Świat



TS UE: zachowanie danych osób odwiedzających witrynę a obrona przed atakami cybernetycznymi

adres IP| dane osobowe| Federalny Trybunał Sprawiedliości| hakerzy| Internet| Niemcy| witryna internetowa

włącz czytnik
TS UE: zachowanie danych osób odwiedzających witrynę a obrona przed atakami cybernetycznymi
Mapa części Internetu, Autor: The Opte Project. Źródło: wikipedia.org

Trybunał Sprawiedliwości Unii Europejskiej orzekł w wyroku z 19 października, że podmiot prowadzący witrynę internetową może mieć uzasadniony interes w zachowaniu niektórych danych osobowych osób odwiedzających, aby bronić się przed atakami cybernetycznymi.Dynamiczny adres protokołu internetowego osoby odwiedzającej stanowi dla podmiotu prowadzącego witrynę dane osobowe, gdy ten podmiot dysponuje środkami prawnymi umożliwiającymi mu zidentyfikowanie danej osoby odwiedzającej dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu osoby odwiedzającej.

Patrick Breyer przed niemieckimi sądami sprzeciwił się temu, aby witryny internetowe niemieckich służb federalnych, które przegląda, rejestrowały i przechowywały jego adresy protokołów internetowych (zwane dalej „adresami IP”)1. Służby te rejestrują i przechowują, poza datą i godziną konsultacji, adresy IP osób odwiedzających, aby zabezpieczyć się przed atakami cybernetycznymi i umożliwić ściganie karne.

Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy) zwrócił się do Trybunału Sprawiedliwości w celu ustalenia, czy w tym kontekście „dynamiczne” adresy IP stanowią, wobec tego podmiotu prowadzącego witrynę internetową, dane osobowe i są zatem objęte ochroną przewidzianą dla takich danych. Dynamiczny adres IP to adres IP, który zmienia się przy okazji każdego nowego połączenia z Internetem. W odróżnieniu od statycznych adresów IP, dynamiczne adresy IP nie umożliwiają powiązania - za pomocą publicznie dostępnych plików - danego komputera i fizycznego podłączenia do sieci wykorzystywanego przez dostawcę dostępu do Internetu. A zatem jedynie dostawca dostępu do Internetu P. Breyera dysponuje dodatkowymi informacjami koniecznymi do jego identyfikacji.

Ponadto Bundesgerichtshof dąży do ustalenia, czy podmiot prowadzący witrynę internetową powinien, przynajmniej co do zasady, mieć możliwość gromadzenia i późniejszego wykorzystywania danych osobowych osób odwiedzających w celu zapewnienia ogólnej funkcjonalności swojej witryny. Bundesgerichtshof wskazuje w tym względzie, że większość niemieckiej doktryny interpretuje uregulowania niemieckie w tej dziedzinie w ten sposób, że owe dane powinny zostać usunięte w momencie zakończenia danego przeglądania, o ile nie są one konieczne do wystawienia faktury.

W dzisiejszym wyroku Trybunał odpowiedział przede wszystkim, że dynamiczny adres IP zarejestrowany przez „dostawcę usług medialnych online” (czyli przez podmiot prowadzący witrynę internetową, w niniejszym wypadku niemieckie służby federalne) przy okazji przeglądania witryny internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego podmiotu prowadzącego dane osobowe2, gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby odwiedzającej, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu tej osoby.

Trybunał wskazał w tym względzie, że wydaje się, iż w Niemczech istnieją środki prawne umożliwiające dostawcy usług medialnych online3 zwrócenie się, w szczególności w przypadku ataków cybernetycznych, do właściwego organu, aby podjął on konieczne działania w celu uzyskania tych informacji od dostawcy dostępu do Internetu oraz w celu wszczęcia postępowania karnego.

Następnie Trybunał odpowiedział, że prawo Unii4 stoi na przeszkodzie uregulowaniu państwa członkowskiego, na podstawie którego dostawca usług medialnych online może gromadzić i wykorzystywać dane osobowe użytkownika tych usług - w braku jego zgody - tylko wtedy, jeżeli takie gromadzenie i wykorzystywanie są konieczne do umożliwienia konkretnego skorzystania ze wspomnianych usług przez tego użytkownika i zafakturowania kosztów takiego korzystania, przy czym cel polegający na zapewnieniu ogólnej funkcjonalności tychże usług nie może uzasadniać korzystania z tych danych po zakończeniu przeglądania danych mediów.

Trybunał przypomniał, że zgodnie z prawem Unii przetwarzanie danych osobowych jest zgodne z prawem, między innymi, gdy jest ono konieczne dla realizacji potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej lub osób trzecich, którym dane są ujawniane, z wyjątkiem sytuacji, gdy pierwszeństwo mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

Uregulowanie niemieckie, zgodnie z wykładnią przeważającą w doktrynie, ogranicza zakres tej zasady, wykluczając możliwość ważenia celu polegającego na zagwarantowaniu ogólnej funkcjonalności mediów online z interesem lub podstawowymi prawami i wolnościami osób odwiedzających.

W tym kontekście Trybunał podkreślił, że niemieckie służby federalne świadczące usługi medialne online mogą mieć uzasadniony interes w zapewnieniu, poza każdym konkretnym przypadkiem używania ich dostępnych publicznie witryn internetowych, ciągłości funkcjonalności tych witryn.

UWAGA: Odesłanie prejudycjalne pozwala sądom państw członkowskich, w ramach rozpatrywanego przez nie sporu, zwrócić się do Trybunału z pytaniem o wykładnię prawa Unii lub o ocenę ważności aktu Unii. Trybunał nie rozpoznaje sporu krajowego. Do sądu krajowego należy rozstrzygnięcie sprawy zgodnie z orzeczeniem Trybunału. Orzeczenie to wiąże w ten sam sposób inne sądy krajowe, które spotkają się z podobnym problemem.

Poprzednia 12 Następna

Świat

Zawartość i treści prezentowane w serwisie Obserwator Konstytucyjny nie przedstawiają oficjalnego stanowiska Trybunału Konstytucyjnego.

 
 
 

Załączniki

Brak załączników do artykułu.

 
 
 

Komentarze

Brak komentarzy.