Dušan Pavlović, LL.M. M.Econ.
Ekspert za onlajn kockanje, doktorski kandidat LAST-JD EM studija, master prava i master ekonomije
Referenca
Patrik Brejer protiv Nemačke Vlade (eng. Patric Breyer vs. Bundesrepublic Deutschland), C-528/14, 19.10.2016.
Ključne reči
IP adresa, podatak o ličnosti, zaštita podataka, privatnost, Internet
Uvod
Sud pravde Evropske Unije doneo je odluku po kojoj je dinamička Internet protokol adresa (u daljem tekstu IP adresa) posetioca neke veb-strane podatak o ličnosti, u skladu sa Direktivom 95/46 EU (Direktiva o zaštiti podataka Evropske unije). IP adresa kao podatak o ličnosti dugo je bila predmet diskusije. Na prvi pogled, čini se da je Sud razrešio ovu dilemu. Međutim, dublja analiza presude nagoveštava da IP adresa neće baš u svakom slučaju imati taj status.
Šta je IP adresa?
IP adresa je identifikator uređaja u mreži, tačnije na Internetu. Ovaj identifikator je najčešće sastavljen od četiri broja vrednosti između 0 i 250 (190.244.53.129 može biti primer jedne IP adrese). Svaki broj služi da na prihvatljiv način doprinese opisu mesta uređaja u mreži. IP adresa može biti statička ili dinamička. Statička adresa se dodeljuje uređaju i ima permanentan karakter, dok se dinamička adresa menja svaki put kada se uređaj veže za Internet.
Opis slučaja
Ovaj slučaj je pokrenuo Patrik Brejer, aktivista nemačke Piratske partije. Brejer je tvrdio da je Nemačka Vlada sakupljala IP adrese korisnika koji posećuju sajtove Vlade. Tvrdeći da je IP adresa podatak o ličnosti, Brejer je smatrao da je Vlada u obavezi da dobije saglasnost posetioca sajtova za sakupljanje i dalju obradu njihovih ličnih podataka. Takođe, tvrdio je da su podaci korišćeni za profilisanje posetioca, što je bilo nedopustivo prema Nemačkom telemedijskom zakonu (nem. Telemediengesetz, u daljem tekstu zakon ili TMG). Ovaj zakon ograničava prikupljanje i korišćenje podataka o ličnosti korisnika od strane pružaoca usluga informacionog društva, osim ako je to neophodno za naplatu usluge i njeno fakturisanje. Nemačka Vlada je pak tvrdila da dinamičke IP adrese, za razliku od statičkih IP adresa, nisu podaci o ličnosti, pa samim tim skladištenje dinamičkih IP adresa nije bilo protivzakonito.
Odluka suda
Kreirajući odluku, Sud je pretežno sledio ekspertsko mišljenje Generalnog advokata (deo redovne procedure kod donošenja odluka) iz maja 2016. godine. Najpre, Sud je dao veliki značaj recitalu 26 Direktive o zaštiti podataka. Ovaj recital predviđa da pri proceni da li je moguće identifikovati pojedinca treba uzeti u obzir sva sredstava koje se razumno mogu koristiti od strane kontrolora podataka ili bilo koje druge strane koja obrađuje podatke u cilju identifikacije pojedinca.
Sud je smatrao da se procena o tome da li neko može identifikovati neku osobu ne sme ograničavati isključivo na razmatranje obima prikupljenih podataka. Umesto toga, procena treba pre svega da se zasniva na tome da li se može razumno verovati da pristup i korišćenje prikupljenih podataka, kao i njihova kombinacija sa drugim podacima u posedu kontrolora mogu da služe za identifikaciju fizičkog lica. U daljem obrazloženju presude, Sud je objasnio da podatke ne treba posmatrati kao razumno dostupne kontroloru ako je identifikacija pojedinca zabranjena zakonom ili praktično nemoguća zbog toga što zahteva nesrazmerno veliki napor u smislu vremena i troškova, tako da bi rizik od identifikacije u stvarnosti bio beznačajan.
Uzimajući u obzir kontekst spornog događaja, Sud je utvrdio da su operatori veb-strana Nemačke Vlade prikupljali IP adrese u cilju identifikacije potencijalnih sajber napadača, te i njihovog kasnijeg krivičnog gonjenja. Pod ovakvim okolnostima, Vlada ima opravdan razlog da traži od pružaoca Internet usluga da otkriju korelaciju između IP adrese i vlasnika naloga, tačnije lica koje koristi usluge pristupa Interentu. Na taj način Vlada može da izvrši identifikaciju pojedinca, te je Sud zaključio da se dinamička IP adresa može smatrati podatkom o ličnosti.
Pozivajući se na ranije donate odluke, Sud je utvrdio da sporni Nemački zakon (TMG) nije u skladu sa Direktivom o zaštiti podataka. Direktiva o zaštiti podataka sadrži restriktivni spisak okolnosti u kojima se obrada podataka o ličnosti može smatrati zakonitom. Obzirom da su principi zaštite podataka o ličnosti harmonizovani u svim državama članicama Evropske Unije, Sud smatra da države članice ne mogu da dodaju nove principe koje se odnose na zakonitost obrade podataka o ličnosti. Prema mišljenju suda, jednostrane promene utvrđenih principa rezultirale bi u tome da interesi kontrolora prevagnu u odnosu na interese lica čiji se podaci obrađuju.
Komentar
Sa pravno-teorijskog aspekta, potpuna anonimnost nekog lica u onlajn okruženju i apsolutna nemogućnost njegove identifikacije verovatno ostaje u domenu teorije. Samim tim nije iznenađujuće da nova Regulativa Evropske unije o zaštiti podataka ne definiše pojam anonimnosti. Suština ovakvog stanja jeste u tome da ukoliko jedan skup podataka ne može da služi za identifikaciju pojedinca, tačnije za otkrivanje dela njegovog identiteta koji se najčešće smatra identifikacijom lica (npr. otkrivanje imena, prezimena, adrese, ličnog broja), svakako da postoji potencijal spajanja tih podataka sa drugim skupom podataka. Njihova zajednička obrada može da otkrije identitet lica. No, upitno je koliko su dva različita skupa podataka zapravo dostupna i kome su dostupna.
IP adresa svakako ima svoju ulogu u identifikaciji lica. Definicija podatka o ličnosti (po trenutno važećoj Direktivi za zaštitu podataka, kao i po novoj Regulativi za zašitu podataka) upućuje na to da je reč o informaciji koja ima određeni kvalitet. Kvalitet se odnosi na to da informacija upućuje na osobu koja je identifikovana ili se može identifikovati. Međutim, ako uzmemo u obzir gore opisani slučaj, postavlja se pitanje da li u svakom slučaju IP adresu možemo smatrati podatkom o ličnosti i da li baš svako može iskoristiti IP adresu za identifikaciju lica?
Sud zastupa stanovište da podaci nisu razumno dostupni pod određenim okolnostima. Samim tim, Sud je odredio kriterijume koje će u budućnosti služiti za testiranje određenog spornog konteksta. Sa jedne strane, može se pretpostaviti da Vlada neke države koja sumnjiči nekog korisnika na Internetu za sajber kriminal može dobiti pristup informacijama, čija bi obrada zajedno sa IP adresama služila identifikaciji konkretnog lica. Sa druge strane, veoma je upitno da li svakodnevni korisnici na Internetu mogu da dobiju IP adrese drugih korisnika od strane pružaoca Internet usluga. Verovatno bi mogli da dobiju podatke, ako postoji valjan pravni osnov, i ako je upućen zahtev od strane nadležnih organa u odgovarajućem zakonitom postupku.
Nakon odluke Suda pravde Evropske Unije IP adresa je dobila svoju objektivnu i relativnu pravnu formu. Objektivno, IP adresa sada jeste podatak o ličnosti, ali se njena relativnost odnosi na to da u budućnosti IP adresa mora biti posmatrana u konkretnom kontekstu koji utiče na odluku o njenom pravnom obliku. Tačnije, sam kontekst događaja utiče na odluku o ispunjenosti uslova za primenu objektivne pravne forme IP adrese. Ispunjenost uslova za spajanje IP adrese sa dodatnim podacima, čija zajednička obrada služi identifikaciji lica, stvaraju situaciju u kojoj se IP adresa smatra podatkom o ličnosti. U suprotnom, posmatrani kontekst stvara situaciju u kojoj je IP adresa informacija bez dovoljnog kvaliteta da bude deklarisana kao podatak o ličnosti.