Krótko i na temat: w wydanym dziś orzeczeniu TSUE stwierdził, że zbieranie adresów IP użytkowników internetu, którzy bezprawnie dzielą się chronionymi utworami, nie jest sprzeczne z przepisami o poufności komunikacji — o ile przy okazji nie są przechowywane inne dane prowadzące do naruszenia prywatności.
wyrok Trybunału Sprawiedliwości UE z 30 kwietnia 2024 r. w/s La Quadrature du Net (C‑470/21)
Art. 15 ust. 1 dyrektywy 2002/58 o prywatności i łączności elektronicznej nie stoi na przeszkodzie uregulowaniu krajowemu, które zezwala organowi publicznemu odpowiedzialnemu za ochronę praw autorskich i praw pokrewnych przed naruszeniami tych praw, do których dochodzi w Internecie, na dostęp do przechowywanych przez dostawców publicznie dostępnych usług łączności elektronicznej danych dotyczących tożsamości cywilnej odpowiadających adresom IP zbieranym wcześniej przez organizacje zrzeszające uprawnionych, aby ów organ mógł zidentyfikować posiadaczy tych adresów wykorzystywanych do aktywności mogącej stanowić takie naruszenia i aby mógł on w razie potrzeby zastosować wobec nich środki, pod warunkiem że na mocy tego uregulowania:
– dane te przechowywane są w warunkach i zgodnie z zasadami technicznymi, które gwarantują, że wykluczone jest, by ich przechowywanie mogło pozwalać na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego tych posiadaczy, na przykład poprzez ustalenie ich szczegółowego profilu, co można osiągnąć w szczególności poprzez nałożenie na dostawców usług łączności elektronicznej obowiązku przechowywania poszczególnych kategorii danych osobowych, takich jak dane dotyczące tożsamości cywilnej, adresy IP oraz dane o ruchu i dane dotyczące lokalizacji, gwarantującego rzeczywiście szczelne odseparowanie tych poszczególnych kategorii danych, które uniemożliwia na etapie przechowywania wszelkie powiązanie tych poszczególnych kategorii danych, przez okres nieprzekraczający tego, co ściśle niezbędne;
– dostęp tego organu publicznego do takich danych przechowywanych w sposób odseparowany i rzeczywiście szczelny służy wyłącznie zidentyfikowaniu osoby podejrzewanej o dopuszczenie się czynu zabronionego i towarzyszą mu gwarancje niezbędne do wykluczenia, by, poza sytuacjami nietypowymi, dostęp ten mógł pozwalać na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego posiadaczy adresów IP, na przykład poprzez ustalenie ich szczegółowego profilu, co wymaga w szczególności, by upoważnionych do posiadania takiego dostępu urzędników owego organu obowiązywał zakaz ujawniania w jakiejkolwiek formie informacji na temat zawartości plików przeglądanych przez tych posiadaczy, z jedynym wyjątkiem wiążącym się z ujawnieniem ich w celu zawiadomienia prokuratury, zakaz śledzenia historii treści przeglądanych przez owych posiadaczy oraz, ogólniej, zakaz wykorzystywania tych adresów IP do celów innych niż zidentyfikowanie ich posiadaczy, aby zastosować wobec nich ewentualne środki;
– możliwość powiązania przez osoby odpowiedzialne w ramach wspomnianego organu publicznego za analizę zdarzeń takich danych z plikami zawierającymi elementy umożliwiające poznanie tytułów utworów chronionych, których udostępnienie w Internecie uzasadniało zebranie adresów IP przez organizacje zrzeszające uprawnionych, jest uzależniona – w przypadkach kolejnego ponowienia aktywności naruszającej prawa autorskie lub prawa pokrewne przez tę samą osobę – od dokonania przez sąd lub niezależny organ administracyjny kontroli, która nie może być w pełni zautomatyzowana i powinna mieć miejsce przed dokonaniem takiego powiązania, ponieważ powiązanie to może w takich przypadkach pozwolić na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego wspomnianej osoby, której adres IP wykorzystano do aktywności mogącej naruszać prawa autorskie lub prawa pokrewne;
– system przetwarzania danych wykorzystywany przez organ publiczny podlega w regularnych odstępach czasu kontroli niezależnego organu mającego status strony trzeciej w stosunku do tego organu publicznego, mającej na celu weryfikację integralności systemu, w tym skutecznych gwarancji chroniących przed ryzykiem takiego dostępu do tych danych lub takiego ich wykorzystywania, które nosiłyby znamiona nadużycia lub byłyby niezgodne z prawem, oraz jego skuteczności i niezawodności w wykrywaniu ewentualnych uchybień.
Sprawa zaczęła się od wniesionej przez kilka organizacji społecznych skargi na prawo pozwalające francuskiemu urzędowi Hadopi na uzyskiwanie dostępu do danych użytkowników internetu (informacji o adresach IP, ściąganych plikach, etc.), a to w celu wysyłania „stopniowanych” ostrzeżeń o naruszeniach praw autorskich. Zdaniem skarżących przepisy pozwalające na zbieranie adresów IP prowadziły do niedopuszczalnej ingerencji w prawo do tajemnicy telekomunikacyjnej i prywatność użytkowników; francuska Rada Stanu powzięła jednak pewne wątpliwości, z którymi postanowiła się zwrócić do TSUE (por. „Przetwarzanie adresów IP osób naruszających prawa autorskie — w celu wysyłania im ostrzeżeń — nie narusza prawa do prywatności”; ciekawe, że później była druga opinia rzecznika generalnego).
W wydanym dziś wyroku Trybunał Sprawiedliwości UE przypomniał, że adres IP może być traktowany zarówno jako dane osobowe, jak i dane o ruchu telekomunikacyjnym. Natomiast potrzeba ochrony praw i wolności innych osób może stanowić przesłankę przetwarzania danych osobowych wskazaną w art. 6 ust. 1 lit. f) RODO. Nie można przy tym pomijać, iż HADOPI nie uzyskuje od operatorów pełnej informacji o danych osobowych użytkowników sieci — wysyłanie ostrzeżeń bazuje na identyfikatorze internetowym zakończenia sieci źródła (tj. osoby udostępniającej pliki w sieci), a więc nie obejmuje informacji o treści komunikacji i jej odbiorcach — tymczasem generowany adres IP zalicza się do danych o niższym stopniu wrażliwości.
art. 15 ust. 1 dyrektywy 2002/58 o prywatności i łączności elektronicznej
Państwa Członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków [dot. poufności komunikacji, danych o ruchu, identyfikacji numerów i lokalizacji użytkowników], gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (i.e. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej (…). W tym celu, Państwa Członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie.
Owszem, uogólnione i niezróżnicowane zbieranie danych o adresach IP może pozwalać na ustalenie precyzyjnych szczegółów z życia prywatnego internautów, a przez to prowadzi do poważnej ingerencji w prawo do prywatności — jednak ograniczenie takie może być uzasadnione potrzebą zwalczania przestępczości i innej nielegalnej działalności (por. wyrok TSUE z 5 kwietnia 2022 r., C-140/20). Zarazem wprowadzane przez poszczególne państwa przepisy nakazujące dostawcom internetu retencję adresów IP w celach związanych ze zwalczaniem przestępczości nie mogą pozwalać na łączenie tych informacji z innymi danymi o użytkownikach, w tym o przeglądanych treściach. (Tutaj TSUE wprost stwierdził, że dane te muszą być od siebie szczelnie odseparowane, zarówno na poziomie technicznym, jak i organizacyjnym.)
Skoro przetwarzanie adresów IP i uzyskanie dostępu do tych nie jest kwalifikowane jako poważna ingerencja w prawa podstawowe, nie wymaga kontroli sądowej. Uprzednia kontrola niezależnego organu będzie jednak wymagana wówczas, gdy dane są przetwarzane „łącznie”, tj. w sposób pozwalający na ustalenie precyzyjnych informacji o życiu prywatnym konkretnej osoby.