Nemčija: Odškodnina zaradi obveze prevzeti Googlovo pisavo
Ker je spletna stran od uporabnikovega brskalnika zahtevala, da z Googlovega strežnika naloži pisave in je bil zaradi tega Googlu razkrit IP naslov uporabnika, je nemško sodišče uporabniku dosodilo 100 EUR odškodnine zaradi kršitve GDPR.
Neimenovana spletna stran je v okviru postrežbe strani vključevala tudi pisave, naložene z Googlovih strežnikov. Posledično je – v procesu prikaza spletne strani v brskalniku – brskalnik po navodilu spletišča tožene stranke zahteval pisave z Googlovega strežnika, s tem pa posredoval tudi IP naslov uporabnika Googlu.
Sodišče je pojasnilo, da tožena stranka ni mogla ravnati v smislu zakonitega interesa (člen 6(1)(f) GDPR), saj obstaja tehnična možnost, da upravljavec uporablja Google fonte na način, pri katerem se ne vzpostavi povezava z Googlovim strežnikom in se IP naslov uporabnika spletnega mesta ne posreduje Googlu.
Sodba je zanimiva tudi v tehničnem smislu. Gledano s tega vidika je namreč za nalaganje pisav z Googlovega spletišča poskrbel uporabnikov brskalnik sam, ko se je odzval na navodila strežnika tožene stranke, zaradi česar bi se lahko pojavil dvom, kdo je pravzaprav odgovoren za prevzem pisav.
Sodišče v Münchnu je na dvom odgovorilo s trditvijo, da je tožena stranka kršila pravico do informirane odločitve, ko je (sicer dinamični) IP naslov, s katerega je tožnik dostopal (preko tožnikovega brskalnika op.p.) posredovala Googlu, brez možnosti, da bi tožnik imel možnost odločanja o tem; zato je tožniku dosodilo 100 EUR odškodnine.
Obsodba – če bo obveljala tudi na pritožbenih instancah – lahko pomeni pomemben precedens glede odgovornosti upravljavcev storitev informacijske družbe v primeru posredovanja IP naslova in drugih osebnih podatkov tretjim ponudnikom storitev informacijske družbe.
Kot prvo lahko ugotovimo, da vsak ponudnik tretjega strežnika, s katerega upravljavec spletišča prevzema dodatne elemente (slike, sloge, …), obdeluje IP naslov in s tem osebne podatke uporabnika. Glede na dano odločitev sodišča lahko sklepamo, da je dovolj že teoretična določljivost posameznika iz IP naslova in časa obiska.
IP naslov pa je samo eden od določljivih osebnih podatkov, ki potuje čez ponudnike informacijske infrastrukture, kot je v danem primeru Google. Če razmišljamo širše, je še večje (in booj natančno) razkrivanje osebnih podatkov lahko povezano z uporabo storitev, kot so npr. Facebook, WhatsApp, G-Suite ali celo z uporabo običajnega brezplačnega naslova gmail.com.
Še posebej pri uporabi slednjega velja biti pozoren, saj morebitni prejemnik vašega službenega e-sporočila, ki mu ga pošiljate preko gmail.com nima skoraj nobene možnosti, da bi vplival na to, ali in na kakšen način bo njegov e-poštni naslov obdelan pri Googlu ali ne. Nič bistveno drugače ni tudi v primeru, ko svojemu WhatsApp-u dovolite, da vse podatke iz vašega imenika na telefonu posreduje svojim lastnikom, ali ko ste prisiljeni aplikaciji Samsung Health dovoliti dostop do ključnih podatkov v svojem telefonu.
Kot je pokazala odločitev sodišča v Münchnu, pa vendarle obstaja tudi možnost, da se upravljavci in uporabniki prilagodimo. V danem primeru je sodišče jasno nakazalo, da je mogoče elemente spletišča (ali v širšem kontekstu storitve informacijske družbe) zagotoviti tudi na način, ki manj posega v pravice posameznikov.
Primož Govekar
Info hiša d.o.o.
Vir: LG München
Foto: Pixabay
