Nové povinnosti ohledně ochrany osobních údajů? Rozhodne Soudní dvůr EU

6. červen 2016  |  Lukáš Hoder

Podle Generálního advokáta Soudního dvora EU by provozovatelé webových stránek měli považovat i tzv. dynamické IP adresy za osobní údaje, přestože samy o sobě neodhalují identitu konkrétních osob. Pokud by ke stejnému názoru došel i samotný Soudní dvůr EU, mohlo by dojít k rozšíření povinností ohledně ochrany osobních údajů.

Dynamické IP adresy vypovídají o tom, ve který den a ve kterou hodinu byla z určitého počítače (či jiného zařízení) otevřena určitá internetová stránka. Dynamickou IP adresu dočasně přidělují poskytovatelé internetového připojení zařízením svých zákazníků pro jednotlivá přihlášení. Například, když si na počítači otevřete web Kocián Šolc Balaštík, tak váš poskytovatel internetového připojení vašemu počítači přidělí (dočasnou) dynamickou IP adresu. Správce webu, ke kterému se připojíte, vidí pouze čísla IP adres, které se k jeho webu připojily.

Jsou zde tedy dva subjekty. Poskytovatel připojení a správce webové stránky. Poskytovatel vašeho internetového připojení zná vaši identitu a vaše IP adresa je pro něj tedy „osobní údaj“. Skrze tento údaj vás totiž dokáže identifikovat. Naopak provozovatel webové stránky o vás další informace nemá a pouze podle IP adresy vás identifikovat nedokáže.

Patrick Breyer vs. Německo

Případ posuzovaný Soudním dvorem se týká webové stránky provozované Německou spolkovou republikou. Správci této webové stránky uchovávají data o dynamických IP adresách svých návštěvníků. Patrick Breyer, člen Pirátské strany, zažaloval Německo a tvrdil, že dynamická IP adresa je osobní údaj a že Německo jako správce webu potřebuje jeho souhlas ke zpracování těchto údajů, a to na základě směrnice o ochraně osobních údajů, resp. relevantní domácí legislativy.

Německý soud se následně zeptal Soudního dvora EU, zda dynamické IP adresy jsou z hlediska provozovatele webu osobní údaje, pokud třetí osoba (např. poskytovatel připojení) drží dodatečné údaje (např. uživatelské informace), pomocí kterých může provozovatel webu fyzické osoby identifikovat. Generální advokát k této kauze vydal stanovisko, přičemž stanoviska Generálních advokátů bývají často následována i samotným Soudním dvorem EU.

Zásadní v této kauze je článek 2(a) směrnice o ochraně osobních údajů, podle kterého jsou „osobní údaje“ veškeré „informace o identifikované nebo identifikovatelné osobě (subjekt údajů); identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat…“. Podle Generálního advokáta je toto ustanovení potřeba vykládat s ohledem na bod 26 preambule směrnice, podle kterého je pro určení, zda je osoba identifikovatelná, třeba přihlédnout ke všem prostředkům, které mohou být rozumně použity jak správcem, tak jakoukoli jinou osobou pro identifikaci dané osoby.

Jinými slovy řečeno, podle Generálního advokáta již pouhá možnost, že správce webu může získat od poskytovatele připojení další údaje, pomocí kterých bude moci identifikovat návštěvníky svých webových stránek, stačí k tomu, aby byla dynamická IP adresa považována pro správce webu za osobní údaj.

Důsledky

Pokud Soudní dvůr EU bude následovat stanovisko Generálního advokáta, mohlo by dojít k poměrně výraznému rozšíření interpretace pojmu „osobní údaj“. V důsledku by řada společností, které se dostanou do styku s IP adresami a obdobnými údaji, musela znovu posoudit, zda dodržují veškeré právní předpisy regulující ochranu osobních údajů.

Přestože za dva roky vejde v účinnost nové obecné nařízení o ochraně osobních údajů (vizte náš nedávný článek na Patrii), které nahradí dosavadní směrnici, názor Soudního dvora EU bude důležitý i z hlediska této nové úpravy. Nařízení totiž právě posuzovanou situaci detailně neupravuje.

Naše newslettery

×