Επισκόπηση νομολογίας σχετικά με την προστασία προσωπικών δεδομένων από τον Ευρωπαίο Επόπτη

Ο Ευρωπαίος Επόπτης Προστασίας Προσωπικών Δεδομένων δημοσίευσε στις 15-3-2016 ένα εσωτερικό έγγραφο που συντάχθηκε από τις μονάδες του Οργανισμού "Πολιτική και Διαβούλευση" (Policy and Consultation) και "Επιτήρηση και Επιβολή (Supervision and Enforcement), στο οποίο περιλαμβάνονται περιλήψεις αποφάσεων που αφορούν ζητήματα προσωπικών δεδομένων.

Η επισκόπηση νομολογίας του Ευρωπαίου Επόπτη περιέχει νομολογία όχι μόνο του Δικαστηρίου της ΕΕ και του ΕΔΔΑ, αλλά και εθνικών δικαστηρίων της ΕΕ σε ζητήματα που αφορούν:

• το δικαίωμα προστασίας προσωπικών δεδομένων
• το δικαίωμα προστασίας της προσωπικής ζωής
• την πρόσβαση σε έγγραφα και
• το δικαίωμα στην ελευθερία της έκφρασης

Επίσης, η επισκόπηση περιλαμβάνει αναφορά σε δικαστικές αποφάσεις των οποίων αναμένεται η έκδοση.

Βλ. EDPS, "Case Law Overview,1 December 2014 - 31 December 2015", working document, 15 March 2015

Ευθύνη του επιτηδευματία που θέτει στη διάθεση του κοινού ασύρματο τοπικό δίκτυο με πρόσβαση στο Διαδίκτυο από τρίτους χωρίς προστασία

ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (τρίτο τμήμα) της 15ης Σεπτεμβρίου 2016 στην υπόθεση C‑484/14,Tobias Mc Fadden κατά Sony Music Entertainment Germany GmbH, 

Η παραπάνω απόφαση αφορά το ζήτημα της ευθύνης ιδιοκτήτη διαδικτυακής σύνδεσης, o οποίος διατηρεί σε λειτουργία ασύρματο δίκτυο (Wi-Fi), ανοικτό στο κοινό και δωρεάν, για την παραβίαση δικαιωμάτων πνευματικής ιδιοκτησίας από τρίτους - χρήστες του δικτύου, καθώς και κατά πόσο μπορεί να υποχρεωθεί να ασφαλίσει την πρόσβαση στο δίκτυό του με κωδικό πρόσβασης, ώστε να μην γίνεται παράνομη τηλεφόρτωση έργων κατά παράβαση δικαιωμάτων πνευματικής ιδιοκτησίας. Στις 16-3-2016 δημοσιεύθηκαν οι προτάσεις του Γεν. Εισαγγελέα του ΔΕΕ (βλ. http://informaticslaw.blogspot.gr/2016/03/blog-post.html) και πλέον με την έκδοση της απόφασης του ΔΕΕ επιλύεται μια σημαντική πτυχή της ευθύνης των παρόχων υπηρεσιών Διαδικτύου. 

Η αίτηση προδικαστικής απόφασης υποβλήθηκε στο πλαίσιο διαφοράς μεταξύ του Tobias Mc Fadden και της Sony Music Entertainment Germany GmbH, όσον αφορά ενδεχόμενη ευθύνη του πρώτου για τη χρήση, από τρίτον, του ασύρματου τοπικού δικτύου [Wireless local area network (WLAN)] που διατηρεί σε λειτουργία ο T. Mc Fadden, προκειμένου να θέσει στη διάθεση του κοινού, χωρίς άδεια, ηχητική εγγραφή που παρήγαγε η Sony Music.

Συγκεκριμένα, ο Τ. Mc Fadden ήταν διευθυντής μιας επιχείρησης πωλήσεως και εκμισθώσεως τεχνικού εξοπλισμού εικόνας και ήχου, διατηρούσε δε σε λειτουργία ασύρματο τοπικό δίκτυο με το οποίο προσέφερε, πλησίον της επιχειρήσεώς του, δωρεάν και ανώνυμη πρόσβαση στο διαδίκτυο, κάνοντας για το σκοπό αυτό χρήση υπηρεσιών επιχειρήσεως τηλεπικοινωνιών. Η πρόσβαση στο ως άνω δίκτυο δεν προστατεύεται ηθελημένα, έτσι ώστε να ελκύεται η προσοχή στην επιχείρησή του των πελατών των παρακείμενων καταστημάτων, των περαστικών και των γειτόνων. Το Σεπτέμβριο του 2010, ένα μουσικό έργο προσφέρθηκε δωρεάν στο διαδίκτυο, χωρίς την άδεια των δικαιούχων του, μέσω του ασύρματου τοπικού δικτύου του Τ. Mc Fadden, ο οποίος ισχυρίσθηκε ότι δεν διέπραξε ο ίδιος την προσαπτόμενη προσβολή, αλλά δεν αποκλείει το ενδεχόμενο να διαπράχθηκε από κάποιον από τους χρήστες του δικτύου του. 

Εν προκειμένω, η Sony Music ήταν παραγωγός της ηχητικής εγγραφής του έργου αυτού και με την ιδιότητά της αυτή, όχλησε, με έγγραφο της 29ης Οκτωβρίου 2010, τον Τ. Mc Fadden ζητώντας τον σεβασμό των δικαιωμάτων της επί της εν λόγω ηχητικής εγγραφής. Στη συνέχεια, ο T. Mc Fadden άσκησε ενώπιον του αιτούντος δικαστηρίου αρνητική αναγνωριστική αγωγή (negative Feststellungsklage) και προς απάντηση, η Sony Music άσκησε διάφορες ανταγωγές επί παραλείψει. Με απόφαση της 16ης Ιανουαρίου 2014, εκδοθείσα ερήμην του T. Mc Fadden, το αιτούν δικαστήριο απέρριψε την αγωγή του και δέχθηκε τις ανταγωγές επί παραλείψει της Sony Music. Ακολούθως, ο τελευταίος άσκησε ανακοπή κατά της αποφάσεως αυτής, ισχυριζόμενος ότι αποκλείεται η ευθύνη του δυνάμει των διατάξεων του γερμανικού δικαίου που μεταφέρουν στην εθνική έννομη τάξη το άρθρο 12 παρ. 1 της οδηγίας 2000/31. 

Στο πλαίσιο της διαδικασίας ανακοπής, η Sony Music ζήτησε να επικυρωθεί η εκδοθείσα ερήμην απόφαση και, επικουρικώς, στην περίπτωση που δεν γίνει δεκτή από το δικαστήριο άμεση ευθύνη του T. Mc Fadden, να επιδικαστεί σε βάρος του αποζημίωση βάσει της γερμανικής νομολογίας για την έμμεση ευθύνη (Störerhaftung) των διατηρούντων σε λειτουργία ασύρματο τοπικό δίκτυο, τούτο δε διότι δεν έλαβε μέτρα προστασίας του ασύρματου τοπικού δικτύου του και παρείχε έτσι τη δυνατότητα σε τρίτους να προσβάλουν τα δικαιώματα της Sony Music.

Το γερμανικό δικαστήριο δέχθηκε ότι η προσβολή των δικαιωμάτων της Sony Music δεν διεπράχθη προσωπικά από τον T. Mc Fadden, αλλά από άγνωστο χρήστη του ασύρματου τοπικού δικτύου του, ωστόσο, εξέτασε το ενδεχόμενο να υφίσταται έμμεση ευθύνη (Störerhaftung) του, λόγω του ότι ο T. Mc Fadden δεν προστάτευσε το δίκτυό του επιτρέποντας έτσι την ανώνυμη διάπραξη της εν λόγω προσβολής. Το ερώτημα είναι - στο πλαίσιο αυτό - εάν η απαλλαγή από την ευθύνη που προβλέπεται στο άρθρο 12 παρ. 1 της οδηγίας 2000/31 αποκλείει κάθε είδους ευθύνη του T. Mc Fadden. 

Κατ' ακολουθία, το Πρωτοδικείο του Μονάχου απηύθυνε μια σειρά προδικαστικά ερωτήματα προς τα ΔΕΕ. Τα πρώτα τρία αφορούν την έννοια "υπηρεσία της κοινωνίας της πληροφορίας" σύμφωνα με την οδηγία 2000/31 και αν η δραστηριότητα της παροχής πρόσβασης σε ένα ασύρματο δίκτυο εμπίπτει σε αυτήν. Τα υπόλοιπα ερωτήματα αφορούν το κατεξοχήν ζήτημα της ευθύνης του παρέχοντος πρόσβαση σε ένα ασύρματο δίκτυο, μεταξύ των οποίων και το ερώτημα αν μπορεί να εκδοθεί διαταγή κατά των παρόχων της προσβάσεως με την οποία υποχρεώνονται να μην επιτρέπουν στο μέλλον σε τρίτους, μέσω συγκεκριμένης διαδικτυακής συνδέσεως, να θέτουν στη διάθεση του κοινού, σε ομότιμο δίκτυο (peer-to-peer), ορισμένο έργο που προστατεύεται από δικαιώματα του δημιουργού, όπως και εάν μπορεί να εκδοθεί απόφαση εθνικού δικαστηρίου με την οποία ο παρέχων πρόσβαση να υποχρεώνεται, επ’ απειλή χρηματικής ποινής, να παραλείπει στο μέλλον να καθιστά δυνατό σε τρίτους, μέσω συγκεκριμένης διαδικτυακής συνδέσεως, να παρέχουν ηλεκτρονική πρόσβαση, μέσω ιστοσελίδων διαδικτυακών ανταλλαγών, σε ορισμένο έργο το οποίο προστατεύεται από δικαιώματα διανοητικής ιδιοκτησίας ή σε μέρη αυτού, και με την οποία επαφίεται στον παρέχοντα την πρόσβαση να επιλέξει ποια συγκεκριμένα τεχνικά μέτρα θα λάβει προκειμένου να ανταποκριθεί στη διαταγή αυτή. Και ακόμα, αν ο παρέχων την πρόσβαση δύναται εν τοις πράγμασι να ανταποκριθεί στην απαγόρευση του δικαστηρίου μόνον με τη διακοπή της διαδικτυακής συνδέσεως ή προστατεύοντάς τη με κωδικό προσβάσεως (password) ή ελέγχοντας κάθε επικοινωνία που διεξάγεται μέσω αυτής ως προς το αν το συγκεκριμένο έργο που προστατεύεται από δικαιώματα διανοητικής ιδιοκτησίας μεταδίδεται εκ νέου παρανόμως.

Το Δικαστήριο δέχθηκε, καταρχήν, ότι υπηρεσίες όπως η δωρεάν παροχή πρόσβασης στο Ίντερνετ μέσω ασύρματου δικτύου αποτελεί υπηρεσία της κοινωνίας της πληροφορίας, κατά το άρθρο 12 § 1 σε συνδυασμό με το άρθρο 2 στοιχ. α' της οδηγίας 2000/31 και το άρθρο 1 σημείο 2 της οδηγίας 98/34, εφόσον πραγματοποιείται με σκοπό να διαφημιστούν προϊόντα ή υπηρεσίες που πωλεί ή παρέχει ο ίδιος (σκ. 43). Εξ αντιδιαστολής συνάγεται ότι δεν αποτελεί τέτοια υπηρεσία η παροχή ελεύθερης πρόσβασης στο Διαδίκτυο μέσω ασύρματου τοπικού δικτύου, σε τρίτους, από έναν ιδιώτη, όπως συμβαίνει στην περίπτωση που δεν κλειδώνει ένας χρήστης το ασύρματο δίκτυο που διαθέτει.

Περαιτέρω, το Δικαστήριο καθιστά σαφές ότι δεν απαιτείται να υπάρχει συμβατική σχέση μεταξύ του αποδέκτη και του παρόχου της ως άνω υπηρεσίας (σκ. 54). Ακόμα, καθιστά σαφές ότι στην περίπτωση της απαλλαγής από την ευθύνη για την απλή μετάδοση (άρθρο 12 § 1 της οδηγίας 2000/31), δεν εφαρμόζεται η διάταξη άλλου άρθρου που προβλέπει ότι πρέπει ο πάροχος να αφαιρέσει ή να καταστήσει αδύνατη την πρόσβαση σε πληροφορίες όταν πληροφορηθεί ότι ορισμένες από τις πληροφορίες που αποθηκεύει ένας χρήστης της υπηρεσίας είναι παράνομες (σκ. 65).

Πιο πέρα, η απόφαση αναφέρεται στη διεκδίκηση αξιώσεων από τον δικαιούχο έναντι του παρόχου της υπηρεσίας πρόσβασης σε τοπικό ασύρματο δίκτυο και δέχεται ότι "το άρθρο 12, παράγραφος 1, της οδηγίας 2000/31 έχει την έννοια ότι αντιτίθεται στο να ζητήσει ο θιγείς από την προσβολή των δικαιωμάτων του επί ενός έργου αποζημίωση από τον παρέχοντα πρόσβαση σε δίκτυο επικοινωνιών με το αιτιολογικό ότι μία από τις προσβάσεις αυτές χρησιμοποιήθηκε από τρίτους για την προσβολή των δικαιωμάτων του, καθώς και την επιστροφή των εξόδων οχλήσεων και των δικαστικών εξόδων στα οποία υποβλήθηκε για την άσκηση αγωγής αποζημιώσεως. Αντιθέτως, η διάταξη αυτή έχει την έννοια ότι δεν αντιτίθεται στο να ζητήσει το πρόσωπο αυτό την παράλειψη στο μέλλον της εν λόγω προσβολής, καθώς και την επιστροφή των εξόδων οχλήσεων και των δικαστικών εξόδων στα οποία υποβλήθηκε στρεφόμενος κατά του παρέχοντος πρόσβαση σε δίκτυο επικοινωνιών του οποίου οι υπηρεσίες χρησιμοποιήθηκαν για την διάπραξη της προσβολής, στην περίπτωση που τα αιτήματα αυτά αφορούν ή έπονται της εκδόσεως διαταγής από εθνική διοικητική αρχή ή εθνικό δικαστήριο που υποχρεώνει τον εν λόγω παρέχοντα την πρόσβαση να μην επιτρέπει στο μέλλον την ως άνω προσβολή".

Τέλος, το Δικαστήριο εξέτασε τα μέτρα που δύναται να λάβει ο πάροχος της άνω υπηρεσίας. Κατά πρώτον, δέχεται ότι δεν μπορεί να του επιβληθεί η υποχρέωση επιτήρησης του συνόλου των μεταδιδόμενων πληροφοριών ενόψει της απαγόρευσης επιβολής γενικής υποχρεώσεως ελέγχου των πληροφοριών που οι πάροχοι μεταδίδουν κατά το άρθρο 15 § 1 της οδηγίας 2000/31 (σκ. 87). 

Η πλήρης διακοπής της σύνδεσης στο διαδίκτυο δεν δύναται, επίσης, να επιβληθεί, διότι η εφαρμογή ενός τέτοιου μέτρου θα έθιγε σημαντικά την επιχειρηματική του ελευθερία (σκ. 88) και διότι το μέτρο αυτό δεν συμβάλει στην εξασφάλιση μιας δίκαιης ισορροπίας μεταξύ των θεμελιωδών δικαιωμάτων που πρέπει να έρθουν σε συγκερασμό (σκ. 88,89).

Ωστόσο, το μέτρο που συνίσταται στην προστασία με χρήση κωδικού της σύνδεσης στο διαδίκτυο μπορεί να επιβληθεί με δικαστική απόφαση, καθώς δεν θίγει το ουσιώδες περιεχόμενο του δικαιώματος της επιχειρηματικής ελευθερίας του παρόχου, ούτε και τη δυνατότητα των χρηστών να έχουν πρόσβαση σε πληροφορίες, αφού δεν εμποδίζεται η πρόσβασή τους σε πληροφορίες (σκ. 90-94). Μάλιστα, το μέτρο αυτό κρίνεται πρόσφορο να αποτρέψει τους χρήστες της σύνδεσης αυτής να προσβάλλει δικαιώματα πνευματικής ιδιοκτησίας, διότι αυτοί πρέπει να αποκαλύψουν την ταυτότητά τους προκειμένου να αποκτήσουν κωδικό (σκ. 96).

Βεβαίως, δεν υπάρχει υποχρέωση των παρόχων υπηρεσιών πρόσβασης ασυρμάτων δικτύων να θέτουν κωδικούς ασφαλείας εκ προοιμίου, προτού εκδοθεί σχετική απόφαση εθνικού Δικαστηρίου, καθώς τούτο δεν καθιερώνεται νομοθετικά, αλλά αποτελεί ένα πρόσφορο μέτρο για τη διασφάλιση των δικαιωμάτων των δικαιούχων, σε περίπτωση που μια διαφορά σχετική με παραβίαση δικαιωμάτων του δημιουργού ή συγγενικών δικαιωμάτων αχθεί προς κρίση ενώπιον δικαστηρίου.

Μεταπώληση εφεδρικού αντιγράφου προγράμματος η/υ

Με την απόφαση της 12ης Οκτωβρίου 2016 στην υπόθεση C-166/15 (Aleksandrs Ranks, Jurijs Vasiļevičs), το ΔΕΕ ασχολήθηκε με το ζήτημα της μεταπώλησης μεταχειρισμένων αντιγράφων προγραμμάτων η/υ και πιο συγκεκριμένα, με τη μεταπώληση των εφεδρικών αντιγράφων των προγραμμάτων. Βεβαίως, το Δικαστήριο είχε κρίνει με προηγούμενη απόφασή του, ήτοι την απόφαση της 3ης Ιουλίου 2012 (υπόθεση C-128/11, UsedSoft GmbH κατά Oracle), ότι είναι νόμιμη η μεταπώληση άδειας χρήσεως προγράμματος η/υ, το οποίο μεταφορτώνει ένας χρήστης από το Διαδίκτυο [βλ. http://informaticslaw.blogspot.gr/2012/07/blog-post.html]. Με τη νέα ως άνω απόφασή του, τώρα το ΔΕΕ κρίνει αν είναι νόμιμη η μεταπώληση του εφεδρικού - και όχι του πρωτότυπου - αντιγράφου του προγράμματος.

Στην απόφαση UsedSoft το ΔΕΕ δέχθηκε ότι σε περίπτωση που μεταπωλείται άδεια χρήσεως προγράμματος ηλεκτρονικού υπολογιστή και η ως άνω άδεια είχε παραχωρηθεί στον πρώτο αγοραστή από τον δικαιούχο για χρονικώς απεριόριστη χρήση και έναντι της καταβολής τιμήματος που συμφωνήθηκε προκειμένου να εξασφαλιστεί στον δικαιούχο αμοιβή αντίστοιχη προς την οικονομική αξία του εν λόγω αντιγράφου του έργου του, ο δεύτερος αγοραστής της άδειας αυτής, όπως και κάθε μεταγενέστερος αγοραστής της, μπορούν να επικαλεστούν την προβλεπόμενη στο άρθρο 4, παράγραφος 2, της οδηγίας 2009/24 ανάλωση του δικαιώματος διανομής και, ως εκ τούτου, να θεωρηθούν πρόσωπα που νομίμως απέκτησαν αντίγραφο προγράμματος ηλεκτρονικού υπολογιστή κατά την έννοια του άρθρου 5 παρ. 1 της ίδιας οδηγίας.

Στην ίδια αυτή απόφαση τέθηκαν και κάποια όρια, όπως είναι ότι ο αρχικός αγοραστής που μεταπωλεί είτε υλικό είτε άυλο αντίγραφο προγράμματος ηλεκτρονικού υπολογιστή, σε σχέση με το οποίο το δικαίωμα διανομής που είχε ο δικαιούχος αναλώθηκε δυνάμει του άρθρου 4 παρ. 2 της οδηγίας 2009/24, οφείλει, προς αποτροπή του ενδεχομένου προσβολής του προβλεπόμενου στο άρθρο 4, παρ. 1 στοιχ. α΄ της οδηγίας 2009/24 αποκλειστικού δικαιώματος του εν λόγω δικαιούχου για αναπαραγωγή του προγράμματός του, να διασφαλίσει ότι το αντίγραφο το οποίο είχε μεταφορτώσει στον υπολογιστή του δεν είναι πλέον κατά τη στιγμή της μεταπωλήσεώς του δυνατό να χρησιμοποιηθεί (UsedSoft, σκ. 70, 78).

Αυτό επιβεβαιώνεται και με τη νέα αυτή απόφαση, στην οποία γίνεται δεκτό ότι ο αρχικός αγοραστής του αντιγράφου του προγράμματος ηλεκτρονικού υπολογιστή, ο οποίος προβαίνει στη μεταπώληση αυτού ως μεταχειρισμένου, οφείλει, προς αποφυγή προσβολής του αποκλειστικού δικαιώματος του δικαιούχου για αναπαραγωγή του προγράμματός του ηλεκτρονικού υπολογιστή, να αχρηστεύσει οιοδήποτε αντίγραφο έχει στην κατοχή του κατά τον χρόνο μεταπωλήσεως του εν λόγω αντιγράφου (Aleksandrs Ranks, Jurijs Vasiļevičs, σκ. 55). Ως εκ τούτου, στην περίπτωση κατά την οποία ο πρωτότυπος υλικός φορέας του αντιγράφου που του είχε αρχικώς παραδοθεί έχει υποστεί φθορά, έχει καταστραφεί ή έχει απολεσθεί, ο αρχικός αγοραστής αντιγράφου προγράμματος η/υ δεν δύναται να παραδώσει στον νέο αγοραστή το εφεδρικό αντίγραφό του του εν λόγω προγράμματος άνευ αδείας του δικαιούχου (ό.π., σκ. 57) και, συνεπώς, η μόνη δυνατότητα που έχει ο αγοραστής είναι να μεταπωλήσει το γνήσιο αντίγραφο (και όχι το εφεδρικό) σε τρίτους.

Τα πραγματικά περιστατικά της δίκης έχουν ως εξής: Οι Λετονοί Aleksandrs Ranks και Jurijs Vasiļevičs πωλούσαν - παρανόμως - μέσω πλατφόρμας διαδικτυακών πωλήσεων διάφορα προγράμματα η/υ της Microsoft Corp. που προστατεύονταν με δικαιώματα πνευματικής ιδιοκτησίας και για το λόγο αυτό ασκήθηκε εναντίον τους ποινική δίωξη. Με απόφαση του 2012 τα εν λόγω πρόσωπα κρίθηκαν ένοχοι και καταδικάσθηκαν σε αποκατάσταση της ζημίας της ως άνω εταιρείας, ωστόσο άσκησαν έφεση που έγινε εν μέρει δεκτή και στη συνέχεια, αίτηση αναίρεσης που έγινε επίσης δεκτή και παρέπεμψε την υπόθεση για νέα συζήτηση στο εφετείο, το οποίο υπέβαλε τα εξής προδικαστικά ερωτήματα προς το ΔΕΕ:

«1) Μπορεί πρόσωπο που απέκτησε πρόγραμμα ηλεκτρονικού υπολογιστή με άδεια “μεταχειρισμένου” [εγγεγραμμένο] σε δίσκο που δεν είναι πρωτότυπος, το οποίο λειτουργεί και δεν χρησιμοποιείται από κανέναν άλλο χρήστη, να επικαλεστεί, βάσει των άρθρων 5, παράγραφος 1, και 4, παράγραφος 2, της οδηγίας 2009/24, την ανάλωση του δικαιώματος διανομής αντιτύπου (αντιγράφου) του εν λόγω προγράμματος ηλεκτρονικού υπολογιστή, το οποίο ο πρώτος αγοραστής απέκτησε από τον δικαιούχο των δικαιωμάτων με τον πρωτότυπο δίσκο, [στην περίπτωση κατά την οποία ο πρωτότυπος] δίσκος [έχει υποστεί] φθορά και ο πρώτος αγοραστής έχει διαγράψει το αντίγραφό του ή δεν το χρησιμοποιεί πλέον;

2) Σε περίπτωση καταφατικής απαντήσεως στο πρώτο ερώτημα, δικαιούται πρόσωπο που μπορεί να επικαλεστεί την ανάλωση του δικαιώματος διανομής αντιτύπου (αντιγράφου) του προγράμματος ηλεκτρονικού υπολογιστή να μεταπωλήσει σε τρίτον το εν λόγω πρόγραμμα ηλεκτρονικού υπολογιστή σε δίσκο ο οποίος δεν είναι ο πρωτότυπος, κατά τα άρθρα 4, παράγραφος 2, και 5, παράγραφος 2, της οδηγίας 2009/24;»

Το ΔΕΕ, αφού έκρινε παραδεκτά τα ερωτήματα, ανέφερε ότι "το αιτούν δικαστήριο ζητεί κατ’ ουσίαν να διευκρινισθεί εάν, κατ’ ορθή ερμηνεία του άρθρου 4, στοιχεία αʹ και γʹ, καθώς και του άρθρου 5, παράγραφοι 1 και 2, της οδηγίας 91/250, ο αγοραστής του αντιγράφου μεταχειρισμένου προγράμματος ηλεκτρονικού υπολογιστή, αντιγράφου το οποίο είναι ενσωματωμένο σε μη πρωτότυπο υλικό φορέα, δύναται κατ’ εφαρμογήν του κανόνα της αναλώσεως του δικαιώματος διανομής του δικαιούχου να μεταπωλήσει το αντίγραφο αυτό οσάκις, αφενός, ο πρωτότυπος υλικός φορέας του εν λόγω προγράμματος, ο οποίος παραδόθηκε στον αρχικό αγοραστή, έχει υποστεί φθορά και, αφετέρου, ο εν λόγω αρχικός αγοραστής έχει αχρηστεύσει το αντίτυπο του αντιγράφου αυτού που είχε στην κατοχή του ή έχει παύσει να το χρησιμοποιεί."

Το Δικαστήριο, επαναλαμβάνοντας τη νομολογία του στην υπόθεση UsedSoft, δέχθηκε - και ορθώς - ότι o φορέας του δικαιώματος του δημιουργού επί προγράμματος ηλεκτρονικού υπολογιστή ο οποίος πώλησε εντός της Ένωσης αντίγραφο του εν λόγω προγράμματος επί υλικού φορέα (CD-ROM ή DVD-ROM) συνοδευόμενο από άδειας απεριόριστης χρήσεως του εν λόγω προγράμματος, δεν δύναται πλέον να εναντιωθεί στις περαιτέρω μεταπωλήσεις του εν λόγω αντιγράφου από τον αρχικό αγοραστή ή τους διαδοχικούς αγοραστές, ανεξαρτήτως της υπάρξεως ή μη συμβατικών ρητρών που απαγορεύουν περαιτέρω μεταβίβαση (σκ. 30). Διευκρίνισε, ωστόσο, ότι τα κρινόμενα ζητήματα δεν αφορούν την περίπτωση της μεταπωλήσεως του αντιγράφου μεταχειρισμένου προγράμματος ηλεκτρονικού υπολογιστή, ενσωματωμένου επί πρωτότυπου υλικού φορέα, από τον αρχικό αγοραστή του, αλλά την περίπτωση μεταπωλήσεως του αντιγράφου μεταχειρισμένου προγράμματος ηλεκτρονικού υπολογιστή, ενσωματωμένου επί μη πρωτοτύπου υλικού φορέα, από πρόσωπο το οποίο το απέκτησε από τον αρχικό αγοραστή ή από διαδοχικό αγοραστή (σκ. 31).

Εν προκειμένω, οι A. Ranks και J. Vasiļevičs, καθώς και η Επιτροπή υποστήριξαν ενώπιον του ΔΕΕ ότι ο κανόνας της αναλώσεως του δικαιώματος διανομής επιτρέπει τη μεταπώληση αντιγράφουπρογράμματος ηλεκτρονικού υπολογιστή, αντιγράφου το οποίο είναι ενσωματωμένο σε μη πρωτότυπο υλικό φορέα, στην περίπτωση κατά την οποία ο πρωτότυπος υλικός φορέας έχει υποστεί φθορά, υπό τον όρο ότι ο αρχικός αγοραστής διαθέτει άδεια απεριόριστης χρήσης του προγράμματος και έχει αχρηστεύσει οιοδήποτε αντίγραφο του εν λόγω προγράμματος διαθέτει κατά το χρόνο της μεταπώλησης (σκ. 39).

Ωστόσο, το Δικαστήριο δεν δέχθηκε αυτό το επιχείρημα καθώς αυτό δεν στηρίζεται στο νόμο. Συγκεκριμένα, το δικαίωμα δημιουργίας εφεδρικού αντιγράφου υπόκειται σε δύο όρους, αφενός να δημιουργείται από τον νόμιμο χρήστη και αφετέρου να είναι απαραίτητο για τη χρήση αυτή. Συνεπώς, το εφεδρικό αντίγραφο προγράμματος δεν δύναται να χρησιμοποιηθεί με σκοπό τη μεταπώληση του μεταχειρισμένου προγράμματος σε τρίτο πρόσωπο, ακόμα και αν ο πρωτότυπος υλικός φορέας του προγράμματος έχει φθαρεί, καταστραφεί ή απολεσθεί, διότι η χρήση αυτή εκφεύγει του δικαιώματος που κατοχυρώνεται στο νόμο (σκ. 43).

Με βάση αυτές τις σκέψεις, το Δικαστήριο αποφάνθηκε ότι:

Κατ’ ορθή ερμηνεία του άρθρου 4, στοιχεία α´ και γʹ, και του άρθρου 5, παράγραφοι 1 και 2, της οδηγίας 91/250/ΕΟΚ του Συμβουλίου, της 14ης Μαΐου 1991, για τη νομική προστασία των προγραμμάτων ηλεκτρονικών υπολογιστών, ο αρχικός αγοραστής του αντιγράφου προγράμματος ηλεκτρονικού υπολογιστή συνοδευόμενου από άδεια απεριόριστης χρήσεως δικαιούται μεν να μεταπωλήσει το εν λόγω αντίγραφο και την άδειά του ως μεταχειρισμένα σε νέο αγοραστή, πλην όμως δεν δύναται, στην περίπτωση κατά την οποία ο πρωτότυπος υλικός φορέας του αντιγράφου που του είχε αρχικώς παραδοθεί έχει υποστεί φθορά, έχει καταστραφεί ή έχει απολεσθεί, να παραδώσει στον νέο αυτόν αγοραστή το εφεδρικό αντίγραφό του του εν λόγω προγράμματος άνευ αδείας του δικαιούχου.

CJEU decision in dispute over IP addresses

Th

The CJEU issued on the 19th of October, 2016, the long awaited decision in case C‑582/14 (Patrick Breyer v Bundesrepublik Deutschland), which dealt with the issue whether dynamic IP addresses are personal data. It confirmed that they are, but under certain conditions which must be fullfiled.

In particular, the Court made a decision on the basis of a reference for a preliminary ruling. The request has been made in proceedings between Mr Patrick Breyer and the Bundesrepublik Deutschland (Federal Republic of Germany) concerning the registration and storage by the latter of the internet protocol address (‘IP address’) allocated to Mr Breyer when he accessed several internet sites run by German Federal institutions.

The questions which were addressed to the Court were the following:

(1)      Must Article 2(a) of Directive 95/46 … be interpreted as meaning that an internet protocol address (IP address) which an [online media] service provider stores when his website is accessed already constitutes personal data for the service provider if a third party (an access provider) has the additional knowledge required in order to identify the data subject?

(2)      Does Article 7(f) of [that directive] preclude a provision in national law under which a service provider may collect and use a user’s personal data without his consent only to the extent necessary in order to facilitate, and charge for, the specific use of the telemedium by the user concerned, and under which the purpose of ensuring the general operability of the telemedium cannot justify use of the data beyond the end of the particular use of the telemedium?’

Regarding the first question, it was firstly considered that a dynamic IP address does not constitute information relating to an ‘identified natural person’, since such an address does not directly reveal the identity of the natural person who owns the computer from which a website was accessed, or that of another person who might use that computer (Recital nr. 38). Nevertheless, it is clear from the wording of Article 2(a) of Directive 95/46 that an identifiable person is one who can be identified, directly or indirectly. This is the case of dynamic addresses which may be used to identify the user of a website, but on the basis of additional data. Those data are not held by the online media services provider, but by that user’s internet service provider. Therefore, this fact does not exclude that dynamic IP addresses registered by the online media services provider constitute personal data within the meaning of Article 2(a) of Directive 95/46 (Recital Nr. 44).

As a result, the answer to the first question was that: 

Article 2(a) of Directive 95/46 must be interpreted as meaning that a dynamic IP address registered by an online media services provider when a person accesses a website that the provider makes accessible to the public constitutes personal data within the meaning of that provision, in relation to that provider, where the latter has the legal means which enable it to identify the data subject with additional data which the internet service provider has about that person.

Furthermore, as regards the second question, the Court held that Article 7(f) of that directive precludes Member States from excluding, categorically and in general, the possibility of processing certain categories of personal data without allowing the opposing rights and interests at issue to be balanced against each other in a particular case. Thus, it held that Member States cannot definitively prescribe, for certain categories of personal data, the result of the balancing of the opposing rights and interests, without allowing a different result by virtue of the particular circumstances of an individual case. 

Particularly, the German Federal institutions, which provide online media services, according to the Court, may have a legitimate interest in ensuring, in addition to the specific use of their publicly accessible websites, the continued functioning of those websites. Thus, the storage of users' data would be necessary to guarantee the security and continued proper functioning of the online media services that it makes accessible to the public, in particular, enabling cyber attacks known as ‘denial-of-service’ attacks, which aim to paralyse the functioning of the sites by the targeted and coordinated saturation of certain web servers with huge numbers of requests, to be identified and combated.

Απόφαση ΔΕΕ σχετικά με τις διευθύνσεις ΙΡ

ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (δεύτερο τμήμα) της 19ης Οκτωβρίου 2016 (*)

Yπόθεση C‑582/14, Patrick Breyer κατά Bundesrepublik Deutschland

Το ΔΕΕ έκρινε επί του ζητήματος του νομικού χαρακτηρισμού των στατικών διευθύνσεων ΙΡ ως προσωπικά δεδομένα, καθώς και επί του ζητήματος αν επιτρέπεται οι φορείς παροχής υπηρεσιών τηλεμέσων να συλλέγουν και να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα όταν αυτό είναι αναγκαίο για τη διασφάλιση και διατήρηση της ασφάλειας και λειτουργικότητας των ιστοτόπων των τηλεμέσων, με το σκεπτικό ότι έτσι διευκολύνεται, ειδικότερα, η εξακρίβωση των επιθέσεων στον κυβερνοχώρο οι οποίες αποκαλούνται «επιθέσεις άρνησης υπηρεσίας», και σκοπό έχουν να παραλύσουν τη λειτουργικότητα των ιστοτόπων αυτών μέσω στοχευμένης και συντονισμένης συμφορήσεως συγκεκριμένων διαδικτυακών διακομιστών με πλειάδα αιτημάτων, και διότι συμβάλλει στην αποτροπή των ως άνω επιθέσεων.

Ως προς το πρώτο ζήτημα, η απόφαση του Δικαστηρίου είναι θεμελιώδης, καθώς έχει απασχολήσει πολλές φορές την επιστήμη του δικαίου το ερώτημα αν οι δυναμικές διευθύνσεις ΙΡ συνιστούν προσωπικά δεδομένα. Συγκεκριμένα, το ερώτημα που υποβλήθηκε ήταν αν το άρθρο 2, στοιχείο α΄, της οδηγίας 95/46 έχει την έννοια ότι δυναμική διεύθυνση IP αποθηκευθείσα από φορέα παροχής υπηρεσιών τηλεμέσων επ’ ευκαιρία της επισκέψεως προσώπου σε ιστότοπο τον οποίο ο εν λόγω φορέας καθιστά προσβάσιμο στο κοινό αποτελεί, για τον φορέα αυτό, δεδομένο προσωπικού χαρακτήρα κατά την έννοια της διατάξεως αυτής, όταν μόνον ένας τρίτος, εν προκειμένω ο πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο του ως άνω προσώπου, έχει στη διάθεσή του πρόσθετες πληροφορίες οι οποίες απαιτούνται για την εξακρίβωση της ταυτότητας του προσώπου αυτού.

Το Δικαστήριο επισήμανε καταρχή ότι δυναμική διεύθυνση IP δεν αποτελεί πληροφορία αφορώσα «φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή», καθόσον η διεύθυνση αυτή δεν αποκαλύπτει άμεσα την ταυτότητα του φυσικού προσώπου στο οποίο ανήκει ο υπολογιστής από τον οποίο πραγματοποιήθηκε η επίσκεψη ιστοτόπου, ούτε άλλου προσώπου που τυχόν χρησιμοποίησε τον υπολογιστή αυτόν (σκ. 38). 

Βεβαίως, σύμφωνα με το άρθρ. 2 στοιχ. α΄ της οδηγίας 95/46, ως πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί λογίζεται το πρόσωπο εκείνο που μπορεί να προσδιοριστεί όχι μόνον άμεσα αλλά και έμμεσα. Εν προκειμένω, οι πρόσθετες πληροφορίες που απαιτούνται για την εξακρίβωση της ταυτότητας του χρήστη ιστοτόπου δεν βρίσκονται στη διάθεση του φορέα της παροχής υπηρεσιών τηλεμέσων αλλά του παρόχου υπηρεσιών προσβάσεως στο διαδίκτυο του χρήστη αυτού. Βεβαίως, το κρίσιμο ζήτημα είναι αν είναι εφικτή η εξακρίβωση της ταυτότητας του χρήστη και αν δεν απαγορεύεται από το νόμο. 

Στην περίπτωση της Γερμανίας, υπάρχουν νόμιμες διαδικασίες παρέχουσες στον φορέα παροχής υπηρεσιών τηλεμέσων τη δυνατότητα να απευθυνθεί, ιδίως σε περίπτωση επιθέσεων στον κυβερνοχώρο, στην αρμόδια αρχή ώστε αυτή να προβεί στις απαραίτητες ενέργειες για να λάβει τις εν λόγω πληροφορίες από τον φορέα παροχής υπηρεσιών προσβάσεως στο διαδίκτυο και να κινήσει ποινική δίωξη (σκ. 47). Συνεπώς, ο φορέας παροχής υπηρεσιών τηλεμέσων έχει στη διάθεσή του μέσα που μπορούν ευλόγως να χρησιμοποιηθούν για να εξακριβωθεί, με τη βοήθεια άλλων προσώπων, ήτοι της αρμόδιας αρχής και του φορέα παροχής υπηρεσιών προσβάσεως στο διαδίκτυο, η ταυτότητα του οικείου προσώπου βάσει των αποθηκευμένων διευθύνσεων IP.

Έτσι, το Δικαστήριο έδωσε την απάντηση στο πρώτο ερώτημα ότι το άρθρο 2, στοιχείο α΄, της οδηγίας 95/46 έχει την έννοια ότι δυναμική διεύθυνση IP αποθηκευθείσα από τον φορέα παροχής υπηρεσιών τηλεμέσων κατά την επίσκεψη προσώπου σε ιστότοπο τον οποίο ο εν λόγω φορέας καθιστά προσβάσιμο στο κοινό αποτελεί, έναντι του φορέα αυτού, δεδομένο προσωπικού χαρακτήρα κατά την έννοια της ως άνω διατάξεως, όταν έχει στη διάθεσή του νόμιμα μέσα βάσει των οποίων μπορεί να εξακριβωθεί η ταυτότητα του οικείου προσώπου χάρη στις πρόσθετες πληροφορίες που έχει στη διάθεσή του ο πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο του εν λόγω προσώπου.

Με το δεύτερο ερώτημά του, το αιτούν δικαστήριο ζήτησε να διευκρινισθεί αν το άρθρο 7 στοιχ. στ΄ της οδηγίας 95/46 έχει την έννοια ότι αντιτίθεται σε ρύθμιση κράτους μέλους δυνάμει της οποίας φορέας παροχής υπηρεσιών τηλεμέσων δύναται να συλλέγει και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα αφορώντα χρήστη των ως άνω υπηρεσιών χωρίς τη συγκατάθεσή του, μόνον όταν η εν λόγω συλλογή και χρησιμοποίηση απαιτούνται για να καταστεί δυνατή και να τιμολογηθεί η συγκεκριμένη χρήση των ως άνω υπηρεσιών από τον εν λόγω χρήστη, και κατά την οποία ο σκοπός διασφαλίσεως της γενικής λειτουργικότητας των ιδίων υπηρεσιών δεν μπορεί να δικαιολογήσει τη

χρησιμοποίηση των δεδομένων αυτών μετά τη λήξη της εκάστοτε επισκέψεως σε ιστότοπο.

Το Δικαστήριο δέχθηκε καταρχήν ότι η επίμαχη στην υπόθεση της κύριας δίκης επεξεργασία δεδομένων προσωπικού χαρακτήρα, ήτοι των δυναμικών διευθύνσεων IP των χρηστών ορισμένων ιστοτόπων των γερμανικών ομοσπονδιακών υπηρεσιών, δεν εκφεύγει του πεδίου εφαρμογής της οδηγίας 95/46 για το λόγο ότι "οι γερμανικές ομοσπονδιακές υπηρεσίες, οι οποίες παρέχουν υπηρεσίες τηλεμέσων και είναι υπεύθυνες για την επεξεργασία των δυναμικών διευθύνσεων IP, ενεργούν, παρά το ότι είναι δημόσιες αρχές, ως ιδιώτες και πέραν του πλαισίου των απτομένων των

τομέων του ποινικού δικαίου δραστηριοτήτων του κράτους" (σκ. 53).

To Δικαστήριο δέχθηκε ότι οι γερμανικές ομοσπονδιακές υπηρεσίες οι οποίες παρέχουν υπηρεσίες τηλεμέσων μπορεί να έχουν και έννομο συμφέρον για τη διασφάλιση της λειτουργικότητας των εν λόγω ιστοτόπων, πέραν της εκάστοτε συγκεκριμένης χρήσεως των προσβάσιμων στο κοινό ιστότοπών τους (σκ. 60). Και ότι, ρύθμιση, όπως η επίμαχη στην υπόθεση της κύριας δίκης, όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα των χρηστών τηλεμέσων, περιορίζει το πεδίο εφαρμογής της αρχής του άρθρου 7 στοιχ. στ΄ της οδηγίας 95/46, αποκλείοντας τη στάθμιση του σκοπού διασφαλίσεως της γενικής λειτουργικότητας του εν λόγω τηλεμέσου με το συμφέρον ή τα θεμελιώδη δικαιώματα και ελευθερίες των ως άνω χρηστών, που χρήζουν προστασίας δυνάμει του άρθρου 1, παράγραφος 1, της οδηγίας αυτής.

Επισημαίνεται, ως εκ τούτου, ότι η νομολογία αυτή δίνει "πράσινο φως" στη Γερμανική κυβέρνηση να συνεχίσει την συλλογή και αποθήκευση δυναμικών διευθύνσεων των επισκεπτών των ιστοχώρων της (βλ. ECJ rules in favour of Germany in IP address squabble)