Rozhodnutí Breyer a dynamická IP adresa jako osobní údaj

Ochrana osobních údajů v říjnu 2016 zaznamenala další zajímavé rozhodnutí, které reaguje na neustálý vývoj moderních komunikačních technologií s ohledem na rozsah toho, co lze ještě zařadit pod pojem osobní údaj ve smyslu článku 2 písm. a) směrnice č. 95/46/ES. Rozhodnutí Soudního dvora EU ve věci C-582/14 Patrick Breyer v. Bundesrepublik Deutschland nepředstavuje však z našeho pohledu překvapivý počin, neboť toto rozhodnutí v praxi pouze deklaruje dlouhodobé nahlížení na problematiku dynamických IP adres, které ve spojení s dalšími údaji mohou představovat osobní údaje, jak ostatně bylo završeno výslovnou zmínkou o síťových identifikátorech v rámci definice osobních údajů v novém obecném nařízení o ochraně osobních údajů.

advokátní koncipientka, HAVEL & PARTNERS s.r.o., advokátní kancelář
Partner, HAVEL & PARTNERS s.r.o., advokátní kancelář
counsel, HAVEL & PARTNERS s.r.o., advokátní kancelář
Foto: Shutterstock

V rozhodovací praxi Soudního dvora EU („SDEU“) a Evropského soudu pro lidská práva („ESLP“) můžeme pozorovat dlouhodobý trend, v důsledku něhož dochází k neustálému rozšiřování pojmu osobní údaj, a to rovněž o adresu internetového protokolu („IP adresa“). V rozhodnutí K. U. proti Finsku (stížnost č. 2872/02) se už v roce 2008 vyjádřil ESLP k tomu, že Finsko porušilo svůj závazek vyplývající z článku 8 Evropské úmluvy o lidských právech, jelikož neposkytlo tehdy nezletilému chlapci K. U. a jeho otci efektivní prostředky, kterými by se mohli bránit proti neznámému pachateli, jehož bylo možné zjistit právě na základě jeho dynamické IP adresy. Pachatel umístil na internetovou seznamku inzerát, v němž uveřejnil jménem tehdy dvanáctiletého chlapce nabídku na seznámení s chlapcem ve stejném věku. Chlapec na inzerát přišel, když ho v reakci na falešný inzerát kontaktoval jeden muž s nabídkou na seznámení na jeho e-mail. V daném případě poskytovatel internetového připojení odmítl při vyšetřování sdělit identitu uživatele dynamické IP adresy s odvoláním na tehdejší finská pravidla ochrany důvěrnosti elektronické komunikace. Ačkoliv v tomto případě šlo de facto o prolomení ochrany IP adresy, jde současně o doklad, že ESLP vnímal dynamickou IP adresu jako údaj, na základě něhož je možné dospět k identifikaci pachatele. Přitom ESLP logicky poznamenal, že ani svoboda projevu a důvěrnost elektronické komunikace není absolutní a v žádném případě nemůže působit na úkor práv a svobod druhých.

Rovněž SDEU se k IP adresám vyjádřil ve známém rozhodnutí ve věci C-70/10 Scarlet Extended, v němž vyjádřil názor, že IP adresy v situaci, v níž bude možné na jejich základě určit konkrétního uživatele, představují osobní údaje ve smyslu článku 2 písm. a) směrnice Evropského parlamentu a Rady 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů („Směrnice“).

Rozhodnutí Breyer a předběžné otázky

V rámci soudního sporu mezi německým občanem Patrickem Breyerem a německými spolkovými orgány se německý Spolkový soud obrátil na SDEU se dvěma předběžnými otázkami, přičemž jednou z nich Spolkový soud hledal odpověď na to, zda článek 2 písm. a) Směrnice lze vykládat v tom smyslu, že dynamická IP adresa, kterou poskytovatel online mediálních služeb („poskytovatel obsahu“) uchovává v souvislosti s přístupem uživatele na veřejně přístupnou internetovou stránku, pro něj představuje osobní údaj, i když má k dispozici další informace potřebné k identifikaci uživatele jedině třetí subjekt – v daném případě poskytovatel (internetového) připojení.

V souvislosti s touto předběžnou otázkou je potřeba si uvědomit, že SDEU se v rozhodnutí Breyer nezabýval pouze charakterem dynamické IP adresy z hlediska toho, zda představuje osobní údaj podle článku 2 písm. a) Směrnice, ale soustředil se rovněž na další aspekty související s tím, pro koho může dynamická IP adresa v praxi představovat osobní údaj. SDEU se tak v rámci rozhodnutí Breyer poprvé zaměřil na subjektivní hledisko identifikace ze strany konkrétního správce nebo zpracovatele osobních údajů s ohledem na to, jaké mají prostředky k tomu, aby mohli daný subjekt osobních údajů identifikovat.

Okolnosti případu Breyer

Breyer napadal u německých správních soudů to, že v důsledku jeho několika návštěv internetových stránek německých spolkových orgánů došlo k zaznamenávání a uchovávání jeho dynamických IP adres. Žaloba Breyera byla nejprve soudním orgánem prvního stupně zamítnuta. Odvolací soud následně rozhodnutí částečně změnil, když konstatoval, že Německo nemělo uchovávat IP adresu po ukončení internetového připojení Breyera, pokud byla tato IP adresa uchovávána ve spojení s datem otevření internetové stránky, k níž se IP adresa vztahuje, a pokud Breyer během svého připojení odhalil svou totožnost (prostřednictvím e-mailové adresy). Německu uložil povinnost, aby se zdrželo uchovávání dynamické IP adresy v tom rozsahu, v němž není uchovávání IP adres nezbytné pro obnovení online mediální služby v případě poruchy. Odvolací soud uvedl, že dynamická IP adresa v daném případě představuje osobní údaj, neboť poskytovatel obsahu mohl na základě dalších údajů Breyera identifikovat. Jinak by tomu podle odvolacího soudu ovšem bylo, pokud by Breyer během svého internetového připojení neuvedl svou totožnost prostřednictvím e-mailu, protože poté by byl schopen Breyera na základě IP adresy identifikovat pouze jeho poskytovatel připojení. Breyer i Spolková republika Německo podali proti rozhodnutí odvolacího soudu opravný prostředek k německému Spolkovému soudu.

Spolkový soud upozornil na skutečnost, že ohledně toho, zda lze konkrétní osobu identifikovat na základě IP adresy, panuje akademická rozepře. Při určení konkrétního uživatele se podle názoru Spolkového soudu dá vycházet na základě použití dvou odlišných kritérií – objektivního nebo relativního kritéria. Při uplatnění objektivního kritéria je možné dynamické IP adresy vnímat jako osobní údaje i v situaci, když by bylo možné subjekt údajů po ukončení připojení ke konkrétní internetové stránce určit pouze třetí osobou. Tu v projednávaném případě představuje poskytovatel připojení. Podle relativního kritéria by se naopak o osobní údaje jednalo pouze v případě poskytovatele připojení, neboť pouze tento mohl Breyera v daném případě přesně identifikovat. Za použití relativního kritéria by dynamické IP adresy nemohly být osobními údaji ve vztahu k poskytovateli obsahu, pokud by Breyer během svého připojení neodhalil svou totožnost, neboť v takovém případě by musel poskytovatel obsahu vyvinout k jeho identifikaci nepřiměřené úsilí.

Rozhodnutí SDEU

SDEU ve svém rozhodnutí odkázal na rozhodnutí Scarlet Extended, v němž konstatoval, že IP adresy mohou představovat ve spojení s dalšími údaji osobní údaje ve smyslu článku 2 písm. a) Směrnice. Následně se SDEU zaměřil na rozdíly vyplývající z případu Breyer, když poukázal na to, že v rozhodnutí Scarlet Extended IP adresy shromažďovali a následně identifikovali poskytovatelé připojení. Naproti tomu u Breyera uchovával IP adresy uživatelů poskytovatel obsahu. K tomu SDEU doplnil, že v případu Breyer ve fázi připojení uživatelů na internetovou stránku neměl poskytovatel obsahu žádné další informace potřebné k jejich identifikaci.

SDEU se dále zaobíral problematikou specifického charakteru dynamických IP adres, u nichž je na rozdíl od statických IP adres složitější dospět k určení konkrétního uživatele. Statické IP adresy představují neměnný údaj a umožňují proto trvalou identifikaci zařízení, z něhož byla uskutečněna komunikace mezi uživatelem zařízení a poskytovatelem obsahu. Dynamická IP adresa je uživateli přidělována na základě komunikace jeho zařízení s poskytovatelem připojení na tzv. dobu zapůjčení. Následně je takto přidělená dynamická IP adresa sdělena provozovateli dané internetové stránky, který komunikuje zprostředkovaně přes poskytovatele připojení se zařízením uživatele. Samotná dynamická IP adresa, oproštěná od dalších údajů, podle SDEU neodhaluje v zásadě totožnost fyzické osoby, která je majitelem zařízení, z něhož byla internetová stránka navštívena (nebo totožnost jiné osoby, která by mohla počítač používat). 

Při svém rozhodování ale SDEU přistoupil k použití relativního kritéria, tj. zda IP adresa v konkrétním případě může představovat osobní údaj rovněž pro poskytovatele obsahu a pokud ano, tak za jakých předpokladů. Na základě toho SDEU uvedl, že pro to, aby mohla být dynamická IP adresa považována za osobní údaj, je potřeba ověřit, zda dynamická IP adresa, kterou uchovává poskytovatel obsahu, může být kvalifikována jako informace o identifikovatelné osobě ve smyslu článku 2 písm. a) ve spojení s bodem 26 preambule Směrnice. SDEU zde položil důraz na druhou složku definice osobních údajů, tedy kromě spojení s určenou osobou taktéž na spojení s určitelnou osobou, přičemž tuto určitelnost osvětluje právě bod 26 preambule Směrnice, když hovoří o přihlédnutí „ke všem prostředkům, které mohou být použity […] jakoukoliv […] osobou pro identifikaci“. V případě Breyer tak SDEU na rozdíl od restriktivnějšího Spolkového soudu došel k závěru, že není vyloučeno, i když další informace má jiná osoba než poskytovatel obsahu, tedy poskytovatel připojení, že dynamická IP adresa bude představovat pro poskytovatele obsahu taktéž osobní údaj. A to pokud má poskytovatel obsahu – s ohledem na další informace, kterými disponuje poskytovatel připojení tohoto subjektu údajů – k dispozici právní prostředky, které mu umožňují identifikovat subjekt údajů. Jinými slovy, dynamická IP adresa nebude představovat pro držitele této informace osobní údaj za každých okolností, ale jen v těch případech, kdy k tomu bude mít právní prostředky (např. možnost vyžádat od třetí osoby – zde poskytovatele připojení – doplňující údaje spojené s IP adresou), které mu umožní subjekt údajů určit na základě dalších přidaných údajů.

Závěr

Je zřejmé, že SDEU rozhodnutím Breyer upozornil všechny, kdo zpracovávají v dnešním online světě jakékoliv identifikátory, aby pečlivě zvážili, zda s nimi mají nakládat jako s osobními údaji. Co však bohužel blíže nespecifikoval a ani nemohl, je, jaké jsou ony právní prostředky, na základě nichž je určitou osobu možné identifikovat – tyto právní prostředky se mohou lišit stát od státu, a budou tedy velmi závislé na legislativě a výkladu místních dozorových orgánů i soudů.

Přestože lze mít za to, že ani definice osobního údaje v čl. 4 odst. 1 obecného nařízení o ochraně osobních údajů („GDPR“) neříká, že IP adresa (bez ohledu na to, zda je statická či dynamická) bude vždy za každých okolností osobním údajem (rozhodující je totiž možnost spojení tohoto údaje s identifikovanou nebo identifikovatelnou fyzickou osobou), je třeba ve světle rozhodnutí Breyer pamatovat na širší souvislosti, jejichž uplatnění SDEU ukázal. Společně s principem technické neutrality GDPR se tak můžeme do budoucna setkat i s dalšími údaji jakožto osobními, ačkoliv nám to dnes možná přijde nepravděpodobné.

A jako výjimku potvrzující pravidlo můžeme poukázat na to, že diskuze nad rozsahem definice osobních údajů zůstávají v plném proudu i nadále. Dokladem toho je např. rozhodnutí italského Kasačního soudu (Corte di Cassazione Civile, sez. 3, n. 20615 ze dne 13. 10. 2016), který pouhých 5 dnů po rozhodnutí Breyer uvedl ve vztahu k nepřímé identifikaci subjektu údajů, že v některých případech ani informace o jménu a příjmení nebude dostatečnou na to, aby se subjekt osobních údajů stal identifikovatelným.

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články