internet

CJUE: adresa unui IP dinamic poate constitui date cu caracter personal

24 minute • Andreea Lipo • 02 ianuarie 2017


1.

Numărul cauzei
  (C-582/14)
2. Părțile
  Patrick Breyer Federal contra Republicii Democrate Germania
3. Cuvinte-cheie
  internet, date cu caracter personal, Adrese de protocol, Stocare de către un furnizor de servicii de comunicații electronice
4. Cadrul juridic UE
  Articolul 2 lit. a) din Directiva 95/46/CE (Directiva privind protecția datelor)
În sensul prezentei directive: „date cu caracter personal” înseamnă orice informație cu referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale;
Articolul 7 lit. f) din Directiva 95/46/CE (Directiva privind protecția datelor)
Statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă: (…) prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecție în temeiul articolului 1 alineatul (1) din Directiva  95/46/EC ( Directiva privind protecția datelor)
5. Cadrul juridic național
  Dreptul german
Articolul 12 din Telemediengesetz (Legea privind comunicațiile electronice) din 26 februarie 2007 (BGBl. 2007 I, p. 179, denumită în continuare „TMG”) prevede:
„(1)      Furnizorul de servicii poate colecta și utiliza datele cu caracter personal pentru punerea la dispoziție a comunicațiilor electronice numai în măsura în care prezenta lege sau o altă dispoziție legală care privește în mod expres comunicațiile electronice îl autorizează sau dacă există consimțământul utilizatorului în acest sens.
(2)      Furnizorul de servicii poate utiliza în alte scopuri datele cu caracter personal colectate pentru punerea la dispoziție a comunicațiilor electronice numai în măsura în care prezenta lege sau o altă dispoziție legală care privește în mod expres comunicațiile electronice îl autorizează sau dacă există consimțământul utilizatorului în acest sens.
(3)      În lipsa unor dispoziții contrare, legislația în vigoare în materia protecției datelor cu caracter personal se aplică chiar dacă datele nu sunt prelucrate în mod automat.”
Articolul 15 din TMG prevede:
„(1)      Furnizorul de servicii poate colecta și utiliza datele cu caracter personal ale unui utilizator numai în măsura în care este necesar pentru a permite și a factura utilizarea serviciilor de comunicații electronice (datele de utilizare). Datele de utilizare sunt în special:
1.  elementele de identificare a utilizatorului;
2. informațiile privind începutul și sfârșitul fiecărei utilizări, precum și întinderea acesteia și
3. informațiile privind mijloacele de comunicații electronice folosite de utilizator.
(2)   Furnizorul de servicii poate grupa datele de utilizare ale unui utilizator referitoare la folosirea diferitor servicii de telecomunicații în măsura în care este necesar pentru emiterea de facturi către acest utilizator.
[…]
(4) Furnizorul de sericii poate utiliza datele de utilizare după terminarea sesiunii, în măsura în care este necesar pentru facturarea serviciului către utilizator (datele pentru facturare). Pentru a respecta termenele de stocare legale, statutare sau contractuale, furnizorul de servicii poate bloca datele.
[…]”
12      Potrivit articolului 3 alineatul 1 din Bundesdatenschutzgesetz (Legea federală privind protecția datelor) din 20 decembrie 1990 (BGBl. 1990 I, p. 2954) „datele cu caracter personal sunt informațiile privind situația personală sau materială referitoare la o persoană fizică identificată sau identificabilă (persoana vizată) […]”.
6. Situația de fapt
         Domnul Breyer a consultat mai multe site‑uri internet ale organismelor federale germane. Pe aceste situri, accesibile publicului, organismele respective furnizează informații actualizate.
Pentru a preveni atacurile și a face posibilă urmărirea penală a „piraților”, majoritatea acestor site‑uri înregistrează toate consultările în fișiere‑jurnal. În cuprinsul acestora sunt stocate, la terminarea sesiunii de consultare a site‑urilor menționate, numele site‑ului sau al fișierului consultat, termenii introduși în câmpurile de căutare, data și ora la care a avut loc consultarea, volumul datelor transferate, constatarea consultării cu succes și adresa IP a calculatorului de pe care s‑a efectuat consultarea.
Adresele IP sunt o succesiune de cifre care se atribuie calculatoarelor conectate la internet pentru a permite comunicarea între ele prin această rețea. Atunci când este consultat un site internet, adresa IP a calculatorului care solicită accesul este comunicată serverului pe care este găzduit site‑ul consultat. Această comunicare este necesară pentru ca datele consultate să poată fi transferate destinatarului corect.
Pe de altă parte, reiese din decizia de trimitere și din dosarul de care dispune Curtea că furnizorii de acces la internet atribuie calculatoarelor utilizatorilor internetului fie o adresă IP „statică”, fie o adresă IP „dinamică”, și anume o adresă IP care se schimbă cu ocazia fiecărei noi conectări la internet. Spre deosebire de adresele IP statice, adresele IP dinamice nu ar permite să se facă legătura, prin intermediul unor fișiere accesibile publicului, între un anumit calculator și conexiunea fizică la rețea utilizată de furnizorul de acces la internet.
Domnul Breyer a introdus la instanțele administrative germane o acțiune având ca obiect obligarea Republicii Federale Germania să înceteze să stocheze sau să permită stocarea de către terţi, la terminarea fiecărei sesiuni de consultare a site‑urilor de comunicaţii electronice accesibile publicului care aparțin organismelor federale germane, a adresei IP a sistemului‑gazdă de pe care a solicitat accesul domnul Breyer, în măsura în care această stocare nu este necesară în caz de defecțiune pentru restabilirea difuzării comunicaţiilor electronice respective.
Întrucât acțiunea formulată de domnul Breyer a fost respinsă în prima instanță, acesta a declarat apel împotriva deciziei de respingere. Instanța de apel a reformat în parte decizia menţionată. Aceasta a obligat Republica Federală Germania să înceteze stocarea sau permiterea stocării de către terți, la terminarea fiecărei consultări, a adresei IP a sistemului‑gazdă de pe care solicita accesul domnul Breyer, transmisă în cadrul consultării de către acesta a site‑urilor de comunicaţii electronice accesibile publicului care aparțin organismelor federale germane, în cazul în care această adresă este stocată împreună cu data sesiunii de consultare la care se raportează și în cazul în care domnul Breyer și‑a divulgat identitatea în timpul sesiunii respective, inclusiv sub forma unei adrese electronice care îi precizează identitatea, în măsura în care această stocare nu este necesară în caz de defecțiune pentru restabilirea difuzării comunicaţiilor electronice.
Potrivit acestei instanțe de apel, o adresă IP dinamică, coroborată cu data sesiunii de consultare la care se raportează, constituie, atunci când utilizatorul site‑ului internet vizat și‑a divulgat identitatea în timpul acestei sesiuni, o dată cu caracter personal, întrucât operatorul site‑ului respectiv poate identifica utilizatorul prin combinarea numelui acestuia cu adresa IP a calculatorului său.
Instanța de apel menționată a considerat totuși că acțiunea formulată de domnul Breyer nu putea fi admisă în alte ipoteze. Astfel, în ipoteza în care domnul Breyer nu își precizează identitatea în timpul unei sesiuni de consultare, numai furnizorul de acces la internet ar putea să facă legătura dintre adresa IP și un abonat identificat. În schimb, atunci când este deținută de Republica Federală Germania, în calitatea sa de furnizor de servicii de comunicații electronice, adresa IP nu ar constitui o dată cu caracter personal, chiar coroborată cu data sesiunii de consultare la care se raportează, întrucât utilizatorul site‑urilor de internet vizate nu ar fi identificabil de către acest stat membru.
Domnul Breyer și Republica Federală Germania au declarat fiecare recurs la Bundesgerichtshof (Curtea Federală de Justiție, Germania) împotriva deciziei instanței de apel. Domnul Breyer solicită admiterea în totalitate a cererii sale de instituire a unei interdicții. Republica Federală Germania solicită respingerea acestei cereri.
Instanța de trimitere precizează că adresele IP dinamice ale calculatorului domnului Breyer, stocate de Republica Federală Germania în calitate de furnizor de servicii de comunicații electronice, constituie, cel puțin în contextul altor date stocate în fișierele‑jurnal, date speciale privind condițiile materiale ale domnului Breyer, întrucât ele furnizează informații referitoare la consultarea de către acesta a anumitor site‑uri sau a anumitor fișiere pe internet la anumite date.
Totuși, datele astfel stocate nu ar permite să se stabilească în mod direct identitatea domnului Breyer. Astfel, operatorii site‑urilor internet în discuție în litigiul principal ar putea să îl identifice pe domnul Breyer numai dacă furnizorul său de acces la internet le‑ar transmite informații privind identitatea acestui utilizator. Calificarea acestor date drept „personale” ar depinde, în consecință, de aspectul dacă domnul Breyer ar fi identificabil.
Bundesgerichtshof (Curtea Federală de Justiție) menționează controversa din doctrină referitoare la aspectul dacă, pentru a stabili dacă o persoană este identificabilă, trebuie să fie utilizat un criteriu „obiectiv” sau un criteriu „relativ”. Aplicarea unui criteriu „obiectiv” ar avea drept consecință faptul că date precum adresele IP în discuție în litigiul principal ar putea fi considerate, la terminarea sesiunii de consultare a site‑urilor internet vizate, ca având un caracter personal chiar dacă numai un terț este în măsură să determine identitatea persoanei vizate, acest terț fiind, în speță, furnizorul de acces la internet al domnului Breyer care a stocat date suplimentare care permit identificarea sa prin intermediul adreselor IP menționate. Potrivit unui criteriu „relativ”, s‑ar putea considera că astfel de date au un caracter personal pentru un organism, precum furnizorul de acces la internet al domnului Breyer, întrucât acestea permit identificarea precisă a utilizatorului (a se vedea în această privință Hotărârea din 24 noiembrie 2011, Scarlet Extended, C‑70, EU:C:2011:771, punctul 51), dar că nu au un astfel de caracter pentru un alt organism, precum operatorul site‑urilor de internet consultate de domnul Breyer, întrucât acest operator nu ar dispune, în ipoteza în care domnul Breyer nu și‑a divulgat identitatea în cursul sesiunilor de consultare a acestor site‑uri, de informațiile necesare pentru identificarea sa fără un efort disproporționat.
În ipoteza în care ar trebui să se considere că adresele IP dinamice ale calculatorului domnului Breyer, coroborate cu data sesiunii la care acestea se raportează, constituie date cu caracter personal, instanța de trimitere solicită să se stabilească dacă stocarea acestor adrese IP la terminarea acestei sesiuni este autorizată în temeiul articolului 7 litera (f) din aceeași directivă.
În această privință, Bundesgerichtshof (Curtea Federală de Justiție) precizează, pe de o parte, că, în temeiul articolului 15 alineatul 1 din TMG, furnizorii de servicii de comunicații electronice pot colecta și utiliza datele cu caracter personal ale unui utilizator numai în măsura în care este necesar pentru a permite și a factura utilizarea acestor comunicații. Pe de altă parte, instanța de trimitere precizează că, potrivit Republicii Federale Germania, stocarea datelor menționate este necesară pentru a garanta securitatea și continuitatea bunei funcționări a site‑urilor serviciilor de comunicații electronice pe care le pune la dispoziţia publicului, permițând în special recunoașterea atacurilor informatice denumite „Denial‑of‑Service”, care urmăresc paralizarea funcționării acestor site‑uri prin asaltarea țintită și coordonată a anumitor servere de internet cu un număr mare de cereri, și combaterea acestor atacuri.
Potrivit instanței de trimitere, dacă și în măsura în care este necesar ca furnizorul de servicii de comunicații electronice să ia măsuri pentru a combate astfel de atacuri, aceste măsuri ar putea fi considerare necesare pentru „a permite […] utilizarea mijloacelor de comunicații electronice” în temeiul articolului 15 din TMG. Cu toate acestea, în doctrină, opinia majoritară ar susține punctul de vedere că, pe de o parte, colectarea și utilizarea datelor cu caracter personal ale unui utilizator de internet sunt autorizate numai pentru a permite o utilizare concretă a acestui site și, pe de altă parte, că aceste date trebuie șterse după terminarea sesiunii de consultare respective dacă nu sunt necesare în vederea facturării. Or, o astfel de interpretare restrictivă a articolului 15 alineatul 1 din TMG s‑ar opune ca stocarea adreselor IP să fie autorizată pentru a garanta, în general, securitatea și continuitatea bunei funcționări a comunicațiilor electronice.
Instanța de trimitere solicită să se stabilească dacă această din urmă interpretare, care este interpretarea preconizată de instanța de apel, este în conformitate cu articolul 7 litera (f) din Directiva 95/46, având în vedere în special criteriile stabilite de Curte la punctul 29 și următoarele din Hotărârea din 24 noiembrie 2011, ASNEF și FECEMD (C‑468/10 și C‑469/10, EU:C:2011:777).
7. Întrebarea preliminară adresată
  „1)      Articolul 2 litera (a) din Directiva 95/46 trebuie interpretat în sensul că o adresă IP care este înregistrată de un furnizor de servicii [de comunicații electronice] cu ocazia accesului la site‑ul său internet constituie pentru acesta o dată cu caracter personal, în cazul în care un terț (în speță, furnizorul de acces) dispune de informațiile suplimentare necesare pentru identificarea persoanei vizate?
2)      Articolul 7 litera (f) din [această directivă] se opune unei dispoziții de drept național potrivit căreia furnizorul de servicii [de comunicații electronice] poate colecta și utiliza datele personale ale unui utilizator fără consimțământul acestuia numai în măsura în care este necesar pentru a permite și a factura utilizarea efectivă a serviciului de comunicații electronice de către respectivul utilizator și potrivit căreia scopul asigurării unei funcționalități generale a serviciului respectiv nu poate justifica utilizarea datelor după terminarea sesiunii în curs?”
8. Reținerile Curții
  Cu privire la prima întrebare
Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 2 litera (a) din Directiva 95/46 trebuie interpretat în sensul că o adresă IP dinamică înregistrată de un furnizor de servicii de comunicații electronice cu ocazia consultării de către o persoană a unui site internet pe care acest furnizor îl pune la dispoziția publicului constituie, pentru furnizorul respectiv, o dată cu caracter personal în sensul acestei dispoziții, în cazul în care un terț, în speță furnizorul de acces la internet al respectivei persoane, dispune de informațiile suplimentare necesare pentru identificarea acesteia.
Potrivit dispoziției menționate, „date cu caracter personal” înseamnă „orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată)”. În temeiul acestei dispoziții, o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale.
Cu titlu introductiv, trebuie să se arate că, la punctul 51 din Hotărârea din 24 noiembrie 2011, Scarlet Extended (C‑70/10, EU:C:2011:771), care privea printre altele interpretarea aceleiași directive, Curtea a considerat în esență că adresele IP ale utilizatorilor de internet reprezintă date protejate cu caracter personal, deoarece permit identificarea precisă a acestor utilizatori.
Totuși, această afirmație a Curții se referea la ipoteza în care colectarea și identificarea adreselor IP ale utilizatorilor de internet ar fi efectuate de furnizorii de acces la internet.
Or, în speță, prima întrebare privește ipoteza în care furnizorul de servicii de comunicații electronice, și anume Republica Federală Germania, este cel care înregistrează adresele IP ale utilizatorilor unui site internet pe care acest furnizor de servicii îl pune la dispoziția publicului, fără a dispune de informațiile suplimentare necesare pentru a identifica utilizatorii respectivi.
În plus, este cert că adresele IP la care face referire instanța de trimitere sunt adrese IP „dinamice”, și anume adresele provizorii care sunt atribuite fiecărei conectări la internet și sunt înlocuite la conectările ulterioare, iar nu adrese IP „statice”, care sunt invariabile și permit identificarea permanentă a dispozitivului conectat la rețea.
Prima întrebare adresată de instanța de trimitere este întemeiată astfel pe premisa potrivit căreia, pe de o parte, datele care constau într‑o adresă IP dinamică, precum și în data și ora sesiunii de consultare a unui site internet pornind de la această adresă IP, înregistrate de un furnizor de servicii de comunicații electronice, nu oferă, singure, acestui furnizor posibilitatea de a identifica utilizatorul care a consultat site‑ul internet respectiv în cursul acestei sesiuni și, pe de altă parte, furnizorul de acces la internet dispune, la rândul său, de informații suplimentare care, dacă ar fi coroborate cu această adresă IP, ar permite identificarea utilizatorului menţionat.
       În această privință, trebuie să se arate mai întâi că este cert că o adresă IP dinamică nu constituie o informație care se raportează la o „persoană fizică identificată”, în măsura în care o astfel de adresă nu divulgă în mod direct identitatea persoanei fizice proprietare a calculatorului de la care a avut loc consultarea unui site internet și nici pe aceea a unei alte persoane care ar putea utiliza acest calculator.
În continuare, pentru a stabili dacă o adresă IP dinamică constituie, în ipoteza prezentată la punctul 37 din prezenta hotărâre, o dată cu caracter personal în sensul articolului 2 litera (a) din Directiva 96/45 pentru un furnizor de servicii de comunicații electronice, trebuie să se verifice dacă o asemenea adresă IP înregistrată de un astfel de furnizor poate fi calificată drept informație care se raportează la o „persoană fizică identificabilă”, atunci când informațiile suplimentare necesare pentru a identifica utilizatorul unui site internet pe care acest furnizor de servicii îl pune la dispoziția publicului sunt deținute de furnizorul de acces la internet al utilizatorului respectiv.
În această privință, rezultă din modul de redactare a articolului 2 litera (a) din Directiva 95/46 că o persoană identificabilă este o persoană care poate fi identificată nu doar direct, ci și indirect.
Utilizarea de către legiuitorul Uniunii a termenului „indirect” urmărește să indice că, pentru a califica o informație drept dată cu caracter personal, nu este necesar ca această informație să permită, singură, identificarea persoanei vizate.
În plus, considerentul (26) al Directivei 95/46 precizează că, pentru a determina dacă o persoană este identificabilă, este oportun să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de operator, fie de orice altă persoană pentru a identifica persoana vizată.
În măsura în care acest considerent face referire la mijloace care pot fi utilizate în mod rezonabil atât de operator, cât și de o „altă persoană”, modul de redactare a acestuia sugerează că, pentru ca o dată să poată fi calificată drept „dată cu caracter personal” în sensul articolului 2 litera (a) din directiva menționată, nu este necesar ca toate informațiile care permit identificarea persoanei vizate să se afle în posesia unei singure persoane.
Faptul că informațiile suplimentare necesare pentru a identifica utilizatorul unui site internet sunt deținute nu de furnizorul de servicii de comunicații electronice, ci de furnizorul de acces la internet al acestui utilizator, nu pare astfel de natură să excludă că adresele IP dinamice înregistrate de furnizorul de servicii de comunicații electronice constituie, pentru acesta, date cu caracter personal în sensul articolului 2 litera (a) din Directiva 95/46.
Trebuie totuși să se stabilească dacă posibilitatea de a corobora o adresă IP dinamică cu informațiile suplimentare menționate deținute de acest furnizor de acces la internet constituie un mijloc care poate fi utilizat în mod rezonabil pentru a identifica persoana vizată.
Astfel cum a arătat în esență avocatul general la punctul 68 din concluzii, situația nu s‑ar prezenta astfel dacă identificarea persoanei vizate ar fi interzisă prin lege sau nerealizabilă în practică, de exemplu ca urmare a faptului că ar implica un efort disproporționat în termeni de timp, de costuri și de forţă de muncă, astfel încât riscul unei identificări ar părea în realitate nesemnificativ.
Or, deși instanța de trimitere precizează în decizia sa de trimitere că dreptul german nu permite furnizorului de acces la internet să transmită în mod direct furnizorului de servicii de comunicații electronice informațiile suplimentare necesare pentru identificarea persoanei vizate, se pare totuși, sub rezerva verificărilor care trebuie efectuate în această privință de instanța menționată, că există căi legale care permit furnizorului de servicii de comunicații electronice să se adreseze, în special în cazul unor atacuri cibernetice, autorității competente pentru ca aceasta să întreprindă demersurile necesare pentru a obține aceste informații de la furnizorul de acces la internet și pentru a declanșa urmărirea penală.
Se pare astfel că furnizorul de servicii de comunicații electronice dispune de mijloace care pot fi utilizate în mod rațional pentru a identifica, cu ajutorul altor persoane, în speță autoritatea competentă și furnizorul de acces la internet, persoana vizată pe baza adreselor IP stocate.
 
 Cu privire la a doua întrebare
 
Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 7 litera (f) din Directiva 95/46 trebuie interpretat în sensul că se opune unei reglementări a unui stat membru în temeiul căreia un furnizor de servicii de comunicații electronice poate colecta și utiliza datele cu caracter personal aferente unui utilizator al acestor servicii, în lipsa consimțământului acestuia, numai în măsura în care această colectare și această utilizare sunt necesare pentru a permite și a factura utilizarea concretă a serviciilor menționate de către acest utilizator, fără ca obiectivul care vizează asigurarea funcționalității generale a acelorași servicii să poată justifica utilizarea datelor respective după o sesiune de consultare a acestora.
Înainte de a răspunde la această întrebare, este necesar să se stabilească dacă prelucrarea datelor cu caracter personal în discuție în litigiul principal, și anume adresele IP dinamice ale utilizatorilor anumitor site‑uri internet ale organismelor federale germane, nu este exclusă din domeniul de aplicare al Directivei 95/46 în conformitate cu articolul 3 alineatul (2) prima liniuță din aceasta, în temeiul căruia directiva menționată nu se aplică prelucrării datelor cu caracter personal care au ca obiect printre altele activitățile statului în domeniul dreptului penal.
Or, în cauza principală, sub rezerva verificărilor care trebuie efectuate în această privință de instanța de trimitere, se pare că organismele federale germane, care furnizează servicii de comunicații electronice și care sunt responsabile de prelucrarea adreselor IP dinamice, acționează, în pofida statutului lor de autorități publice, în calitate de particulari și în afara cadrului activităților statului în domeniul dreptului penal.
Trebuie amintit că reglementarea națională în discuție în litigiul principal, astfel cum este interpretată în sensul restrictiv precizat de instanța de trimitere, autorizează colectarea și utilizarea datelor cu caracter personal aferente unui utilizator al serviciilor menționate, în lipsa consimțământului acestuia, numai în măsura în care acest lucru este necesar pentru a permite și a factura utilizarea concretă a comunicațiilor electronice de către utilizatorul în discuție, fără ca obiectivul care vizează garantarea funcționalității generale a comunicațiilor electronice să poată justifica utilizarea datelor menționate după o sesiune de consultare a acestor comunicații.
În conformitate cu articolul 7 litera (f) din Directiva 95/46, prelucrarea datelor cu caracter personal este legală dacă „este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecție în temeiul articolului 1 alineatul (1)” din această directivă.
Trebuie amintit că Curtea a statuat că articolul 7 din directiva menționată prevede o listă exhaustivă și limitativă de cazuri în care o prelucrare de date cu caracter personal poate fi considerată ca fiind legală și că statele membre nu pot nici să adauge principii noi privind legitimarea prelucrărilor de date cu caracter personal la articolul respectiv, nici să prevadă cerințe suplimentare care să modifice conținutul unuia dintre cele șase principii prevăzute la acest articol.
Deși articolul 5 din Directiva 95/46 autorizează în mod cert statele membre să precizeze, în limitele capitolului II din această directivă și, prin urmare, ale articolului 7 din aceasta, condițiile în care operațiunile de prelucrare a datelor cu caracter personal sunt legale, marja de apreciere de care dispun statele membre în temeiul articolului 5 menționat poate fi utilizată numai în conformitate cu obiectivul urmărit de directiva respectivă, care constă în menținerea unui echilibru între libera circulație a datelor cu caracter personal și protejarea vieții private. În temeiul articolului 5 din aceeași directivă, statele membre nu pot nici să introducă alte principii referitoare la legitimarea operațiunilor de prelucrare a datelor cu caracter personal decât cele prevăzute la articolul 7 din aceasta, nici să modifice, prin cerințe suplimentare, conținutul celor șase principii prevăzute la articolul 7 menționat.
În această privință, trebuie amintit de asemenea că articolul 7 litera (f) din directiva menționată se opune ca un stat membru să excludă în mod categoric și generalizat posibilitatea ca anumite categorii de date cu caracter personal să fie prelucrate, fără a permite o ponderare a drepturilor și a intereselor opuse în cauză într‑un anumit caz. Un stat membru nu poate astfel să stabilească, pentru aceste categorii, în mod definitiv, rezultatul ponderării drepturilor și intereselor opuse fără a permite un rezultat diferit în funcție de împrejurările speciale ale unui caz concret.
Or, o reglementare precum cea în discuție în litigiul principal reduce, în ceea ce privește prelucrarea datelor cu caracter personal ale utilizatorilor site‑urilor de comunicații electronice, domeniul de aplicare al principiului prevăzut la articolul 7 litera (f) din Directiva 95/46, excluzând ca obiectivul privind asigurarea funcționalității generale a comunicațiilor electronice respective să poată face obiectul unei ponderări cu interesul sau cu drepturile și libertățile fundamentale ale acestor utilizatori care necesită, în conformitate cu această dispoziție, o protecție în temeiul articolului 1 alineatul (1) din această directivă.
9. Decizia Curții
  Pentru aceste motive, Curtea (Camera a doua) declară:
1)      Articolul 2 litera (a) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date trebuie interpretat în sensul că o adresă de protocol internet dinamică înregistrată de un furnizor de servicii de comunicații electronice cu ocazia consultării de către o persoană a unui site internet pe care acest furnizor îl pune la dispoziția publicului constituie, pentru furnizorul respectiv, o dată cu caracter personal în sensul acestei dispoziții, în cazul în care acesta dispune de mijloace legale care îi permit să identifice persoana vizată cu ajutorul informațiilor suplimentare de care dispune furnizorul de acces la internet al acestei persoane.
2)      Articolul 7 litera (f) din Directiva 95/46 trebuie interpretat în sensul că se opune unei reglementări a unui stat membru în temeiul căreia un furnizor de servicii de comunicații electronice poate colecta și utiliza datele cu caracter personal aferente unui utilizator al acestor servicii, în lipsa consimțământului acestuia, numai în măsura în care această colectare și această utilizare sunt necesare pentru a permite și a factura utilizarea concretă a serviciilor respective de către acest utilizator, fără ca obiectivul care vizează asigurarea funcționalității generale a acelorași servicii să poată justifica utilizarea datelor menţionate după o sesiune de consultare a acestora.
10. Link
 

CURIA

Lasă un răspuns

Adresa ta de email nu va fi publicată.