U oblasti prava zaštite podataka o ličnosti definisanje podatka o ličnosti već predstavlja izazov. Uopšteno, pojam podatka o ličnosti obuhvata svaku infromaciju kojom se identifikuje ili na osnovu koje se može identifikovati određeno lice. Međutim, šta sve spada u informaciju „na osnovu koje se može identifikovati određeno lice” nije uvek potpuno jasno.
Pre donošenja Opšte uredbe EU o zaštiti podataka o ličnosti (General data protection regulation, odnosno GDPR), a tokom važenja Direktive EU iz ove oblasti, nedoumica je postojala i u vezi sa IP adresama. Debata oko IP adresa u oblasti zašite podataka o ličnosti je uključivala pitanje da li je IP adresa uopšte podatak o ličnosti i ukoliko jeste, da li postoji razlika između dinamičke i statičke IP adrese.
Da bismo razjasnili kako je došlo do toga da se IP adresa smatra podatkom o ličnosti, osvrnućemo se na ulogu Evropskog suda pravde prilikom rešavanja ove dileme. Na kraju, osvrnućmo se na mesto koje IP adresa sada zauzima u oblasti zaštite podataka o ličnosti u EU i u zakonodavstvu Srbije.
Šta je zapravo IP adresa?
IP adresa je jedinstvena brojna oznaka uređaja na internetu. Svaki uređaj se identifikuje putem IP adrese i to mu omogućava pristup internetu (primer IP adrese: 51.254.100.34). IP adresa može biti statička i dinamička. Dinamička IP adresa je promenjiva kategorija, što znači da kad god se restartuje konekcija rutera na internet, IP adresa uzima drugu vrednost.
Po pravilu internet provajder dodeljuje korisniku dinamičku IP adresu, ukoliko korisnik ne zahteva drugačije. Ona je dovoljna za uobičajeno pretraživanje na internetu. Ipak, u slučaju da su zahtevi korisnika nešto veći i ukoliko je potreban stalan pristup određenim resursima putem interneta (npr. želimo da uvedemo video nadzor preko interneta), korisnik će izabrati statičku IP adresu i snositi neke dodatne troškove. Ipak, time se postiže da statička IP adresa zauvek postaje naša adresa na internetu. Svim uređajima u okviru naše lokalne mreže možemo onda da internetu pristupimo preko te statičke IP adrese.
Kako je IP adresa postala podatak o ličnosti?
Put kojim je IP adresa uvrštena u podatak o ličnosti nije bio kratak i jednostavan. Bilo je potrebno nekoliko ključnih sudskih odluka da bi IP adresa bila određena kao podatak o ličnosti u GDPR.
I korak: presuda u predmetu Scarlet Extended (Belgacom Group) v Sabam
Opis slučaja
Belgijsko udruženje autora, kompozitora i izdavača (SABAM) je zatražilo od suda da obaveže Scarlet, kao internet provajdera, da instalira sistem filtriranja koji bi pratio i sprečio preuzimanje i razmenu dela koja su zaštićena autorskim pravom. Belgijski sud je presudio u korist SABAMA i naredio Scarletu da to učini. Međutim, Scarlet je na ovakvu odluku prvostepenog suda uložio žalbu Apelacionom sudu u Briselu. U tom kontekstu, Apelacioni sud je uputio Evropskom sudu pravde pitanje o tome da li zakonodavstvo EU dozvoljava nacionalnim sudovima da nalože instaliranje sistema za filtriranje i blokiranje elektronskih komunikacija. Konačno, Evropski sud pravde je zauzeo stav da naredba upućena internet provajderu da upravlja opštim sistemom za filtriranje i blokiranje elektronskih komunikacija nije u skladu sa zakonodavstvom Evropske unije. Sud u Luksemburgu je utvrdio da bi sistem filtriranja, takođe, mogao biti u suprotnosti sa osnovnim pravima Scarletovih korisnika, odnosno njihovim pravom na zaštitu podataka o ličnosti i pravom da razmenjuju (primaju i prenose) informacije.
Kakav je stav zauzeo Evropski sud pravde po pitanju IP adresa kao podatka o ličnosti?
Evropski sud pravde je zauzeo stav da su IP adrese koje prikupi internet provajder podaci o ličnosti. Naime, Evropski sud pravde je smatrao da bi „naredba koja zahteva instalaciju spornog sistema filtriranja uključivala i sistematsku analizu svih sadržaja kao i prikupljanje i identifikaciju IP adresa korisnika sa kojih se šalje nezakoniti sadržaj na mreži. IP adrese su zaštićeni podaci jer omogućavaju preciznu identifikaciju korisnika”. Pri tome Sud nije dao bliže i preciznije obrazloženje IP adrese kao podatka o ličnosti, tačnije nije definisao da li se IP adresa uvek smatra podatkom o ličnosti, kao i to da li se pravi razlika između dinamičke i statičke IP adrese u ovom smislu.
Kako je ovom presudom samo donekle zauzet stav u vezi sa problematikom IP adrese kao podatka o ličnosti, tek sa dugo očekivanom presudom Patrick Breyer vs Bundesrepublik, Evropski sud pravde je dao odgovor na pitanja za koja nije postojao jedinstven stav i sudska praksa.
II korak: presuda u predmetu Patrick Breyer vs Bundesrepublik Deutschland
U presudi Evropskog suda pravde u slučaju Patrick Breyer vs Bundesrepublik Deutschland iz oktobra 2016. razmatrano je pitanje dinamičke IP adrese kao podataka o ličnosti. Važnost ove presude ogleda se u konkretnom definisanju toga šta se tačno podrazumeva pod podatkom o ličnosti, kako se taj podatak može upotrebiti i kada je on zloupotrebljen, a sve u skladu sa tada važećom Direktivom EU o zaštiti podataka o ličnosti.
Opis slučaja
Slučaj Patrick Breyer vs Bundesrepublik Deutschland uključuje web sajtove kojima upravlja Savezna Republika Nemačka (“BRD”) koja, kao i većina operatera web sajtova, beleži IP adrese posetilaca svojih sajtova. Patrick Breier je pokrenuo sudski postupak protiv Savezne Republike Nemačke smatrajući da je nemačka vlada prikupljala i koristila IP adrese posetioca web sajtova kojima ona upravlja i time obrađivala podatke o ličnosti posetilaca bez njihovog odobrenja. On je, tražio da sud odredi zabranu prema Saveznoj Republici Nemačkoj kao web operateru, uz potrebu da za takvu aktivnost prethodno mora pribaviti odobrenje. Vlada je ovu praksu opravdala razlozima sigurnosti, spečavanja sajber napada i mogućnosti krivičnog gonjenja vršioca ovakvih dela.
Nemački savezni sud pravde je obustavio postupak i prosledio predmet pred Sudsko veće suda pravde EU tražeći odgovore na sledeća dva pitanja:
1. da li je dinamička IP adresa podatak ličnosti u smislu Direktive EU o zaštiti podataka o ličnosti, i
2. da li je nemački Zakon o telemediji bio u suprotnosti sa Direktivom EU o zaštiti podataka o ličnosti jer nije dozvolio web operateru da opravda svoje legitimne interese u obradi podataka o ličnosti (u ovom slučaju nemačkoj vladi da opravda svoje legitimne interese u vidu zaštite od sajber napada na sajtove kojima upravlja).
Konkretno, nemački sud je zatražio od Evropskog suda pravde da zauzme stav o tome da li dinamička IP adresa koju sakuplja web operater može predstavljati podake o ličnosti, ako internet provajder kao treće lice ima dodatne informacije koje bi identifikovale pojedinca.
Kakav stav je zauzeo sud?
Sud je presudio da dinamičke IP adrese mogu predstavljati podatak o ličnosti čak i kada samo treća strana (u ovom slučaju internet provajder) ima dodatne podatke potrebne za identifikaciju pojedinca – ali samo pod određenim okolnostima. Sud je istakao da mogućnost kombinovanja podataka sa ovim dodatnim podacima mora biti „sredstvo za koje se razumno može verovati da se može upotrebiti za identifikaciju” pojedinca.
Sud je posjasnio da to neće biti slučaj, ako je identifikacija lica zabranjena zakonom ili je praktično nemoguća zbog činjenice da zahteva nesrazmerni napor u smislu vremena, troškova i ljudstva, tako da bi rizik od identifikacije u stvarnosti bio beznačajan.
Znači, Evropski sud pravde je zauzeo stav da dinamička IP adresa može biti podatak o ličnosti, ali da to svakako zavisi od okolnosti i specifičnosti svakog konkretnog slučaja.
Evropski sud pravde je, takođe, presudio da je Sek. 15 nemačkog Zakona o telemediji previše restriktivan, jer svojim odredbama nije predvideo da se obrada ličnih podataka može opravdati legitimnim interesima web operatera. Sud je odlučio da nemačke vlasti mogu imati legitiman interes da prikupljaju IP adrese posetilaca sajta i time da obrađuju njihove lične podatke kako bi se zaštitili od sajber napada.
Ključno pitanje
U slučaju Patrick Breyer vs Bundesrepublik Deutschland se postavilo pitanje da li dinamička IP adreasa, kao promenjiva kategorija, može biti podatak o ličnosti. Generalno govoreći, dinamičke IP adrese same nisu dovoljne da identifikuju pojedinca. Međutim, u kombinaciji sa datumom i vremenom pristupa, internet provajder može identifikovati korisnika. Znači web operater uz pomoć internet provajdera može posrednim putem identifikovati ličnost korisnika. I upravo je to predstavljalo ključno pitanje: da li takav podatak može biti podoban da se okarakteriše kao lični?
Kao što smo već saznali iz ovog teksta, Evropski sud pravde je odlučio da se IP adrese za internet provajdere kvalifikuju kao podaci o ličnosti. Međutim, do ovog slučaja nije postojao zvaničan stav o tome da li se to odnosi i na online pružaoce medijskih usluga, kao na primer web operatere, pogotovo ako treće lice, tačnije internet provajderi poseduju informacije neophodne za indentifikaciju lica.
Kako definišemo „podatke o ličnosti”?
Prema članu 2 Direktive EU o zaštiti podataka, podaci o ličnosti predstavljaju bilo koju informaciju koja se odnosi na identifikovano fizičko lice ili fizičko lice koje se može identifikovati; lice koje se može idetifikovati je ono lice koje se može identifikovati direktno ili indirektno, naročito putem identifikacionog broja ili jednog ili više faktora specifičnih za njegov fizički, fiziološki, mentalni, ekonomski, kulturni ili društveni identitet.
GDPR zadržava ovu definiciju sa dodatkom da se fizičko lice može identifikovati i na osnovu imena, podataka o lokaciji, na osnovu onlajn indentifikatora i genetskog materijala te osobe. GDPR predviđa da fizička lica mogu biti povezana sa online identifikatorima obezbeđenim pomoću njihovih uređaja, aplikacija, alata i protokola, kao što su adrese internet protokola, identifikatori kolačića ili drugi identifikatori kao što su oznake radio-frekvencije. Ovo može ostaviti tragove koji se, posebno u kombinaciji sa jedinstvenim identifikatorima i drugim informacijama koje primaju serveri, mogu koristiti za kreiranje profila fizičkih lica i njihovo identifikovanje. Znači, zakonodavstvo EU sada razrešava veliku dilemu: IP adresa može predstavljati podatak o ličnosti.
Da li je IP adresa podatak o ličnosti u Republici Srbiji?
Zakon o zaštiti podataka o ličnosti iz 2008. godine propisuje da je podatak o ličnosti svaka informacija koja se odnosi na fizičko lice, bez obzira na oblik u kome je izražena i na nosač informacije (papir, traka, film, elektronski medij i sl.), po čijem nalogu, u čije ime, odnosno za čiji račun je informacija pohranjena, datum nastanka informacije, mesto pohranjivanja informacije, način saznavanja informacije (neposredno, putem slušanja, gledanja i sl, odnosno posredno, putem uvida u dokument u kojem je informacija sadržana i sl.) ili bez obzira na drugo svojstvo informacije.
Međutim, kako ovaj Zakon ne reguliše adekvatno materiju zaštite podataka o ličnosti, potreba za donošenjem novog Zakona datira još od 2012. godine, a sve u cilju da se naše zakonodavstvo uskladi sa zakonodavstvom EU. To potvrđuje i Evropska komisija u svom izveštaju iz 2016. godine u kojem je navela da je potrebno hitno donošenje novog zakona koji će biti usklađen sa standardima Evropske unije. Donošenje novog zakona o zaštiti podataka o ličnosti jedan je od uslova u pregovorima Srbije sa Evropskom unijom, u okviru otvaranja Poglavlja 23.
Vlada Srbije se obavezala da će novi zakon biti donet do kraja 2015. godine, i to na osnovu Modela koji je pripremio Poverenik za informacije od javnog značaja. Međutim ovaj projekat još nije realizovan, a rokovi za donošenje novog zakona pomerani su nekoliko puta.
Poslednji pomak u realizaciji ovog projekta predstavlja usvajanje Nacrta Zakona o zaštiti podataka o ličnosti koji je pripremilo Ministarstvo pravde Republike Srbije. Međutim, ovaj Nacrt izaziva kritiku stručne javnosti, Poverenika za informacije od javnog značaja, a takođe i Evropska komisija i Eurodžast su uložili svoje primedbe. Kritike domaćeg javnog mnjenja su posebno upućene u pravcu adekvatnijeg regulisanja video nadzora, sprečavanja moguće zloupotrebe JMBG-a građana i uspostavljanja efikasnije zaštite podataka u javnom sektoru.
Prema pomenutom Nacrtu Zakona podatak o ličnosti je „svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, posebno na osnovu oznake identiteta, kao što je ime i identifikacioni broj, podataka o lokaciji, identifikatora u elektronskim komunikacionim mrežama ili jednog, odnosno više obeležja njegovog fizičkog, fiziološkog, genetskog, mentalnog, ekonomskog, kulturnog i društvenog identiteta”.
Kako Nacrt Zakona ne spominje konkretno IP adresu, ali spominje „identifikatora u elektronskim komunikacionim mrežama”, može se izvesti zaključak da je u ovom pogledu novi zakon u saglasnosti sa GDPR.