Δικαστήριο της Ευρωπαϊκής Ένωσης: Αποτελούν οι διευθύνσεις IP προσωπικά δεδομένα;

Τις προτάσεις του σε μία ιδιαίτερα σημαντική υπόθεση (C-582/14, Patrick Breyer κατά της Ομοσπονδιακής Δημοκρατίας της Γερμανίας) αναφορικά με το νομικό χαρακτηρισμό των διευθύνσεων ΙΡ στο Διαδίκτυο ως προσωπικών δεδομένων, δημοσίευσε πριν λίγες ημέρες ο Γενικός Εισαγγελέας του Δικαστηρίου της Ευρωπαϊκής Ένωσης, Manuel Campos Sánchez-Bordona.

Ο Patrick Breyer είχε προσφύγει εναντίον της γερμανικής κυβέρνησης, υποστηρίζοντας ότι η τελευταία παραβίασε το δικαίωμά του στην προστασία των προσωπικών δεδομένων, αποθηκεύοντας τη διεύθυνση IP του κατά την πλοήγησή του σε κυβερνητικές ιστοσελίδες, για διάστημα μεγαλύτερο από το απαραίτητο.

Οι κυβερνητικές ιστοσελίδες χρησιμοποιούν «logs», προκειμένου να τηρούν αρχείο των δυναμικών διευθύνσεων IP που είχαν πρόσβαση σε κάθε υπηρεσία, κάτι το οποίο, σύμφωνα με τον Breyer, συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Σύμφωνα με την κοινοτική νομοθεσία για την προστασία δεδομένων προσωπικού χαρακτήρα (Οδηγία 95/46/ΕΚ), η επεξεργασία αυτή απαγορεύεται, εκτός αν είναι δικαιολογημένη, όπως π.χ. εάν υπάρχει προηγούμενη συγκατάθεση.

Η κυβέρνηση της Γερμανίας υποστήριξε ότι τα «logs» είναι απαραίτητα για τη λειτουργία των ιστοσελίδων, καθώς αποτρέπουν την κατάχρησή τους και τις προστατεύουν από διαδικτυακές επιθέσεις.

Διαβάστε επίσης: Ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων

Η αγωγή του Breyer απορρίφθηκε σε πρώτο βαθμό, όμως η έφεσή του έγινε εν μέρει δεκτή, υποχρεώνοντας την Ομοσπονδιακή Δημοκρατία της Γερμανίας να παύσει να αποθηκεύει διευθύνσεις ΙΡ μετά τη λήξη της εκάστοτε χρήσεως.

Κατόπιν ασκήσεως αναιρέσεως, το τμήμα VI του Ανωτάτου Δικαστηρίου της Γερμανίας (Bundesgerichtshof) υπέβαλε στο Δικαστήριο της ΕΕ τα εξής προδικαστικά ερωτήματα:

1) Πρέπει το άρθρο 2, στοιχείο α΄, της οδηγίας 95/46/ΕΚ (για την προστασία των δεδομένων προσωπικού χαρακτήρα) να ερμηνευθεί υπό την έννοια ότι η διεύθυνση πρωτοκόλλου του διαδικτύου (ΙΡ) την οποία αποθηκεύει φορέας παροχής υπηρεσιών στο πλαίσιο προσβάσεως στην ιστοσελίδα του αποτελεί ως προς εκείνον δεδομένο προσωπικού χαρακτήρα σε περίπτωση που τρίτος (εν προκειμένω ο φορέας παροχής υπηρεσιών προσβάσεως στο διαδίκτυο) διαθέτει τα πρόσθετα δεδομένα που απαιτούνται για την εξακρίβωση της ταυτότητας του θιγόμενου προσώπου;

2) Αντιτίθεται το άρθρο 7, στοιχείο στ΄, της ίδιας οδηγίας σε εθνική κανονιστική ρύθμιση κατά την οποία ο φορέας παροχής υπηρεσιών δύναται να συλλέγει και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα των χρηστών χωρίς τη συναίνεσή τους μόνο προκειμένου, εφόσον τούτο είναι αναγκαίο, να καταστεί δυνατή και να τιμολογηθεί η συγκεκριμένη χρήση του τηλεμέσου από τους εκάστοτε χρήστες, και κατά την οποία ο σκοπός της διασφαλίσεως της γενικής λειτουργικότητας του τηλεμέσου δεν μπορεί να δικαιολογήσει τη χρησιμοποίηση των δεδομένων μετά τη λήξη της εκάστοτε χρήσεως του τηλεμέσου;

Σύμφωνα με το Γενικό Εισαγγελέα, στον όρο «προσωπικά δεδομένα» του άρθρου 2, στοιχείο α της προαναφερθείσας Οδηγίας, εντάσσονται και οι δυναμικές διευθύνσεις IP, εφόσον ο πάροχος πρόσβασης κατέχει πρόσθετες πληροφορίες που επιτρέπουν την εξακρίβωση της ταυτότητας ενός ατόμου.

«Η δυναμική διεύθυνση IP πρέπει να χαρακτηρισθεί, ως προς τον φορέα παροχής υπηρεσιών διαδικτύου, δεδομένο προσωπικού χαρακτήρα λαμβανομένης υπόψη της υπάρξεως τρίτου (του φορέα παροχής προσβάσεως στο διαδίκτυο) στον οποίο μπορεί εύλογα αυτός να απευθυνθεί για να εξασφαλίσει άλλα πρόσθετα δεδομένα τα οποία, σε συνδυασμό με τη διεύθυνση ΙΡ, συμβάλλουν την εξακρίβωση της ταυτότητας ενός χρήστη», όπως αναφέρει χαρακτηριστικά ο Γενικός Εισαγγελέας.

Όπως επισημαίνει στο ιστολόγιό του ο καθηγητής Δικαίου της Πληροφοριής, κύριος Ιγγλεζάκης, η θέση αυτή του Γενικού Εισαγγελέα έρχεται σε αντίθεση με την απόφαση του High Court της Ιρλανδίας στην υπόθεση Irish High Court in EMI Records & Ors -v-Eircom Ltd (2010), στην οποία έγινε δεκτό ότι οι διευθύνεις ΙΡ που συλλέγονται με σκοπό την ταυτοποίηση των ατόμων για την εφαρμογή της νομοθεσίας για την προστασία της πνευματικής ιδιοκτησίας, δεν είναι προσωπικά δεδομένα.

Επίσης, συντάσσεται με τη Γνώμη της ομάδας εργασίας του άρθρου 29 που δέχεται ότι οι διευθύνσεις ΙΡ είναι προσωπικά δεδομένα.

Ως προς το δεύτερο ερώτημα, ο Γενικός Εισαγγελέας προτείνει να δοθεί η απάντηση ότι «το άρθρο 7, στοιχείο στ΄, της οδηγίας 95/46 αντιτίθεται σε εθνική κανονιστική ρύθμιση της οποίας η ερμηνεία εμποδίζει φορέα παροχής υπηρεσιών να συλλέγει και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα των χρηστών χωρίς τη συναίνεσή τους, με σκοπό να διασφαλιστεί η γενική λειτουργικότητα του τηλεμέσου μετά τη λήξη της εκάστοτε χρήσεως».

Υπενθυμίζεται ότι οι προτάσεις του γενικού εισαγγελέα δεν δεσμεύουν το Δικαστήριο, ενώ η απόφαση επί της υποθέσεως θα εκδοθεί αργότερα.

Διαβάστε αναλυτικά τις προτάσεις του Γενικού Εισαγγελέα εδώ.