CJEU: Hramba IP naslovov posameznikov
Sodišče EU je razsodilo, da nacionalna zakonodaja, ki dovoljuje splošno in nediskriminatorno hrambo naslovov IP, da bi organom omogočila identifikacijo ljudi, ki dajo zaščitena dela na voljo za prenos na internetu, ne pomeni nujno posega v temeljne pravice.
30.4.2024
Da bi zaščitila dela, ki so zaščitena z avtorskimi pravicami, pred nezakonitim deljenjem na internetu, je Francija sprejela odlok št. 2010-236, ki je uvedel zlasti člen L. 331-21 v francoskem zakonu o intelektualni lastnini (CPI). Ta člen določa, da lahko Visoki organ za razširjanje del in varstvo pravic na internetu ('Hadopi') od ponudnikov internetnih storitev zahteva identiteto, poštni naslov, elektronski naslov in telefonsko številko osebe, ki je dala zaščitena dela na voljo za prenos na Internet. Tako lahko Hadopi zoper identificirano osebo sproži postopek, ki združuje preventivne in kaznovalne ukrepe. Zadeva se lahko v najhujših primerih preda državnemu tožilstvu.
Štiri združenja, vključno z La Quadrature du Net, so zahtevala razveljavitev tega odloka, ker so trdili, da je člen L. 331-21 CPI v nasprotju z zakonodajo EU, zlasti členom 15 Direktive o e-zasebnosti ter členi 7, 8 in 11 Listine EU o temeljnih pravicah.
V zvezi z domnevno kršitvijo prava EU je La Quadrature du Net navedla, da ta člen dovoljuje dostop do kakršnih koli podatkov o povezavi na nesorazmeren način za neresne kršitve avtorskih pravic, storjene na internetu, brez kakršnega koli predhodnega pregleda s strani sodnika ali organa. Zlasti so navedli, da ti prekrški ne sodijo med "huda kazniva dejanja".
Conseil d’Etat se je odločil prekiniti postopek in Sodišču EU predložil tri vprašanja, za katera je Sodišče menilo, da jih je primerno obravnavati skupaj. Zato je Sodišče EU preučilo naslednje vprašanje:
Ali člen 15(1) Direktive o e-zasebnosti nasprotuje nacionalni zakonodaji, ki javnemu organu dovoljuje dostop do podatkov, ki jih hranijo ponudniki javno dostopnih elektronskih komunikacijskih storitev in se nanašajo na civilno identiteto, povezano z naslovi IP, da se identificirajo imetniki teh naslovov – ker so bili uporabljeni za dejavnosti, ki bi lahko predstavljale kršitve – in lahko proti njim ukrepajo, vse to brez predhodne presoje s strani sodišča ali upravnega organa?
Odločitev sodišča
Sodišče EU je predhodno pojasnilo, da se vprašanja, ki jih je zastavil Conseil d’Etat, nanašajo le na nadaljnjo obdelavo. Ta obdelava poteka v dveh fazah:
zbrani naslovi IP se ujemajo z imetniki teh naslovov in
nabor osebnih podatkov in informacij v zvezi z imetniki, zlasti njihova identiteta, je na voljo imetnikom.
Sodišče EU je dodalo, da zbiranje naslovov IP, z določenimi količinskimi omejitvami in pod določenimi pogoji, z namenom njihovega prenosa Hadopi za namene njihove morebitne uporabe v upravnih ali sodnih postopkih za boj proti dejavnostim, ki kršijo avtorsko sorodne pravice, predstavlja " obdelavo« v smislu člena 4(2) GDPR.
Hranjenje podatkov v zvezi z osebno identiteto in povezanimi naslovi IP s strani ponudnikov internetnih storitev
Sodišče je ugotovilo, da čeprav je Hadopi uradno pooblaščen za dostop le do podatkov v zvezi z osebno identiteto, povezano z naslovom IP, dostop najprej zahteva, da ponudniki internetnih storitev povežejo naslov IP s podatki o civilni identiteti imetnika tega naslova ob predpostavki, da imajo ponudniki naslove IP in podatke v zvezi z imetniki teh naslovov.
Država članica, ki želi ponudnikom elektronskih komunikacijskih storitev naložiti obveznost hrambe naslovov IP na splošen in nediskriminatoren način za boj proti kaznivim dejanjem, mora zagotoviti, da ni mogoče sklepati o zasebnem življenju osebe s kombinacijo naslovov IP z drugimi podatki. Zato morajo obstajati jasna in natančna pravila v zvezi s pogodbami o hrambi v takem primeru.
Dostop do podatkov v zvezi z civilno identiteto, povezano z naslovom IP, ki jih hranijo ponudniki internetnih storitev
Iz sodne prakse Sodišča EU izhaja, da na področju boja proti kaznivim dejanjem le cilji boja proti hudim kaznivim dejanjem ali preprečevanja resnih groženj javni varnosti upravičujejo poseg v temeljne pravice, ki ga prinaša dostop do niza prometnih ali lokacijskih podatkov (SEU, 2. marec 2021, Prokuratuur, C-746/18, §35).
Sodišče EU je ugotovilo, da v tem primeru nacionalna francoska zakonodaja organizaciji Hadopi ne dovoljuje dostopa do „nabora podatkov o prometu ali lokaciji“. Zato načeloma ne more potegniti natančnih zaključkov o zasebnem življenju zadevnih oseb (§99 sodbe). Sodišče je tudi razsodilo, da mora nacionalna zakonodaja določiti jasna in natančna pravila, ki zagotavljajo, da se ohranjeni naslovi IP lahko uporabljajo samo za identifikacijo osebe, hkrati pa preprečuje kakršno koli uporabo, ki omogoča nadzor spletne dejavnosti te osebe (§101 sodbe).
Poleg tega je Sodišče EU menilo, da poseg v zasebnost osumljene osebe ni nujno zelo resen, saj je dostop Hadopija omejen na omejeno število pooblaščenih in zapriseženih uradnikov, edini namen dostopa pa je identificirati osebo, za katero se sumi, da je sodelovala v dejavnosti, ki krši avtorske pravice. Hadopijev dostop do osebnih podatkov je tudi strogo omejen na podatke, potrebne za ta namen, uradnike Hadopija, ki imajo dostop do podatkov, pa zavezuje obveza zaupnosti, ki jim prepoveduje razkritje podatkov, razen z namenom, da zadevo predložijo državnemu tožilstvu.
Sodišče je menilo, da če nacionalna zakonodaja določa jasna in natančna pravila, ki ne dovoljujejo nadzora spletne dejavnosti osebe, npr. sledenje toku klikov osebe prek naslovov IP, dostopa organa ni mogoče opredeliti kot resen poseg v njihove temeljne pravice.
Predhodni pregled zahteve za dostop s strani sodišča ali neodvisnega upravnega organa
Sodišče EU je presodilo, da je v tem primeru treba opraviti predhodni pregled, preden lahko Hadopi poveže podatke o osebni identiteti osebe, povezane z naslovom IP, pridobljenim od ponudnika elektronskih komunikacijskih storitev, in datoteko, ki se nanaša na delo, ki je na voljo na internetu za prenos drugih oseb. Pregled je treba opraviti pred pošiljanjem pisnega obvestila, ki izjavlja, da je ta oseba storila ravnanje, ki bi lahko pomenilo hudo malomarnost.
Poleg tega je Sodišče EU dodalo, da predhodni pregled v nobenem primeru ne sme biti avtomatiziran, saj je za uravnoteženje različnih zadevnih zakonitih interesov in pravic potrebno človeško posredovanje.
Zaščitni ukrepi pred zlorabo in nezakonitim dostopom javnega organa do podatkov v zvezi z osebno identiteto, povezano z naslovom IP
Sodišče EU je obdelavo s strani Hadopija izključilo iz področja uporabe GDPR, saj člen 2(2)(d) GDPR določa, da uredba ne velja za obdelavo osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskav, odkrivanje ali pregon kaznivih dejanj. Zato je Sodišče EU sklenilo, da je nacionalna določba, ki javnemu organu dovoljuje dostop do podatkov v zvezi z osebno identiteto, povezanih z naslovi IP, ki jih hranijo ponudniki internetnih storitev, da se identificirajo imetniki naslovov, ki so bili uporabljeni za dejavnosti, ki bi lahko predstavljale kršitev, združljiva s členom 15 Direktive o zasebnosti in elektronskih komunikacijah. Vendar mora ta zakonodaja zagotoviti, da:
Podatki ne omogočajo natančnih sklepov o zasebnem življenju imetnika naslova IP, na primer z določitvijo podrobnega profila osebe. Zato je treba ponudnikom internetnih storitev naložiti obveznost, da hranijo različne kategorije podatkov na način, ki zagotavlja neprepustno ločevanje teh različnih kategorij;
Vpogled javnega organa v podatke služi izključno identifikaciji osebe, ki je osumljena storitve kaznivega dejanja;
Možnost povezovanja podatkov z naslovom zaščitenega dela, ki je dostopen na internetu, je v primerih, ko oseba ponovi dejanje, ki krši avtorske pravice, predmet presoje sodišča ali upravnega organa;
Sistem za obdelavo podatkov, ki ga uporablja javni organ, je predmet pregleda, da se preveri celovitost sistema.
Celotna sodba je dostopna tukaj
Vir: GDPRHub
