Administratorul unui site internet poate avea un interes legitim de a stoca anumite date cu caracter personal ale vizitatorilor pentru a se apăra împotriva atacurilor cibernetice – Hotărâre CJUE

De Universul Juridic

27 oct. 2016

Vizualizari: 1118

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

🔑Vreau cont PREMIUM!

Hotărârea în cauza C-582/14 Patrick Breyer/Bundesrepublik Deutschland

Adresa de protocol internet dinamică a unui vizitator constituie, pentru administratorul site-ului, o dată cu caracter personal, în cazul în care acest administrator dispune de mijloace legale care îi permit să identifice vizitatorul respectiv cu ajutorul informațiilor suplimentare de care dispune furnizorul de acces la internet al vizitatorului.

Domnul Patrick Breyer se opune în fața instanțelor germane la înregistrarea și stocarea adreselor sale de protocol internet („adrese IP”)^[1] de către site-urile internet ale organismelor federale germane. Aceste organisme înregistrează și stochează, pe lângă data și ora consultării, adresele IP ale vizitatorilor pentru a preveni atacurile cibernetice și a face posibilă urmărirea penală.

Bundesgerichtshof (Curtea Federală de Justiție, Germania) a sesizat Curtea de Justiție pentru a stabili dacă în acest context adresele IP dinamice constituie de asemenea, în privința administratorului site-ului internet, o dată cu caracter personal și beneficiază, astfel, de protecția prevăzută pentru astfel de date. O adresă IP dinamică este o adresă IP care se schimbă cu ocazia fiecărei noi conectări la internet. Spre deosebire de adresele IP statice, adresele IP dinamice nu permit să se facă legătura, prin intermediul unor fișiere accesibile publicului, între un anumit calculator și conexiunea fizică la rețea utilizată de furnizorul de acces la internet. Astfel, numai furnizorul de acces la internet al domnului Breyer dispune de informațiile suplimentare necesare pentru a-l identifica.

Pe de altă parte, Bundesgerichtshof solicită să se stabilească dacă administratorul unui site internet trebuie, cel puțin în principiu, să aibă posibilitatea de a colecta și de a utiliza ulterior datele cu caracter personal ale vizitatorilor pentru a asigura funcționalitatea generală a site-ului său. Instanța menționată precizează în această privință că majoritatea doctrinei germane interpretează reglementarea germană în materie în sensul că aceste date trebuie șterse după terminarea sesiunii de consultare dacă nu sunt necesare în vederea facturării.

Prin hotărârea pronunțată, Curtea răspunde mai întâi că o adresă IP dinamică înregistrată de „un furnizor de servicii de comunicații electronice” (cu alte cuvinte, administratorului unui site internet, în speță organismele federale germane) cu ocazia consultării site-ului său internet pe care îl pune la dispoziția publicului constituie, pentru administrator, o dată cu caracter personal^[2], în cazul în care acesta dispune de mijloace legale care îi permit să identifice vizitatorul cu ajutorul informațiilor suplimentare de care dispune furnizorul de acces la internet al acestuia din urmă.

Curtea arată în această privință că se pare că există în Germania căi legale care permit furnizorului de servicii de comunicații electronice^[3] să se adreseze, în special în cazul unor atacuri cibernetice, autorității competente pentru ca aceasta să întreprindă demersurile necesare pentru a obține aceste informații de la furnizorul de acces la internet și pentru a declanșa ulterior urmărirea penală.

În al doilea rând, Curtea răspunde că dreptul Uniunii^[4] se opune unei reglementări a unui stat membru în temeiul căreia, în lipsa consimțământului vizitatorului, un furnizor de servicii de comunicații electronice poate colecta și utiliza datele cu caracter personal ale vizitatorului numai în măsura în care această colectare și această utilizare sunt necesare pentru a permite și a factura utilizarea concretă a serviciilor respective de către acest vizitator, fără ca obiectivul care vizează asigurarea funcționalității generale a acestor servicii să poată justifica utilizarea datelor după o sesiune de consultare a acestora.

Curtea amintește că, potrivit dreptului Uniunii, prelucrarea datelor cu caracter personal este legală printre altele dacă este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate.

Reglementarea germană, astfel cum este interpretată în doctrina majoritară, reduce domeniul de aplicare al acestui principiu, excluzând ca obiectivul privind asigurarea funcționalității generale a comunicațiilor electronice respective să poată face obiectul unei ponderări cu interesul sau cu drepturile și libertățile fundamentale ale vizitatorilor.

În acest context, Curtea subliniază că organismele federale germane care furnizează servicii de comunicații electronice ar putea avea un interes legitim în a asigura, dincolo de fiecare utilizare concretă a site-urilor lor internet accesibile publicului, continuitatea funcționării propriilor site-uri.

MENȚIUNE: Trimiterea preliminară permite instanțelor din statele membre ca, în cadrul unui litigiu cu care sunt sesizate, să adreseze Curții întrebări cu privire la interpretarea dreptului Uniunii sau la validitatea unui act al Uniunii. Curtea nu soluționează litigiul național. Instanța națională are obligația de a soluționa cauza conform deciziei Curții. Această decizie este obligatorie, în egală măsură, pentru celelalte instanțe naționale care sunt sesizate cu o problemă similară.

^[1] Adresele IP sunt o succesiune de cifre care se atribuie calculatoarelor conectate la internet pentru a permite comunicarea între ele prin această rețea. Atunci când este consultat un site internet, adresa IP a calculatorului care solicită accesul este comunicată serverului pe care este găzduit site-ul consultat. Această comunicare este necesară pentru ca datele consultate să poată fi transferate destinatarului corect.

^[2] În sensul Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a a cestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).

Conferința națională „Prevenirea și combaterea spălării banilor”. Impactul noii legi asupra profesiilor liberale

^[3] În ceea ce privește prezenta speță în care site-urile în discuție sunt administrate de organismele federale germane, Curtea arată că se pare că organismele federale germane acționează, în pofida statutului lor de autorități publice, în calitate de particulari.

^[4] Mai precis Directiva 95/46.

Administratorul unui site internet poate avea un interes legitim de a stoca anumite date cu caracter personal ale vizitatorilor pentru a se apăra împotriva atacurilor cibernetice – Hotărâre CJUE was last modified: octombrie 20th, 2016 by Universul Juridic