe przetwarzanie danych osobowych użytkowników internetu (powiązanych z przydzielonym adresem IP) w celu ochrony własności intelektualnej twórców. (Dla jasności: do abonentów, których łącze jest wykorzystywane do naruszeń praw autorskich jest wysyłane „zalecenie” „ostrzegające o grożących sankcjach. Zalecenie obejmuje również poinformowanie abonenta o zgodnej z prawem ofercie treści kulturalnych w Internecie, o istnieniu środków bezpieczeństwa zapobiegających naruszeniom obowiązków, jak również o zagrożeniach dla rozwoju twórczości artystycznej i dla gospodarki sektora kultury, jakie niosą ze sobą praktyki, które nie respektują praw autorskich i pokrewnych”; do zalecenia dołącza się informację o dacie i godzinie zakwestionowanego działania, natomiast jak dotąd takich zaleceń wysłano ok. 12,7 mln; por. HADOPI).
Zdaniem kilku organizacji społecznych uogólnione i niezróżnicowane, a także prowadzone bez kontroli sądowej, przetwarzanie danych użytkowników na potrzeby wysyłanych zaleceń jest środkiem nieproporcjonalnym do naruszeń, a przez to narusza przepisy dyrektywy o prywatności i łączności elektronicznej. Skarga trafiła do Conseil d’État, która postanowiła zwrócić się w trybie prejudycjalnym do TSUE z garścią pytań o charakter przetwarzania danych w postaci adresu IP pozwalającego ustalić tożsamość konkretnej osoby.
art. 15 ust. 1 dyrektywy 2002/58/WE dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej
Państwa Członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1–4, i art. 9 tej dyrektywy, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (i.e. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej (…). W tym celu, Państwa Członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas (…).
W wydanej opinii rzecznik generalny stwierdził, że:
- zasadą jest poufność łączności elektronicznej, zaś zachowanie poufności dotyczy nie tylko treści komunikacji, ale także danych o ruchu i lokalizacji użytkowników (por. „Prewencyjne, uogólnione i niezróżnicowane zatrzymywanie przez operatorów danych o ruchu i lokalizacji użytkowników narusza prawo Unii”);
- jednakże dopuszczalne jest uogólnione i niezróżnicowane (acz ograniczone czasowo) przetwarzanie adresów IP urządzeń końcowych — jeśli ów adres jest jedynym sposobem ustalenia tożsamości abonentów — w celu wykrywania i ścigania przestępstw popełnianych przez użytkowników sieci;
- wynika to z faktu, iż prawo do zachowania prywatności w łączności elektronicznej nie jest nieograniczone — zaś przesłanką do ograniczenia tych praw jest m.in. zapobieganie, dochodzenie, wykrywanie i karanie sprawców przestępstw, a także przypadków lub niedozwolonego używania systemów łączności;
- alternatywą dla przyjęcia, iż przetwarzanie adresów IP sprawców naruszeń praw autorskich jest dozwolone byłaby ogólna bezkarność pewnych swej anonimowości sprawców przestępstw popełnianych w internecie;
- skoro bowiem TSUE nie sprzeciwił się udostępnianiu adresów IP dla ustalania tożsamości użytkowników internetu w celu wytoczenia powództwa o ochronę praw autorskich (por. „Firmy dochodzące roszczeń autorskich mogą przetwarzać dane użytkowników sieci p2p — chyba że ich działalność polega na copyright trollingu„), to tym bardziej nie sposób sprzeciwić się gromadzeniu adresów IP w celu wysyłania ostrzeżeń osobom, które dopuszczają się naruszenia prawa autorskiego;
- pozyskiwanie danych o adresach IP w celu związanym z przeciwdziałaniom przestępstwom przeciwko własności intelektualnej nie wymaga uprzedniej kontroli sądowej lub niezależnego organu administracyjnego — zgromadzone informacje nie pozwalają na ustalenie wszystkiego, co użytkownik przegląda w internecie, a więc nie jest możliwe prześledzenie jego wszystkich działań.
Dla jasności: na razie jest to tylko opinia, na finalne orzeczenie jeszcze trochę poczekamy — ale jeśli ktoś mniej-więcej wie jak działa TSUE, ten już dziś domyśla się jakie będzie finalne rozstrzygnięcie.