Съд на ЕС: IP-адресите като лични данни и тяхното регистриране и съхраняване

Стана известно решение на Съда на ЕС по  дело C‑582/14 с предмет преюдициално запитване, отправено   от Bundesgerichtshof (Федерален върховен съд, Германия)  в рамките на производство по дело Patrick Breyer срещу Bundesrepublik Deutschland. Преюдициалното запитване се отнася до тълкуването на   Директива 95/46/ЕО за личните данни.

Г‑н Breyer е ползвал няколко интернет сайта на германските федерални служби. При повечето от тези сайтове всички влизания се регистрират в ежедневни файлове с цел защита от атаки и осъществяване на наказателно преследване срещу „пиратите“. След действието на ползване на въпросните сайтове в тези файлове се съхраняват наименованието на ползвания сайт или файл, въведените думи в полетата за търсене, датата и часа на ползването, прехвърленото количество данни, съобщението дали ползването е било успешно и IP адресът на компютъра, от който е осъществено ползването.

Г‑н Breyer подава жалба до германските административни юрисдикции с предмет да се забрани на Федерална република Германия да съхранява лично или чрез трети лица, след действието на ползване на общодостъпните сайтове на онлайн медии на германските федерални служби, IP адреса на получаващата достъп хост система на г‑н Breyer. В първоинстанционното производство жалбата на г‑н Breyer е отхвърлена, той обжалва. Според въззивната юрисдикция динамичен IP адрес заедно с датата на действието на ползване, към която то се отнася, представляват лични данни, когато съответният ползвател на интернет сайт е разкрил самоличността си при ползването, защото администраторът на сайта може да идентифицира ползвателя, като засече името му с IP адреса на компютъра му. Тя осъжда Федерална република Германия да се въздържа от съхраняване лично или чрез трети лица на IP адреса, доколкото съхраняването не е необходимо за възстановяване на излъчването на електронната медия в случай на смущения.

Същевременно динамичните IP адреси на компютъра на г‑н Breyer, съхранени от Федерална република Германия в качеството ѝ на доставчик на онлайн медийни услуги,   не позволяват да се установи пряко самоличността на г‑н Breyer. Администраторите могат да идентифицират г‑н Breyer само ако доставчикът на интернет услуги им предаде информация относно самоличността на този ползвател. Квалифицирането на динамичните IP адреси   като лични данни според тази юрисдикция зависи от това дали лицето подлежи на идентификация.

При тези условия  Bundesgerichtshof (Федерален върховен съд) спира производството, за да отправи запитване към Съда на ЕС. Запитващата юрисдикция  уточнява, че доставчиците на онлайн медийни услуги могат да събират и използват лични данни на ползвател само доколкото това е необходимо

  • за да се даде възможност и се отчете използването на тези медии и
  • за да се гарантира сигурността и продължителността на доброто функциониране на сайтовете на онлайн медийните услуги, които са общодостъпни, позволявайки по-специално да се разпознаят информационните атаки, наречени „Denial-of-Service“, които целят да се блокира функционирането на тези сайтове чрез целенасочено и координирано претоварване на определени интернет сървъри с голям брой запитвания, и за да се води борба срещу тези атаки.

Въпросите:

„1)      Трябва ли член 2, буква а) от Директива 95/46 да се тълкува в смисъл, че адрес по интернет протокол (IP адрес), който се запазва от доставчик на [онлайн медийни] услуги при влизане в неговия интернет сайт, представлява за него лични данни и когато трето лице (в случая — доставчикът на услугата за достъп) разполага с допълнителната информация, необходима за идентифицирането на съответното лице?

2)      Допуска ли член 7, буква е) от [тази директива] разпоредба от националното право, съгласно която доставчикът на [онлайн медийни] услуги може да събира и използва лични данни за ползвател без неговото съгласие само доколкото е необходимо, за да се даде възможност и да се отчете конкретното ползване на електронна медия от съответния ползвател, и съгласно която целта за осигуряване на общата функционална способност на електронната медия не може да оправдае използването на данните след края на съответното действие на ползване?“.

Съдът:

1

Съдът е приел по същество, че IP адресите на ползвателите на интернет са защитени лични данни, тъй като позволяват точното идентифициране на тези ползватели – но когато събирането и идентифицирането на IP адресите на ползвателите на интернет се извършва от доставчиците на интернет услуги. В случая доставчикът на онлайн медийни услуги, а именно Федерална република Германия, запазва IP адресите на ползвателите на интернет сайт, до който този доставчик на услуги предоставя достъп, без ФРГ да разполага с допълнителната информация, необходима за да бъдат тези ползватели идентифицирани.

Освен това безспорно е, че IP адресите, на които се позовава запитващата юрисдикция, са „динамични“ IP адреси, а именно временни такива, които се предоставят при всяко свързване с интернет, като се заменят при последващо свързване, а не „статични“ IP адреси, които не се променят и позволяват постоянното идентифициране на устройството, свързано с мрежата. Динамичен IP адрес не представлява информация относно „идентифицирано физическо лице“, доколкото такъв адрес не разкрива пряко самоличността на физическото лице, собственик на компютъра, от който е ползван интернет сайт, нито тази на друго лице, което би могло да използва този компютър.

Следва обаче да се определи дали възможността за комбиниране на динамичен IP адрес с  допълнителна информация, притежавана от доставчика на интернет услуги, представлява средство, което би могло да бъде използвано разумно за идентифицирането на съответното лице.

По първия въпрос: динамичен IP адрес, запазен от доставчик на онлайн медийни услуги по повод на ползването от дадено лице на интернет сайт, до който този доставчик предоставя достъп, представлява по отношение на въпросния доставчик лични данни по смисъла на тази разпоредба, когато същият разполага със законни средства, позволяващи му да идентифицира съответното лице благодарение на допълнителната информация, с която разполага доставчикът на интернет услуги на това лице.

2

Обработването на лични данни е законосъобразно, наред с други хипотези,  когато „е необходимо за целите на законните интереси, преследвани от администратора или от трето лице или лица, на които се разкриват данните, с изключение на случаите, когато   имат преимущество интереси, свързани с основните права и свободи на съответното физическо лице”.

Според националното право (член 15 от TMG)  доставчикът на услуги може да събира и използва лични данни на ползвател единствено доколкото това е необходимо, за да се даде възможност и да се отчете конкретното ползване на електронните медии. По този начин член 15 от TMG не би допуснал най-общо съхраняването на лични данни в края на ползване на електронни медии, за да се гарантира използването на тези медии. Националното право изключва целта за осигуряване на общата функционална способност на посочената електронна медия да може да бъде предмет на претегляне с интереса или правата и основните свободи на тези ползватели, които изискват защита по силата на член 1, параграф 1 от тази директива.

По втория въпрос: не допуска правна уредба на държава членка, по силата на която доставчик на онлайн медийни услуги може да събира и използва лични данни за ползвател на тези услуги при липса на съгласие от негова страна само доколкото събирането и използването са необходими, за да се даде възможност и да се отчете конкретното ползване на посочените услуги от ползвателя, без целта за осигуряване на общата функционална способност на тези услуги да може да оправдае използването на данните след действие на ползването им.

Или, както става ясно, доставчиците имат право да съхраняват лични данни за целите на защита на функционирането на сайта, например за защита срещу кибератаки.

повече

Tagged

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s