Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Dane osobowe

W krajach Unii nawet zmienne IP należy do danych osobowych - wyrok TSUE

www.sxc.hu
Informacje umożliwiajšce poœredniš identyfikację użytkownika stanowiš jego dane osobowe – orzekł Trybunał Sprawiedliwoœci Unii Europejskiej.

Trybunał zajmował się sprawš obywatela Niemiec, który żšdał usunięcia jego adresu IP gromadzonego przez strony federalnych służb państwowych. Rejestrowały one dane odwiedzajšcych w celu zabezpieczenia przed atakami cybernetycznymi. W Niemczech sprawa trafiła do najwyższej instancji – Federalnego Trybunału Sprawiedliwoœci (FTS). Ten zaœ nabrał wštpliwoœci i zwrócił się do TSUE. Zapytał, czy dynamiczny adres IP (zmieniajšcy się przy każdym połšczeniu z sieciš) stanowi dane osobowe.

TSUE zwrócił uwagę, że danymi osobowymi jest każda informacja pozwalajšca choćby na poœredniš identyfikację przy pomocy osoby trzeciej. Służby federalne mogš zaœ żšdać od dostawcy dostępu do internetu danych umożliwiajšcych namierzenie nawet osoby używajšcej zmiennego IP. Dla nich sš to więc dane osobowe. Dr Paweł Litwiński z Instytutu Allerhanda wskazuje, że podobne uprawnienia posiadajš polskie służby.

– O ile jednak w państwie takim jak Niemcy wyrok ten może realnie wpłynšć na zakres informacji, jakie można zbierać o obywatelach, o tyle dla Polski niewiele on zmieni. U nas nie istniejš przepisy, które wskazywałyby zakres danych osobowych, jakie służby mogš zbierać – w szczególnoœci tzw. ustawa antyterrorystyczna posługuje się ogólnš kategoriš „dane osobowe". Nawet niedawna reforma unijnych przepisów o danych osobowych nie ma na to wpływu, gdyż jej przepisy nie dotyczš uprawnień służb – zauważa Litwiński.

FTS spytał także, czy prawo unijne zabrania ograniczania przez prawo krajowe możliwoœci gromadzenia i wykorzystywania przez dostawców usług online danych osobowych tylko do przypadków, gdy jest to niezbędne do korzystania z usług i wystawienia faktury za nie. Zdaniem TSUE takie ograniczenie jest niedopuszczalne. Dostawcy usług mogš bowiem gromadzić dane także w celu zapewnienia ogólnej funkcjonalnoœci usług (np. uniknięcia cyberataku), ale nie może to naruszać podstawowych praw i wolnoœci użytkowników.

–TSUE w tym wyroku nie ustanawia nowych reguł, ale przypomina ważnš zasadę: definicja danych osobowych jest pojemna i zależy od kontekstu – mówi Katarzyna Szymielewicz, prezes fundacji Panoptykon. – Adres IP umożliwia identyfikację użytkownika nie tylko z perspektywy służb, ale także każdej firmy, która gromadzi wystarczajšco dużo danych, m.in. w oparciu o IP, by personalizować swoje usługi. Identyfikacja nie musi bowiem polegać na ustaleniu imienia i nazwiska – wystarczy możliwoœć rozpoznania, że mamy do czynienia z tym, a nie innym użytkownikiem. Do takiej identyfikacji może wystarczyć sama znajomoœć ustaleń przeglšdarki – wyjaœnia.

Zdaniem Szymilewicz wobec koniecznoœci wdrożenia ogólnego rozporzšdzenia o ochronie danych osobowych (w pierwszej połowie 2018 r.) ten wyrok jest przypomnieniem dla firm internetowych, aby zastanowiły się, czy wszystkie informacje, które gromadzš, sš im niezbędne do œwiadczenia usług.

Sygnatura akt: C-582/14

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL