Trybunał zajmował się sprawą obywatela Niemiec, który żądał usunięcia jego adresu IP gromadzonego przez strony federalnych służb państwowych. Rejestrowały one dane odwiedzających w celu zabezpieczenia przed atakami cybernetycznymi. W Niemczech sprawa trafiła do najwyższej instancji – Federalnego Trybunału Sprawiedliwości (FTS). Ten zaś nabrał wątpliwości i zwrócił się do TSUE. Zapytał, czy dynamiczny adres IP (zmieniający się przy każdym połączeniu z siecią) stanowi dane osobowe.

TSUE zwrócił uwagę, że danymi osobowymi jest każda informacja pozwalająca choćby na pośrednią identyfikację przy pomocy osoby trzeciej. Służby federalne mogą zaś żądać od dostawcy dostępu do internetu danych umożliwiających namierzenie nawet osoby używającej zmiennego IP. Dla nich są to więc dane osobowe. Dr Paweł Litwiński z Instytutu Allerhanda wskazuje, że podobne uprawnienia posiadają polskie służby.

– O ile jednak w państwie takim jak Niemcy wyrok ten może realnie wpłynąć na zakres informacji, jakie można zbierać o obywatelach, o tyle dla Polski niewiele on zmieni. U nas nie istnieją przepisy, które wskazywałyby zakres danych osobowych, jakie służby mogą zbierać – w szczególności tzw. ustawa antyterrorystyczna posługuje się ogólną kategorią „dane osobowe". Nawet niedawna reforma unijnych przepisów o danych osobowych nie ma na to wpływu, gdyż jej przepisy nie dotyczą uprawnień służb – zauważa Litwiński.

FTS spytał także, czy prawo unijne zabrania ograniczania przez prawo krajowe możliwości gromadzenia i wykorzystywania przez dostawców usług online danych osobowych tylko do przypadków, gdy jest to niezbędne do korzystania z usług i wystawienia faktury za nie. Zdaniem TSUE takie ograniczenie jest niedopuszczalne. Dostawcy usług mogą bowiem gromadzić dane także w celu zapewnienia ogólnej funkcjonalności usług (np. uniknięcia cyberataku), ale nie może to naruszać podstawowych praw i wolności użytkowników.

–TSUE w tym wyroku nie ustanawia nowych reguł, ale przypomina ważną zasadę: definicja danych osobowych jest pojemna i zależy od kontekstu – mówi Katarzyna Szymielewicz, prezes fundacji Panoptykon. – Adres IP umożliwia identyfikację użytkownika nie tylko z perspektywy służb, ale także każdej firmy, która gromadzi wystarczająco dużo danych, m.in. w oparciu o IP, by personalizować swoje usługi. Identyfikacja nie musi bowiem polegać na ustaleniu imienia i nazwiska – wystarczy możliwość rozpoznania, że mamy do czynienia z tym, a nie innym użytkownikiem. Do takiej identyfikacji może wystarczyć sama znajomość ustaleń przeglądarki – wyjaśnia.

Zdaniem Szymilewicz wobec konieczności wdrożenia ogólnego rozporządzenia o ochronie danych osobowych (w pierwszej połowie 2018 r.) ten wyrok jest przypomnieniem dla firm internetowych, aby zastanowiły się, czy wszystkie informacje, które gromadzą, są im niezbędne do świadczenia usług.

Sygnatura akt: C-582/14