Skąd taki wyrok TSUE?
Identyfikacja osoby fizycznej odbywała się w tej sprawie na podstawie informacji, które posiada dostawca usług internetowych (dostępu do internetu – ISP), nie zaś sam urząd niemiecki prowadzący serwis internetowy (dostawca usług medialnych online), czyli identyfikacja osoby fizycznej następowała pośrednio.
Na jakiej podstawie?
Interesujące w sprawie Breyer przeciwko Niemcom jest wskazanie podstawy przetwarzania danych osobowych przez organ publiczny. TSUE stwierdza, że prawo niemieckie nie pozwala ISP przekazywać bezpośrednio dostawcy usług medialnych online dodatkowych informacji koniecznych do identyfikacji osoby, której dane dotyczą, o ile nie istnieją ku temu wyraźne podstawy w tym prawie. TSUE nie zajmował się tym zagadnieniem, ograniczając się do przypuszczenia, że "istnieją [w prawie niemieckim] środki prawne umożliwiające dostawcy usług medialnych online zwrócenie się do właściwego organu, aby podjął on konieczne działania w celu uzyskania tych informacji od dostawcy dostępu do Internetu oraz w celu wszczęcia ścigania karnego."
Czy były już podobne wyroki?
Sprawa Breyer nie była pierwszą, w której TSUE rozpatrywał dopuszczalność uznania adresu IP za dane osobowe. Wcześniejszą sprawą z tego obszaru był spór Scarlet Extended SA przeciwko Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM). Trybunał uznał, że przepisy prawa unijnego stoją na przeszkodzie skierowanemu do dostawcy dostępu do Internetu nakazowi wdrożenia systemu filtrowania wszystkich połączeń elektronicznych przekazywanych za pośrednictwem jego usług, w szczególności przy zastosowaniu programów „peer to peer”; mającego zastosowanie bez rozróżnienia w stosunku do wszystkich jego klientów; w celach zapobiegawczych; na wyłączny koszt ISP bez ograniczeń w czasie, zdolnego do zidentyfikowania w sieci tego dostawcy przypadków przekazywania plików elektronicznych zawierających utwory muzyczne, kinematograficzne lub audiowizualne, co do których strona powodowa rości sobie prawa własności intelektualnej, celem zablokowania transferu plików, których wymiana narusza prawo autorskie. Nakaz nakładający na danego dostawcę obowiązek wdrożenia sytemu filtrowania wymagałby od niego prowadzenia aktywnego nadzoru nad wszystkimi danymi każdego z jego klientów celem zapobieżenia wszelkim przyszłym naruszeniom praw własności intelektualnej. Wyrok w sprawie Scarlet Extended poruszał wiele istotnych kwestii z obszaru własności intelektualnej oraz swobody prowadzenia działalności gospodarczej, jednak był istotny z punktu widzenia ochrony danych osobowych i wolności jednostki.
Czy gromadzenie adresów IP pozwala na identyfikację użytkowników?
System filtrowania przede wszystkim może naruszać prawa podstawowe klientów dostawców usług poddanych ewentualnemu obowiązkowi filtrowania, a mianowicie ich prawo do ochrony danych osobowych oraz wolność otrzymywania i przekazywania informacji, chronione przez art. 8 i 11 Karty praw podstawowych Unii Europejskiej. Gromadzenie i identyfikacja adresów IP użytkowników, od których pochodzą przesłane w sieci treści, stanowiłoby jedną z koniecznych czynności dla prowadzenia nadzoru. Biorąc pod uwagę, że dostawcy usług mogliby za pomocą posiadanych przez siebie danych zidentyfikować konkretnego użytkownika korzystającego zdanego adresu IP. W konsekwencji adresy IP pozwalają na precyzyjną identyfikację użytkowników.
W kontekście powyższych wyroków, adres IP może stanowić w niektórych sytuacjach dane osobowe, o ile uda się powiązać adres IP z innymi danymi, które łącznie z adresem IP identyfikują osobę fizyczną, jednak powinno to odbywać się bez stosowania nadmiernych środków albo środków niedozwolonych przez prawo.