Adresa de protocol internet dinamică a unui vizitator constituie, pentru administratorul site-ului, o dată cu caracter personal, în cazul în care acest administrator dispune de mijloace legale care îi permit să identifice vizitatorul respectiv cu ajutorul informațiilor suplimentare de care dispune furnizorul de acces la internet al vizitatorului, interes legitim
Domnul Patrick Breyer se opune în fața instanțelor germane la înregistrarea și stocarea adreselor sale de protocol internet („adrese IP”)1 de către site-urile internet ale organismelor federale germane. Aceste organisme înregistrează și stochează, pe lângă data și ora consultării, adresele IP ale vizitatorilor pentru a preveni atacurile cibernetice și a face posibilă urmărirea penală.
Bundesgerichtshof (Curtea Federală de Justiție, Germania) a sesizat Curtea de Justiție pentru a stabili dacă în acest context adresele IP dinamice constituie de asemenea, în privința administratorului site-ului internet, o dată cu caracter personal și beneficiază, astfel, de protecția prevăzută pentru astfel de date. O adresă IP dinamică este o adresă IP care se schimbă cu ocazia fiecărei noi conectări la internet. Spre deosebire de adresele IP statice, adresele IP dinamice nu permit să se facă legătura, prin intermediul unor fișiere accesibile publicului, între un anumit calculator și conexiunea fizică la rețea utilizată de furnizorul de acces la internet. Astfel, numai furnizorul de acces la internet al domnului Breyer dispune de informațiile suplimentare necesare pentru a-l identifica.
Pe de altă parte, Bundesgerichtshof solicită să se stabilească dacă administratorul unui site internet trebuie, cel puțin în principiu, să aibă posibilitatea de a colecta și de a utiliza ulterior datele cu caracter personal ale vizitatorilor pentru a asigura funcționalitatea generală a site-ului său (interes legitim). Instanța menționată precizează în această privință că majoritatea doctrinei germane interpretează reglementarea germană în materie în sensul că aceste date trebuie șterse după terminarea sesiunii de consultare dacă nu sunt necesare în vederea facturării.
Prin hotărârea pronunțată astăzi, Curtea răspunde mai întâi că o adresă IP dinamică înregistrată de „un furnizor de servicii de comunicații electronice” (cu alte cuvinte, administratorului unui site internet, în speță organismele federale germane) cu ocazia consultării site-ului său internet pe care îl pune la dispoziția publicului constituie, pentru administrator, o dată cu caracter personal2 , în cazul în care acesta dispune de mijloace legale care îi permit să identifice vizitatorul cu ajutorul informațiilor suplimentare de care dispune furnizorul de acces la internet al acestuia din urmă.
Te-ar putea interesa și:
Curtea arată în această privință că se pare că există în Germania căi legale care permit furnizorului de servicii de comunicații electronice să se adreseze, în special în cazul unor atacuri cibernetice, autorității competente pentru ca aceasta să întreprindă demersurile necesare pentru a obține aceste informații de la furnizorul de acces la internet și pentru a declanșa ulterior urmărirea penală.
În al doilea rând, Curtea răspunde că dreptul Uniunii se opune unei reglementări a unui stat membru în temeiul căreia, în lipsa consimțământului vizitatorului, un furnizor de servicii de comunicații electronice poate colecta și utiliza datele cu caracter personal ale vizitatorului numai în măsura în care această colectare și această utilizare sunt necesare pentru a permite și a factura utilizarea concretă a serviciilor respective de către acest vizitator, fără ca obiectivul care vizează asigurarea funcționalității generale a acestor servicii să poată justifica utilizarea datelor după o sesiune de consultare a acestora.
Curtea amintește că, potrivit dreptului Uniunii, prelucrarea datelor cu caracter personal este legală printre altele dacă este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate.
Reglementarea germană, astfel cum este interpretată în doctrina majoritară, reduce domeniul de aplicare al acestui principiu, excluzând ca obiectivul privind asigurarea funcționalității generale a comunicațiilor electronice respective să poată face obiectul unei ponderări cu interesul sau cu drepturile și libertățile fundamentale ale vizitatorilor.
În acest context, Curtea subliniază că organismele federale germane care furnizează servicii de comunicații electronice ar putea avea un interes legitim în a asigura, dincolo de fiecare utilizare concretă a site-urilor lor internet accesibile publicului, continuitatea funcționării propriilor site-uri.