Pojďme si nejdříve říci, co to vlastně IP adresa je a jak se klasická liší od té dynamické. IP adresa je identifikační kód každého zařízení připojeného do počítačové sítě. Takovou adresu má server, ke kterému se připojujete i vy, respektive vaše zařízení. Protože server musí být vždy k nalezení, má pevnou IP adresu, naopak uživatelům je adresa přiřazena vždy na dobu, kdy jsou se zařízením připojeni k internetu, a může se tak měnit. Říká se tomu dynamická IP adresa a je vybírána z rozsahu, jakým disponuje poskytovatel, přes něhož se připojujete k internetu. Jinými slovy, může být pokaždé jiná a tu, kterou jste dostali přidělenou dnes, může mít zítra někdo jiný, respektive jiné zařízení. Identifikovat podle dynamické adresy vás tak může pouze poskytovatel.
Tolik na úvod na nyní k rozhodnutí Evropského soudu.
Dynamická IP adresa je (vetšinou) osobním údajem
Jak se může stát dynamická adresa osobním údajem? Souvisí to se zpracováním údajů provozovateli internetových stránek. Rozhodl o tom Soudní dvůr EU při řešení kauzy Patrick Breyer proti Německu.
O co ve sporu šlo? P. Bayer se u německých soudů domáhal, aby Německo přestalo uchovávat jeho IP adresy, které získalo při jeho „návštěvách“ několika internetových stránek německých spolkových orgánů, které byly veřejně přístupné. Jednalo se přitom o běžné logy návštěvnických IP adres, které jsou sbírány většinou stránek s cílem zabránit útokům na ně.
Německé soudy přerušily řízení a položily tzv. předběžnou otázku Soudnímu dvoru EU, protože v dané věci neexistuje jednotný výklad práva EU. Jde zejména o to, jestli k tomu, aby nějaký údaj byl osobním údajem, a tedy identifikoval konkrétní osobu, je třeba vycházet z „objektivního“ či „relativního“ kritéria.
Důsledkem uplatnění „objektivního“ kritéria by bylo, že takové údaje, jako jsou IP adresy, by mohly být považovány za osobní údaje zpracovávané provozovatelem internetové stránky, a to i kdyby byla s to identifikovat konkrétního uživatele jen třetí osoba - poskytovatel internetového připojení.
Podle „relativního“ kritéria by takové údaje mohly být považovány za osobní údaj u poskytovatele internetového připojení, neboť mu umožňují přesně určit totožnost uživatele (soud ponechal stranou to, že takové údaje ve skutečnosti jen identifikují připojený počítač a osobu, která hradí internetové připojení, nikoliv osobu, která za tím počítačem skutečně seděla), ale už ne u provozovatele navštívených internetových stránek, který disponuje skutečně pouze údajem o IP adrese a nezná jméno návštěvníka.
Ano i ne
Soudní dvůr se pokusil vyřešit celou věc šalamounsky. Nejprve zdůraznil, že je nesporné, že dynamická IP adresa sama o sobě nepředstavuje informaci o „identifikované osobě“, jelikož taková adresa přímo neodhaluje totožnost fyzické osoby, která je majitelem počítače. Ale pak rozhodl, že i pokud je provozovatel internetové stránky schopen identifikovat uživatele „nepřímo“, bude se jednat o osobní údaj. Jako příklad situace, kdy provozovatel identifikuje uživatele nepřímo, uvedl soud identifikaci prostřednictvím poskytovatele internetového připojení.
Soud k tomu výslovně uvedl: „Skutečnost, že další informace potřebné k identifikaci uživatele internetové stránky nemá k dispozici poskytovatel on-line mediálních služeb, nýbrž poskytovatel internetového připojení tohoto uživatele, tedy nemůže vyloučit, že dynamické IP adresy uchovávané poskytovatelem on-line mediálních služeb představují pro tohoto poskytovatele osobní údaj. Je nicméně třeba určit, zda možnost spojení dynamické IP adresy s uvedenými dalšími informacemi, které má k dispozici tento poskytovatel internetového připojení, představuje prostředek, který může být rozumně použit pro identifikaci subjektu údajů.“
Dále pak soud prohlásil: „Existují však právní prostředky umožňující poskytovateli on-line mediálních služeb obrátit se zejména v případě kybernetických útoků na příslušný orgán za účelem, aby podnikl kroky nezbytné k získání těchto informací od poskytovatele internetového připojení a k zahájení trestních stíhání. Poskytovatel on-line mediálních služeb má tedy patrně prostředky, které mohou být rozumně použity, aby nechal s pomocí jiných osob, a sice příslušného orgánu a poskytovatele internetového připojení, identifikovat subjekt údajů na základě uchovaných IP adres.“
Z toho soud dovodil, že pro i poskytovatele internetového obsahu má v takovém případě jím ukládaná IP adresa charakter osobního údaje. Vzhledem k příkladu, který soud zvolil, však bude mít IP adresa charakter osobního údaje ve většině případů, protože obvykle bude možné prostřednictvím ISP poskytovatele na žádost policie identifikovat konkrétní osobu.
Nakládání s IP adresou jako s osobním údajem
K čemu uvedené rozhodnutí povede? Všichni, kdo ukládají IP adresy, s nimi tedy budou muset (minimálně z důvodu opatrnosti) zacházet jako s osobním údajem a budou ohledně nich muset dodržovat všechny povinnosti stanovené zákonem č. 101/2000 Sb., o ochraně osobních údajů, potažmo novým Obecným nařízením o ochraně osobních údajů, které začne platit v květnu roku 2018. A porušení těchto pravidel může být sankcionováno podle tohoto nového nařízení pokutou až do výše 20 milionů eur.
Rozhodnutí bude mít význam také pro pohled na to, které údaje jsou anonymní (a tedy nejsou osobními údaji) a které jsou pseudonymní (a za osobní údaje se tak budou považovat), protože se jím podstatně rozšířila kategorie pseudonymních údajů na úkor údajů anonymních.
Jen jako malá náplast se pak jeví fakt, že ve stejném rozsudku soudní dvůr výslovně deklaroval, že členský stát nemůže v národním právu ještě více omezit přípustné důvody zpracování osobních údajů bez souhlasu dané osoby, než jaké obsahuje evropské právo.
