ИП адреса као податак о личности

ИП адреса као податак о личности

Експерт за онлајн коцкање, докторски кандидат ЛАСТ-ЈД ЕМ студија, мастер права и мастер економије

  • googleplus
  • linkedin

Референца

Патрик Брејер против Немачке Владе (енг. Patric Breyer vs. Bundesrepublic Deutschland), C-528/14, 19.10.2016.

Кључне речи

ИП адреса, податак о личности, заштита података, приватност, Интернет

Увод

Суд правде Европске Уније донео је одлуку по којој је динамичка Интернет протокол адреса (у даљем тексту ИП адреса) посетиоца неке веб-стране податак о личности, у складу са Директивом 95/46 ЕУ (Директива о заштити података Европске уније). ИП адреса као податак о личности дуго је била предмет дискусије. На први поглед, чини се да је Суд разрешио ову дилему. Међутим, дубља анализа пресуде наговештава да ИП адреса неће баш у сваком случају имати тај статус.

Шта је ИП адреса?

ИП адреса је идентификатор уређаја у мрежи, тачније на Интернету. Овај идентификатор је најчешће састављен од четири броја вредности између 0 и 250 (190.244.53.129 може бити пример једне ИП адресе). Сваки број служи да на прихватљив начин допринесе опису места уређаја у мрежи. ИП адреса може бити статичка или динамичка. Статичка адреса се додељује уређају и има перманентан карактер, док се динамичка адреса мења сваки пут када се уређај веже за Интернет.

Опис случаја

Овај случај је покренуо Патрик Бреjер, активиста немачке Пиратске партије. Бреjер је тврдио да је Немачка Влада сакупљала ИП адресе корисника који посећују сајтове Владе. Тврдећи да је ИП адреса податак о личности, Бреjер је сматрао да је Влада у обавези да добије сагласност посетиоца сајтова за сакупљање и даљу обраду њихових личних података. Такође, тврдио је да су подаци коришћени за профилисање посетиоца, што је било недопустиво према Немачком телемедијском закону (нем. Telemediengesetz, у даљем тексту закон или TMГ). Овај закон ограничава прикупљање и коришћење података о личности корисника од стране пружаоца услуга информационог друштва, осим ако је то неопходно за наплату услуге и њено фактурисање. Немачка Влада је пак тврдила да динамичке ИП адресе, за разлику од статичких ИП адреса, нису подаци о личности, па самим тим складиштење динамичких ИП адреса није било противзаконито.

Одлука суда

Креирајући одлуку, Суд је претежно следио експертско мишљење Генералног адвоката (део редовне процедуре код доношења одлука) из маја 2016. године. Најпре, Суд је дао велики значај рециталу 26 Директиве о заштити података. Овај рецитал предвиђа да при процени да ли је могуће идентификовати појединца треба узети у обзир сва средстава које се разумно могу користити од стране контролора података или било које друге стране која обрађује податке у циљу идентификације појединца.

Суд је сматрао да се процена о томе да ли неко може идентификовати неку особу не сме ограничавати искључиво на разматрање обима прикупљених података. Уместо тога, процена треба пре свега да се заснива на томе да ли се може разумно веровати да приступ и коришћење прикупљених података, као и њихова комбинација са другим подацима у поседу контролора могу да служе за идентификацију физичког лица. У даљем образложењу пресуде, Суд је објаснио да податке не треба посматрати као разумно доступне контролору ако је идентификација појединца забрањена законом или практично немогућа због тога што захтева несразмерно велики напор у смислу времена и трошкова, тако да би ризик од идентификације у стварности био безначајан.

Узимајући у обзир контекст спорног догађаја, Суд је утврдио да су оператори веб-страна Немачке Владе прикупљали ИП адресе у циљу идентификације потенцијалних сајбер нападача, те и њиховог каснијег кривичног гоњења. Под оваквим околностима, Влада има оправдан разлог да тражи од пружаоца Интернет услуга да открију корелацију између ИП адресе и власника налога, тачније лица које користи услуге приступа Интеренту. На тај начин Влада може да изврши идентификацију појединца, те је Суд закључио да се динамичка ИП адреса може сматрати податком о личности.

Позивајући се на раније донате одлуке, Суд је утврдио да спорни Немачки закон (ТМГ) није у складу са Директивом о заштити података. Директива о заштити података садржи рестриктивни списак околности у којима се обрада података о личности може сматрати законитом. Обзиром да су принципи заштите података о личности хармонизовани у свим државама чланицама Европске Уније, Суд сматра да државе чланице не могу да додају нове принципе које се односе на законитост обраде података о личности. Према мишљењу суда, једностране промене утврђених принципа резултирале би у томе да интереси контролора превагну у односу на интересе лица чији се подаци обрађују.

Коментар

Са правно-теоријског аспекта, потпуна анонимност неког лица у онлајн окружењу и апсолутна немогућност његове идентификације вероватно остаје у домену теорије. Самим тим није изненађујуће да нова Регулатива Европске уније о заштити података не дефинише појам анонимности. Суштина оваквог стања јесте у томе да уколико један скуп података не може да служи за идентификацију појединца, тачније за откривање дела његовог идентитета који се најчешће сматра идентификацијом лица (нпр. откривање имена, презимена, адресе, личног броја), свакако да постоји потенцијал спајања тих података са другим скупом података. Њихова заједничка обрада може да открије идентитет лица. Но, упитно је колико су два различита скупа података заправо доступна и коме су доступна.

ИП адреса свакако има своју улогу у идентификацији лица. Дефиниција податка о личности (по тренутно важећој Директиви за заштиту података, као и по новој Регулативи за зашиту података) упућује на то да је реч о информацији која има одређени квалитет. Квалитет се односи на то да информација упућује на особу која је идентификована или се може идентификовати. Међутим, ако узмемо у обзир горе описани случај, поставља се питање да ли у сваком случају ИП адресу можемо сматрати податком о личности и да ли баш свако може искористити ИП адресу за идентификацију лица?

Суд заступа становиште да подаци нису разумно доступни под одређеним околностима. Самим тим, Суд је одредио критеријуме које ће у будућности служити за тестирање одређеног спорног контекста. Са једне стране, може се претпоставити да Влада неке државе која сумњичи неког корисника на Интернету за сајбер криминал може добити приступ информацијама, чија би обрада заједно са ИП адресама служила идентификацији конкретног лица. Са друге стране, веома је упитно да ли свакодневни корисници на Интернету могу да добију ИП адресе других корисника од стране пружаоца Интернет услуга. Вероватно би могли да добију податке, ако постоји ваљан правни основ, и ако је упућен захтев од стране надлежних органа у одговарајућем законитом поступку.

Након одлуке Суда правде Европске Уније ИП адреса је добила своју објективну и релативну правну форму. Објективно, ИП адреса сада јесте податак о личности, али се њена релативност односи на то да у будућности ИП адреса мора бити посматрана у конкретном контексту који утиче на одлуку о њеном правном облику. Тачније, сам контекст догађаја утиче на одлуку о испуњености услова за примену објективне правне форме ИП адресе. Испуњеност услова за спајање ИП адресе са додатним подацима, чија заједничка обрада служи идентификацији лица, стварају ситуацију у којој се ИП адреса сматра податком о личности. У супротном, посматрани контекст ствара ситуацију у којој је ИП адреса информација без довољног квалитета да буде декларисана као податак о личности.