Prevádzkovateľ internetovej stránky a uchovávanie určitých osobných údajov návštevníkov
Prevádzkovateľ internetovej stránky môže mať legitímny záujem na uchovávaní určitých osobných údajov návštevníkov s cieľom brániť sa proti počítačovým útokom
Dynamická adresa internetového protokolu návštevníka predstavuje pre prevádzkovateľa stránky osobný údaj, ak má tento prevádzkovateľ k dispozícii právne prostriedky, na základe ktorých dokáže identifikovať dotknutého návštevníka vďaka ďalším informáciám, ktorými disponuje poskytovateľ internetového pripojenia návštevníka
Pán Patrick Breyer napadol pred nemeckými súdmi, že internetové stránky nemeckých spolkových orgánov, ktoré si prehliadal, zaznamenávali a uchovávali jeho adresy internetového protokolu (ďalej len „IP adresy“)[1]. Tieto orgány zaznamenávajú a uchovávajú, okrem dátumu a času prehliadania, aj IP adresy návštevníkov s cieľom zabrániť počítačovým útokom a umožniť trestné stíhanie útočníkov.
Bundesgerichtshof (Spolkový súdny dvor, Nemecko) sa obrátil na Súdny dvor s cieľom zistiť, či v tejto súvislosti aj „dynamické“ IP adresy predstavujú pre tohto prevádzkovateľa internetovej stránky osobné údaje, a teda či požívajú ochranu stanovenú pre tieto údaje. Dynamická IP adresa je IP adresa, ktorá sa mení pri každom novom pripojení do internetu. Na rozdiel od statických IP adries dynamické IP adresy neumožňujú vytvoriť spojenie na základe verejne prístupných súborov medzi určitým počítačom a fyzickým pripojením do siete používanej poskytovateľom internetového pripojenia. Len poskytovateľ internetového pripojenia pána Breyera má ďalšie informácie potrebné na identifikáciu tejto osoby.
Bundesgerichtshof sa navyše snažil zistiť, či prevádzkovateľ internetovej stránky v zásade musí mať aspoň možnosť zhromažďovať a neskôr používať osobné údaje návštevníkov s cieľom zabezpečiť celkovú funkčnosť jeho stránky. Daný súd v tejto súvislosti uviedol, že v nemeckej právnej vede prevláda názor, že nemeckú právnu úpravu treba vykladať v tom zmysle, že tieto údaje sa majú po skončení operácie prehliadania vymazať, pokiaľ už nie sú používané na účely zúčtovania.
Súdny dvor svojím rozsudkom z dnešného dňa v prvom rade odpovedal, že dynamická IP adresa, ktorú uchováva „poskytovateľ online mediálnych služieb“ (t. j. prevádzkovateľ internetovej stránky, v predmetnom prípade nemecké spolkové orgány) pri prehliadaní si jeho internetovej stránky prístupnej verejnosti, predstavuje pre tohto prevádzkovateľa osobný údaj,[2] ak má k dispozícii právne prostriedky, na základe ktorých dokáže identifikovať návštevníka vďaka ďalším informáciám, ktorými disponuje poskytovateľ internetového pripojenia tohto návštevníka.
Súdny dvor v tejto súvislosti uviedol, že v Nemecku zrejme existujú právne nástroje umožňujúce poskytovateľovi online mediálnych služieb3 obrátiť sa – najmä v prípade počítačových útokov – na príslušný orgán, aby tento orgán podnikol kroky potrebné na získanie daných informácií od poskytovateľa internetového pripojenia a na následné začatie trestných stíhaní.
Po druhé Súdny dvor odpovedal, že právo Únie4 bráni právnej úprave členského štátu, podľa ktorej môže poskytovateľ online mediálnych služieb zhromažďovať a používať osobné údaje týkajúce sa návštevníka bez jeho dovolenia len vtedy, keď je toto zhromažďovanie alebo používanie nevyhnutné na umožnenie konkrétneho využitia služieb týmto používateľom a jeho zúčtovanie, bez toho, aby účel zabezpečenia celkovej funkčnosti týchto služieb mohol odôvodniť použitie údajov po skončení príslušnej operácie ich prehliadania.
Súdny dvor pripomína, že podľa práva Únie je spracovanie osobných údajov zákonné najmä vtedy, ak je nevyhnutné na účely legitímnych záujmov, ktoré plní prevádzkovateľ, alebo tretia osoba alebo tretie osoby, ktorým sú údaje odhalené, s výnimkou prípadu, ak takéto záujmy sú prevýšené záujmami týkajúcimi sa základných práv a slobôd dotknutej osoby.
Nemecká právna úprava, ako ju v prevažujúcej miere vykladá právna veda, obmedzuje rozsah tejto zásady tým, že vylučuje, aby účel zabezpečenia celkovej funkčnosti online mediálnych služieb mohol byť predmetom zváženia so záujmami týkajúcimi sa základných práv a slobôd týchto návštevníkov.
V tejto súvislosti Súdny dvor zdôraznil, že nemecké spolkové orgány, ktoré poskytujú online mediálne služby, môžu však mať oprávnený záujem na tom, aby zabezpečili správne fungovanie svojich internetových stránok, ktoré sú verejne prístupné, a to aj po skončení každého jednotlivého využitia týchto stránok.
______________________________
[1] IP adresy tvoria číslice, ktoré boli pridelené počítačom pripojeným do internetu, aby bola umožnená ich komunikácia v tejto sieti. Pri prehliadaní si internetovej stránky je IP adresa vyvolávajúceho počítača sprostredkovaná serveru, na ktorom je prehliadaná stránka uložená. Táto komunikácia je nevyhnutná na to, aby bolo možné preniesť prehliadané údaje správnemu adresátovi.
[2] V zmysle smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355).
Zdroj:
Súdny dvor Európskej únie
TLAČOVÉ KOMUNIKÉ č. 112/16, 19. októbra 2016
Rozsudok vo veci C-582/14 Patrick Breyer/Bundesrepublik Deutschland
Neoficiálny dokument pre potreby médií, ktorý nezaväzuje Súdny dvor.
Úplné znenie rozsudku sa uverejňuje na internetovej stránke CURIA v deň vyhlásenia rozsudku.
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk