Dostęp do danych IP

24-04-2018

Europejski Trybunał Praw Człowieka na kanwie sprawy Benedik przeciwko Słowenii (skarga nr 62357/14) miał okazję wypowiedzieć się na temat procedur umożliwiających dostęp do adresu IP i związanych z nimi gwarancji poszanowania prywatności użytkowników sieci.

Policja szwajcarska w 2006 r. poinformowała swoich partnerów w Słowenii o dynamicznym adresie IP wykorzystywanym w sieci społecznościowej, która służyła wymianie treści zawierających dziecięcą pornografię. W sierpniu 2006 r. słoweńska policja zwróciła się do lokalnej spółki oferującej usługi internetowe o przekazanie danych na temat użytkownika wskazanego adresu IP. Policja nie uzyskała wcześniej nakazu sądowego, jako podstawę wydania danych wskazała przepisy procedury karnej umożliwiające ujawnienie na żądanie użytkownika adresu IP, który nie widniał w specjalnym spisie. Internetowy usługodawca przekazał policji dane. W grudniu, już na podstawie nakazu sądowego, policja zwróciła się do spółki o przekazanie danych o komunikacji internetowej ustalonego wcześniej internauty. Z informacji uzyskanych przez policję wynikało, że dane zawierające dziecięcą pornografię były przesyłane z adresu IP należącego do ojca skarżącego Igora Benedika. Śledztwo wykazało, że pliki te były ściągane przez samego Igora Benedika, który został oskarżony o posiadanie i rozpowszechnianie takich materiałów. Podczas postępowania przed sądami krajowymi wskazywał, że policja pozyskała informacje w sposób niezgodny z prawem (bez nakazu sądowego). Sądy krajowe, w tym słoweński Trybunał Konstytucyjny, uznały, że dane użytkownika IP podlegają ochronie na podstawie gwarancji prawa do prywatności, niemniej sam Benedik wyłączył się spod ochrony poprzez udostępnienie adresu IP i zawartości korespondencji na portalu społecznościowym.

Benedik zwrócił się do ETPC ze skargą na ingerencję w prawo do prywatności (art. 8 konwencji).

W pierwszej kolejności strasburscy sędziowie sprawdzili, czy istniało prawo pozwalające policji na ingerencję w prawo do prywatności poprzez uzyskanie danych na temat użytkownika adresu IP. ETPC uznał, że przepisy słoweńskiego k.p.k. to umożliwiały. Prawo nie przewidywało jednak możliwości ustalenia tożsamości użytkownika dynamicznego IP. Ponadto w prawie słoweńskim, w tym w art. 37 konstytucji, funkcjonowały dodatkowe gwarancje dotyczące tajemnicy korespondencji i komunikacji. Trybunał nie zgodził się z Trybunałem Konstytucyjnym, że Benedik zrzekł się prawa do prywatności poprzez ujawnienie swojego IP w sieci społecznościowej. ETPC uznał, że organy ścigania powinny się zwrócić o nakaz sądowy, tak jak to uczyniły, ustalając zakres komunikacji z adresu IP Benedika.

Zgodnie z art. 8 Konwencji i wcześniejszym orzecznictwem ETPC dotyczącym tajemnicy korespondencji i komunikacji, policja powinna była uzyskać nakaz sądowy w celu ustalenia użytkownika adresu IP. Jak zauważył ETPC, w tym czasie nie istniały w Słowenii regulacje dotyczące retencji danych oraz sposobu ich przetwarzania. Nie było również organu, który sprawowałby niezależną kontrolę nad zakresem i sposobem przetwarzania danych. Z tych względów trybunał uznał, że prawo, na którego podstawie policja uzyskała dane na temat użytkownika dynamicznego IP, nie spełniało wymogów jasności i precyzyjności. Uznając naruszenie art. 8, ETPC wskazał, że nie przyznaje skarżącemu zadośćuczynienia. Pozytywny wyrok stanowi bowiem, zdaniem ETPC, wystarczające zadośćuczynienie.

Dominika Bychawska-Siniarska

CAŁOŚĆ WYROKU

Tagi: