Niemieckie federalne służby państwowe zapisują na swoich stronach adresy IP odwiedzających je użytkowników. Jak stwierdził niemiecki aktywista Patrick Breyer, stan ten jest naruszeniem przepisów o ochronie danych osobowych. Przedmiotem skierowanego do Trybunału Sprawiedliwości UE pytania sądu, było czy sam dynamiczny adres IP może stanowić daną osobową.
Trybunał w wyroku z dnia 19 października 2016 r. w sprawie C‑582/14 przyznał rację skarżącemu. Wskazał on, iż sam dynamiczny adres IP pozwala ustalić państwowym służbom dostawcę dostępu do internetu. Mogą one zażądać od niego danych osoby, która w danym momencie posługiwała się wskazanym adresem IP. Tym sposobem są one w stanie ustalić tożsamość osoby, która odwiedziła prowadzoną przez nie stronę. Jest zatem możliwa pośrednia identyfikacja osoby, której dane dotyczą. W konsekwencji dynamiczne adresy IP są dla niemieckich służb danymi osobowymi.
Należy wobec tego zauważyć, że dana informacja, może być daną osobową, w zależności od podmiotu który jest w jej posiadaniu. To że nawet zmienne adresy IP zostały uznane za dane osobowe wynika z okoliczności sprawy.
W drugiej części wyroku Trybunał uznał, że niedopuszczalne jest ograniczanie przez prawo państwa członkowskiego, możliwości gromadzenia i wykorzystywania danych osobowych użytkowników, tylko do celu wystawienia faktury za usługę. Dostawca usług online może zbierać dane swoich użytkowników, dopóki mieści się to w ramach przepisów o ochronie danych osobowych. Nie można z góry przyjąć, że żadna sytuacja nie uzasadni takich działań. Jak stwierdził Trybunał, dostawca może bez zgody użytkownika zbierać i wykorzystywać jego dane osobowe, również w celu zapewnieniu ogólnej funkcjonalności swoich usług. Bezwzględny zakaz byłby naruszeniem normy obecnie obowiązującej dyrektywy, zgodnie z którą dostawca usług online ma możliwość ważenia celu polegającego na zagwarantowaniu ogólnej funkcjonalności mediów online, z interesem lub podstawowymi prawami i wolnościami swoich użytkowników. Przykładem celu dla którego można by zbierać dane swoich użytkowników jest ochrona przed cyberatakiem, o ile zbieranie danych dokonywane jest z odpowiednim umiarem co do ich ilości i zabezpieczeniami technicznymi pozyskanych informacji.
Bardzo ciekawe jest również to, że Trybunał wskazał, że podstawą przetwarzania danych przez podmioty publicznej może być również prawnie usprawiedliwiony cel administratora danych osobowych. Może to prowadzić do zmiany obecnie prezentowanej koncepcji tego, iż organy państwowe mogą przetwarzać dane osobowe tylko na podstawie przepisu prawa. Należy również wskazać, że GDPR w art. 6 ust. 1 wprost wskazuje, że prawnie usprawiedliwiony cel przetwarzania nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Źródła:
http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=1488101
http://www.rp.pl/Dane-osobowe/310209971-W-krajach-Unii-nawet-zmienne-IP-nalezy-do-danych-osobowych—wyrok-TSUE.html#ap-1
