Μπορεί μια εθνική δημόσια αρχή να έχει πρόσβαση σε στοιχεία ταυτοποίησης από διεύθυνση IP με σκοπό τον εντοπισμό του προσώπου όταν υπάρχουν υπόνοιες προσβολής δικαιωμάτων διανοητικής ιδιοκτησίας;
Σε αυτό το ερώτημα, το οποίο προφανώς έχει σημασία και για περιπτώσεις υπονοιών διάπραξης ποινικών αδικημάτων εν γένει, απάντησε με τρόπο καταφατικό το Δικαστήριο της Ευρωπαϊκής Ένωσης, την Τρίτη 30 Απριλίου, στην υπόθεση C-470/21.
Ιστορικό
Στη Γαλλία θεσπίστηκαν με διάταγμα του 2010 δύο είδη επεξεργασίας δεδομένων προσωπικού χαρακτήρα προκειμένου τα έργα που καλύπτονται από δικαίωμα του δημιουργού ή συγγενικό δικαίωμα να προστατεύονται από αξιόποινες πράξεις οι οποίες πραγματοποιούνται στο διαδίκτυο.
Το πρώτο είδος επεξεργασίας συνίσταται στη συλλογή, από φορείς που εκπροσωπούν τους δημιουργούς, διευθύνσεων IP που προκύπτει ότι έχουν χρησιμοποιηθεί στο πλαίσιο ομότιμων (peer-to-peer) δικτύων για τη διάπραξη τέτοιων αδικημάτων, καθώς και στην κοινοποίηση αυτών στην ανεξάρτητη διοικητική αρχή Hadopi, που είναι επιφορτισμένη με την προστασία του δικαιώματος πνευματικής ιδιοκτησίας και των συγγενικών δικαιωμάτων σε περιπτώσεις προσβολών των εν λόγω δικαιωμάτων οι οποίες διαπράττονται μέσω του διαδικτύου.
Το δεύτερο είδος επεξεργασίας περιλαμβάνει, μεταξύ άλλων, την αντιστοίχιση μεταξύ της διεύθυνσης IP και των στοιχείων ταυτότητας του κατόχου της από τους παρόχους υπηρεσιών πρόσβασης στο διαδίκτυο, που ενεργούν κατόπιν αιτήματος της Hadopi.
Τέσσερις ενώσεις για την προστασία των δικαιωμάτων και ελευθεριών στο Διαδίκτυο προσέφυγαν ενώπιον του γαλλικού Conseil d’État (Συμβουλίου της Επικρατείας) ζητώντας την ακύρωση του επίμαχου διατάγματος. Τέθηκε, λοιπόν, στο Δικαστήριο της ΕΕ το ερώτημα αν τα ανωτέρω είδη επεξεργασίας δεδομένων είναι συμβατά με το δίκαιο της Ένωσης.
Απόφαση Δικαστηρίου της ΕΕ
Η Ολομέλεια του Δικαστηρίου έκρινε ότι η γενική και χωρίς διάκριση διατήρηση διευθύνσεων IP δεν συνιστά κατ’ ανάγκην σοβαρή επέμβαση στα θεμελιώδη δικαιώματα. Παρόλα αυτά, μία τέτοια διατήρηση επιτρέπεται όταν η εθνική ρύθμιση επιβάλλει όρους διατήρησης που διασφαλίζουν πραγματικά τον στεγανό διαχωρισμό των διαφόρων κατηγοριών δεδομένων προσωπικού χαρακτήρα και, ως εκ τούτου, αποκλείουν τη δυνατότητα συναγωγής ακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή του υποκειμένου των δεδομένων.
Το Δικαστήριο διευκρίνισε επίσης ότι το δίκαιο της Ένωσης δεν αντιτίθεται σε εθνική ρύθμιση η οποία επιτρέπει στην αρμόδια δημόσια αρχή να αποκτά πρόσβαση, με μοναδικό σκοπό τον προσδιορισμό του προσώπου ως προς το οποίο υπάρχουν υπόνοιες για τη διάπραξη ποινικού αδικήματος, στα στοιχεία ταυτότητας που αντιστοιχούν σε διεύθυνση IP, τα οποία οι πάροχοι υπηρεσιών πρόσβασης στο διαδίκτυο διατηρούν χωριστά και με τρόπο πραγματικά στεγανό. Τα κράτη μέλη οφείλουν, ωστόσο, να διασφαλίζουν ότι η πρόσβαση αυτή δεν καθιστά δυνατή τη συναγωγή ακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή των κατόχων των οικείων διευθύνσεων IP. Τούτο συνεπάγεται ότι πρέπει να απαγορεύεται στους υπαλλήλους που αποκτούν τέτοια πρόσβαση να αποκαλύπτουν πληροφορίες σχετικές με το περιεχόμενο των αρχείων που συμβουλεύονται, να εντοπίζουν τη διαδρομή πλοήγησης από τις διευθύνσεις IP και να χρησιμοποιούν τις διευθύνσεις αυτές για σκοπούς διαφορετικούς από την ταυτοποίηση των κατόχων τους ενόψει της ενδεχόμενης λήψης μέτρων.
Όταν η πρόσβαση σε δεδομένα σχετικά με την ταυτότητα των χρηστών έχει ως μοναδικό σκοπό την ταυτοποίηση, δεν απαιτείται η διενέργεια προηγούμενου ελέγχου της πρόσβασης αυτής από δικαστήριο ή ανεξάρτητη διοικητική αρχή, στο μέτρο που η συγκεκριμένη πρόσβαση συνεπάγεται επέμβαση στα θεμελιώδη δικαιώματα που δεν μπορεί να χαρακτηριστεί σοβαρή. Ο έλεγχος αυτός πρέπει πάντως να προβλέπεται στην περίπτωση κατά την οποία τα ειδικά χαρακτηριστικά εθνικής διαδικασίας που διέπει την εν λόγω πρόσβαση μπορούν, μέσω της συσχέτισης των συλλεγόμενων δεδομένων και πληροφοριών κατά τα διάφορα στάδια της διαδικασίας αυτής, να καταστήσουν δυνατή τη συναγωγή ακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή του υποκειμένου των δεδομένων και, ως εκ τούτου, να έχουν ως συνέπεια σοβαρή επέμβαση στα θεμελιώδη δικαιώματα. Σε μια τέτοια περίπτωση, ο ως άνω έλεγχος από δικαστήριο ή ανεξάρτητη διοικητική οντότητα πρέπει να διενεργείται πριν από τη συσχέτιση των συλλεγόμενων δεδομένων και πληροφοριών, διατηρούμενης παραλλήλως της αποτελεσματικότητας της εν λόγω διαδικασίας, ιδίως μέσω της δυνατότητας προσδιορισμού των περιπτώσεων ενδεχόμενης περαιτέρω επανάληψης της επίμαχης παραβατικής συμπεριφοράς.
Δείτε την απόφαση στη Qualex: ΔΕΕ υπόθ. C-470/21
Δείτε τη σχετική Έκδοση: THE GDPR HANDBOOK
Δείτε το σχετικό Σεμινάριο: Επεξεργασία Προσωπικών Δεδομένων