Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie Breyer vs. Republika Federalna Niemiec z 19 października 2016 r. (C-582/14) wzbudził duże zainteresowanie. Przedmiotem tego postępowania było roszczenie obywatela Niemiec o zaprzestanie przechowywania dynamicznych adresów IP sesji, gromadzonych w związku z przeglądaniem publicznie dostępnych stron internetowych prowadzonych przez służby federalne. Istotą rozstrzygnięcia było uznanie przez Trybunał, że dla dostawcy treści internetowych, dynamiczny adres IP przypisany użytkownikowi w danej sesji, może stanowić daną osobową w przypadku, gdy taki dostawca dysonuje środkami prawnymi umożliwiającymi uzyskanie dodatkowych informacji od dostawcy usługi dostępu do sieci pozwalających na identyfikację tego użytkownika
Możliwości identyfikacji
W wyroku jednym z kluczowych zagadnień jest kwestia pojęcia możliwej do zidentyfikowania osoby fizycznej. W świetle definicji w art. 2 pkt a) dyrektywy nr 95/46/WE z 24.10.1995 r. (Dyrektywa), jest to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio. Identycznym sformułowaniem posługuje się polska ustawa o ochronie danych osobowych (u.o.d.o.) w jej art. 4 ust. 1.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) o ochronie danych nr 2016/679 (RODO), które wejdzie w życie 25 maja 2018 r. posługuje się zbliżoną definicją. Jest to osoba, którą można bezpośrednio lub pośrednio zidentyfikować. przy czym w definicji RODO wskazuje się dodatkowo, że może chodzić o identyfikację m.in. przy wykorzystaniu identyfikatora internetowego. Dodatkowo warto wspomnieć, że Dyrektywa, w jej motywie 26, przewiduje, że w celu ustalenia, czy daną osobę można zidentyfikować, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby. Z kolei zgodnie z motywem 26 RODO – aby stwierdzić, czy osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.
Trybunał stwierdził, że dynamiczny adres IP może stanowić dane osobowe nie tylko wtedy, gdy dostawca usług medialnych jest w stanie bezpośrednio zidentyfikować osobę, której dane dotyczą. Ma to miejsce również, gdy dysponuje on środkami prawnymi umożliwiającymi mu taką identyfikację pośrednio (tj. dzięki dodatkowym informacjom od dostawcy dostępu do Internetu). Uzasadnienie zbieżne jest z wnioskami przedstawionymi w tej sprawie w opinii rzecznika generalnego M. Camposa Sancheza-Bordony.
Koszt odgrywa ważną rolę
Rzecznik wskazał dodatkowo, że trudno mówić o możliwości identyfikacji osoby fizycznej, gdy kontakt z osobami trzecimi dysponującymi dodatkowymi informacjami pozwalającymi na identyfikację byłby bardzo kosztowny w kategoriach ludzkich oraz gospodarczych czy też praktycznie niewykonalny albo zakazany prawem (akapit 68 opinii). Jednak, gdy możliwy i prawnie dopuszczalny jest kontakt z dostawcą usługi internetowej, który w określonych okolicznościach jest uprawniony do udostępnienia danych, pozwalających na identyfikację osoby fizycznej, dynamiczny adres IP, zgodnie z motywem 26 dyrektywy 95/46, może stać się z punktu widzenia dostawcy treści danymi osobowym.