Κυριακή 29 Μαΐου 2016

Είναι οι διευθύνσεις ΙΡ προσωπικά δεδομένα; Προτάσεις του Γεν. Εισαγγελέα στην υπόθεση C-582/14


Στις 12 Μαΐου 2016 δημοσιεύθηκαν οι προτάσεις του ΓΕΝΙΚΟΥ ΕΙΣΑΓΓΕΛΕΑ MANUEL CAMPOS SÁNCHEZ-BORDONA της 12ης Μαΐου 2016 στην υπόθεση C‑582/14 Patrick Breyer κατά Bundesrepublik Deutschland.

Η υπόθεση αυτή είναι πολύ σημαντική, καθώς αφορά το νομικό χαρακτηρισμό των διευθύνσεων ΙΡ στο Διαδίκτυο ως προσωπικών δεδομένων. 


Όπως σημειώνεται στην απόφαση, διεύθυνση πρωτοκόλλου του διαδικτύου (στο εξής: διεύθυνση ΙΡ) είναι μια ακολουθία δυαδικών αριθμών η οποία όταν αποδίδεται σε μια συσκευή (υπολογιστή, ταμπλέτα, έξυπνο τηλέφωνο), εξακριβώνει την ταυτότητά της και της παρέχει πρόσβαση στο δίκτυο ηλεκτρονικών επικοινωνιών. Για να συνδεθεί στο διαδίκτυο, η συσκευή πρέπει να χρησιμοποιήσει την αριθμητική ακολουθία που παρέχουν οι φορείς παροχής υπηρεσιών προσβάσεως στο διαδίκτυο. Η διεύθυνση IP διαβιβάζεται στον διακομιστή όπου είναι αποθηκευμένη η ιστοσελίδα αντικείμενο της αναζητήσεως.  Ειδικότερα, οι φορείς παροχής υπηρεσιών προσβάσεως στο διαδίκτυο (γενικά, οι τηλεφωνικές εταιρίες) παρέχουν στους πελάτες τους τις λεγόμενες «δυναμικές διευθύνσεις IP», προσωρινά, για κάθε σύνδεση στο διαδίκτυο, τις οποίες αλλάζουν επ’ ευκαιρία επόμενων συνδέσεων. Οι εν λόγω εταιρίες τηρούν μητρώο στο οποίο καταγράφεται η διεύθυνση IP την οποία αντιστοιχούν, ανά πάσα στιγμή, σε συγκεκριμένη συσκευή. Οι κάτοχοι των δικτυακών τόπων στους οποίους παρέχεται πρόσβαση μέσω των δυναμικών διευθύνσεων IP συνηθίζουν επίσης να τηρούν μητρώα στα οποία καταγράφονται οι σελίδες που προσπελάστηκαν, η διάρκεια της επισκέψεως και η δυναμική διεύθυνση IP από την οποία πραγματοποιήθηκε η προσπέλαση. Από τεχνική άποψη, τα εν λόγω μητρώα μπορούν να διατηρηθούν χωρίς χρονικούς περιορισμούς μετά το πέρας της συνδέσεως κάθε χρήστη στο διαδίκτυο. Η δυναμική διεύθυνση IP δεν αρκεί από μόνη της για να μπορέσει ο φορέας παροχής των υπηρεσιών να εξακριβώσει την ταυτότητα του χρήστη της σελίδας του στο διαδίκτυο. Εντούτοις, η εξακρίβωση της ταυτότητας είναι εφικτή εάν η δυναμική διεύθυνση IP συνδυαστεί με άλλα πρόσθετα δεδομένα τα οποία διαθέτει ο φορέας παροχής προσβάσεως στο διαδίκτυο. Στη διαφορά της κύριας δίκης αμφισβητείται κατά πόσον οι δυναμικές διευθύνσεις IP αποτελούν δεδομένο προσωπικού χαρακτήρα, κατά το άρθρο 2, στοιχείο α΄, της οδηγίας 95/46/ΕΚ (3). Η απάντηση προϋποθέτει να καθορισθεί προηγουμένως η λυσιτέλεια για τον σκοπό αυτό του γεγονότος ότι τα πρόσθετα δεδομένα που απαιτούνται για την εξακρίβωση της ταυτότητας του χρήστη δεν βρίσκονται στη διάθεση του κατόχου του δικτυακού τόπου, αλλά τρίτου (συγκεκριμένα, του φορέα παροχής της υπηρεσίας προσβάσεως στο διαδίκτυο).


Ειδικότερα τα πραγματικά περιστατικά της υπόθεσης έχουν ως εξής:

Iστορικό: Ο P. Breyer άσκησε κατά της Ομοσπονδιακής Δημοκρατίας της Γερμανίας αγωγή παραλείψεως σχετικά με την αποθήκευση διευθύνσεων IP. Πολλοί δημόσιοι φορείς στη Γερμανία διατηρούν ελεύθερα προσβάσιμες στο κοινό διαδικτυακές πύλες στις οποίες γνωστοποιούν πληροφορίες από την επικαιρότητα. Με σκοπό την αποτροπή επιθέσεων και τη διευκόλυνση της ποινικής διώξεως των επιτιθέμενων καταγράφεται στις περισσότερες από τις πύλες αυτές κάθε πρόσβαση σε αρχεία πρωτοκόλλου. Σε αυτά αποθηκεύονται, ακόμη και μετά τη λήξη της εκάστοτε χρήσεως, το όνομα του αρχείου ή της ιστοσελίδας που τηλεφορτώθηκε, οι έννοιες που αναζητήθηκαν, ο χρόνος της τηλεφορτώσεως, η ποσότητα των δεδομένων που μεταφέρθηκαν, η αναφορά κατά πόσον ήταν επιτυχής η τηλεφόρτωση και η διεύθυνση ΙΡ του υπολογιστή που πραγματοποίησε την πρόσβαση. Ο P. Breyer, ο οποίος επισκέφθηκε διάφορες τέτοιες σελίδες, ζήτησε με την αγωγή του να υποχρεωθεί η Ομοσπονδιακή Δημοκρατία της Γερμανίας να παύσει να αποθηκεύει ή να αναθέτει σε τρίτους να αποθηκεύουν μετά τη λήξη της εκάστοτε χρήσεως τη διεύθυνση ΙΡ του συστήματος υποδοχής («host system») από το οποίο είχε πρόσβαση, εφόσον η αποθήκευση δεν είναι αναγκαία για την αποκατάσταση της διαθεσιμότητας του τηλεμέσου σε περίπτωση βλάβης. 

Η αγωγή του P. Breyer απορρίφθηκε σε πρώτο βαθμό. Εντούτοις, η έφεσή του έγινε εν μέρει δεκτή, και η Ομοσπονδιακή Δημοκρατία της Γερμανίας υποχρεώθηκε να παύσει να αποθηκεύει [διευθύνσεις ΙΡ] μετά τη λήξη της εκάστοτε χρήσεως. Η διαταγή παραλείψεως τελούσε υπό την προϋπόθεση ότι ο ενάγων δηλώνει στο πλαίσιο της χρήσεως τα προσωπικά του στοιχεία, ακόμη και με τη μορφή διευθύνσεως ηλεκτρονικού ταχυδρομείου, και ότι η αποθήκευση δεν είναι αναγκαία για την αποκατάσταση της διαθεσιμότητας του τηλεμέσου.

Κατόπιν ασκήσεως αναιρέσεως από αμφοτέρους τους διαδίκους, το τμήμα VI του Bundesgerichtshof (Ανώτατο Αστικό και Ποινικό Δικαστήριο, Γερμανία) υπέβαλε τα ακόλουθα προδικαστικά ερωτήματα:


1)      Πρέπει το άρθρο 2, στοιχείο α΄, της οδηγίας 95/46/ΕΚ […] να ερμηνευθεί υπό την έννοια ότι η διεύθυνση πρωτοκόλλου του διαδικτύου (ΙΡ) την οποία αποθηκεύει φορέας παροχής υπηρεσιών στο πλαίσιο προσβάσεως στην ιστοσελίδα του αποτελεί ως προς εκείνον δεδομένο προσωπικού χαρακτήρα σε περίπτωση που τρίτος (εν προκειμένω ο φορέας παροχής υπηρεσιών προσβάσεως στο διαδίκτυο) διαθέτει τα πρόσθετα δεδομένα που απαιτούνται για την εξακρίβωση της ταυτότητας του θιγόμενου προσώπου;
2)      Αντιτίθεται το άρθρο 7, στοιχείο στ΄, της οδηγίας για την προστασία των δεδομένων προσωπικού χαρακτήρα σε εθνική κανονιστική ρύθμιση κατά την οποία ο φορέας παροχής υπηρεσιών δύναται να συλλέγει και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα των χρηστών χωρίς τη συναίνεσή τους μόνο προκειμένου, εφόσον τούτο είναι αναγκαίο, να καταστεί δυνατή και να τιμολογηθεί η συγκεκριμένη χρήση του τηλεμέσου από τους εκάστοτε χρήστες, και κατά την οποία ο σκοπός της διασφαλίσεως της γενικής λειτουργικότητας του τηλεμέσου δεν μπορεί να δικαιολογήσει τη χρησιμοποίηση των δεδομένων μετά τη λήξη της εκάστοτε χρήσεως του τηλεμέσου;


Η απάντηση του Γεν. Εισαγγελέα 

Βάσει του άρθρου 2, στοιχείο α΄, της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, δυναμική διεύθυνση IP μέσω της οποίας χρήστης απέκτησε πρόσβαση στην ιστοσελίδα φορέα παροχής τηλεμέσων αποτελεί ως προς εκείνον “δεδομένο προσωπικού χαρακτήραˮ, στο μέτρο που φορέας παροχής υπηρεσιών προσβάσεως στο διαδίκτυο διαθέτει πρόσθετα δεδομένα τα οποία, σε συνδυασμό με τη δυναμική διεύθυνση IP, συμβάλλουν στην εξακρίβωση της ταυτότητας του χρήστη.




Το άρθρο 7, στοιχείο στ΄, της οδηγίας 95/46 έχει την έννοια ότι ο σκοπός της διασφαλίσεως της λειτουργικότητας του τηλεμέσου μπορεί, καταρχήν, να θεωρηθεί έννομο συμφέρον, του οποίου η επίτευξη δικαιολογεί την επεξεργασία του συγκεκριμένου δεδομένου προσωπικού χαρακτήρα, με την επιφύλαξη ότι το ως άνω συμφέρον προέχει του συμφέροντος ή των θεμελιωδών δικαιωμάτων και ελευθεριών του θιγόμενου προσώπου. Εθνική διάταξη η οποία δεν επιτρέπει να ληφθεί υπόψη το εν λόγω έννομο συμφέρον δεν συνάδει με το προμνησθέν άρθρο.»



Eιδικά όσον αφορά το ζήτημα του νομικού χαρακτηρισμού των διευθύνσεων ΙΡ, ο Γ. Εισαγγελέας διατυπώνει την κρίση ότι: 

"74. Ως εκ τούτου, φρονώ ότι, όπως αυτό διατυπώνεται από το Bundesgerichtshof, στο πρώτο ερώτημα πρέπει να δοθεί καταφατική απάντηση. Η δυναμική διεύθυνση IP πρέπει να χαρακτηρισθεί, ως προς τον φορέα παροχής υπηρεσιών διαδικτύου, δεδομένο προσωπικού χαρακτήρα λαμβανομένης υπόψη της υπάρξεως τρίτου (του φορέα παροχής προσβάσεως στο διαδίκτυο) στον οποίο μπορεί εύλογα αυτός να απευθυνθεί για να εξασφαλίσει άλλα πρόσθετα δεδομένα τα οποία, σε συνδυασμό με τη διεύθυνση ΙΡ, συμβάλλουν την εξακρίβωση της ταυτότητας ενός χρήστη."


Η αντίθεση λύση θα σήμαινε  ότι ο φορέας παροχής υπηρεσιών διαδικτύου "θα μπορούσε να τις διατηρεί επ’ αόριστον και μπορεί να ζητήσει, ανά πάσα στιγμή, από τον φορέα παροχής προσβάσεως στο διαδίκτυο τα πρόσθετα δεδομένα τα οποία θα συνδυάσει με τη διεύθυνση ΙΡ για να εξακριβώσει την ταυτότητα του χρήστη. Υπό τις συνθήκες αυτές, (....) η δυναμική διεύθυνση IP μετατρέπεται σε δεδομένο προσωπικού χαρακτήρα, οσάκις είναι διαθέσιμα τα έγκυρα πρόσθετα δεδομένα για την εξακρίβωση της ταυτότητας του χρήστη, εφαρμοζόμενης συναφώς της νομοθεσίας περί προστασίας των δεδομένων."


Η θέση αυτή, βεβαίως, έρχεται σε αντίθεση με την απόφαση του High Court της Ιρλανδίας στην υπόθεση Irish High Court in EMI Records & Ors -v-Eircom Ltd (2010), στην οποία έγινε δεκτό ότι οι διευθύνεις ΙΡ που συλλέγονται με σκοπό την ταυτοποίηση των ατόμων για την εφαρμογή της νομοθεσίας για την προστασία της πνευματικής ιδιοκτησίας, δεν είναι προσωπικά δεδομένα. Επίσης, συντάσσεται με την Γνώμη της ομάδας εργασίας του άρθρου 29 που δέχεται ότι οι διευθύνσεις ΙΡ είναι προσωπικά δεδομένα (βλ. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2009/wp159_en.pdf).