Ochrona dynamicznego numeru IP komputera

Wyrok z dnia 24 kwietnia 2018 r. Europejskiego Trybunału Praw Człowieka dotyczył: ochrony dynamicznego numeru IP komputera; prawa do poszanowania życia prywatnego.

Wyrażenie "przewidziany przez ustawę" w rozumieniu art. 8 ust. 2 wymaga, po pierwsze, by zaskarżony środek miał podstawę w prawie krajowym. Po drugie, prawo krajowe musi być dostępne zainteresowanej osobie. Ponadto, osoba ta musi mieć możliwość przewidzenia konsekwencji w prawie krajowym. Po czwarte, prawo krajowe musi być zgodne z zasadą rządów prawa.

[...] To przede wszystkim do organów władzy krajowej, a zwłaszcza sądów, należy wykładnia i stosowanie prawa krajowego. Trybunał jednakże winien zweryfikować, czy sposób, w jaki prawo krajowe jest interpretowane i stosowane, powoduje powstawanie skutków,.które są zgodne z zasadami konwencyjnymi, w interpretacji dokonanej w świetle orzecznictwa Trybunału.

Prawo dostępne, przewidywalne i zgodne z zasadą rządów prawa

W niniejszej sprawie, zakładając, że uzyskanie przez policję informacji o subskrybencie związanych z dynamicznym adresem IP miało podstawę prawną, gdyż przepis krajowego kodeksu postępowania karnego stanowił, że policja może uzyskać informacje dotyczące właściciela lub użytkownika danego środka komunikacji elektronicznej od dostawcy usługi internetowej,.Trybunał musi zbadać, czy prawo to było dostępne i przewidywalne oraz zgodne z zasadą rządów prawa.

[...] Przepis jest "przewidywalny", jeżeli został sformułowany z wystarczającą precyzją, aby umożliwić każdej osobie - w razie potrzeby przy odpowiedniej poradzie - dostosowanie swego zachowania. Nadto zgodność z zasadą rządów prawa wymaga,.by prawo krajowe zapewniało odpowiednią ochronę przed arbitralną ingerencją w prawa z art 8. Trybunał musi zatem także stwierdzić, iż obowiązują odpowiednie i skuteczne gwarancje przeciwko nadużyciom. Ocena ta zależy od wszystkich okoliczności sprawy takich jak:

  • charakter, zakres i czas trwania ewentualnych środków,
  • przesłanki wymagane dla zarządzenia ich stosowania,
  • organy władzy właściwe do wydania zezwolenia na ich stosowanie,
  • organy wykonawcze i nadzorujące stosowanie takich środków oraz
  • rodzaj środka odwoławczego przewidziany w prawie krajowym.

Mając na względzie konkretny kontekst sprawy Trybunał podkreśla, iż Konwencja o cyberprzestępczości zobowiązuje państwa do stosowania takich środków jak gromadzenie w czasie rzeczywistym danych dotyczących ruchu oraz do udostępniania władzom krajowym środków do zwalczania, między innymi, przestępstw związanych z dziecięcą pornografią. Środki takie, jednakże, zgodnie z art. 15 tej Konwencji "podlegają warunkom i gwarancjom przewidzianym w prawie wewnętrznym [państw-stron]" oraz muszą "obejmować, stosownie do rodzaju danego uprawnienia lub procedury, m.in. sądową lub inną niezależną kontrolę, podawanie uzasadnienia, ograniczenia co do zakresu i czasu stosowania takich uprawnień lub procedur".

Legislacja była niespójna

[...] Przepis kodeksu postępowania karnego, na który powołały się władze krajowe,.dotyczył wniosku o udostępnienie informacji o właścicielu lub użytkowników danego środka komunikacji elektronicznej. Nie zawierał konkretnych regulacji co do związku pomiędzy dynamicznym adresem IP a informacją o subskrybencie. Dalej, postanowienie konstytucji krajowej wymaga nakazu sądowego przy każdej ingerencji w prywatność komunikacji. Nadto, ustawa o komunikacji elektronicznej, która reguluje konkretnie tajemnicę i poufność komunikacji elektronicznej, nie przewidywała w tym czasie możliwości dostępu i przekazania, do celów postępowania karnego, informacji na temat subskrybenta. Ustawa stanowiła, iż komunikacja elektroniczna, w tym dane dotyczące ruchu, były poufne. Jako takie winny być chronione przez dostawcę usług internetowych. Przewidywała nadto, iż dostawca nie przekazuje danych dotyczących ruchu innym podmiotom, chyba że to konieczne dla świadczenia usług. Poza przypadkami, gdy legalne przechwycenie komunikacji zostało nakazane przez właściwy organ. Tym samym przedmiotowa legislacja była co najmniej niespójna, jeżeli chodzi o stopień ochrony przysługujący interesowi prywatności skarżącego.

[...]  W związku z tym trzeba wskazać, iż nie wydaje się, by w tym czasie obowiązywała regulacja określająca warunki retencji danych uzyskanych na podstawie kodeksu postępowania karnego, zapewniająca gwarancje przeciwko nadużyciom ze strony funkcjonariuszy państwowych w procedurze dostępu i transferu takich danych. W tej mierze policja, mając do swej dyspozycji informacje o konkretnej aktywności internetowej, mogła zidentyfikować jej autora poprzez samo zwrócenie się do dostawcy usługi internetowej o sprawdzenie tej informacji. Nadto nie wykazano, by w tym czasie istniał jakikolwiek niezależny nadzór nad wykonywaniem przez policję tych uprawnień,.mimo że kompetencje te, w interpretacji sądów krajowych, zmuszały dostawców usług internetowych do przedstawiania przechowywanych danych o połączeniach oraz umożliwiała policji na zgromadzenie ogromnej ilości informacji w przedmiocie aktywności internetowej konkretnej osoby bez jej zgody.

Naruszenie art. 8 Konwencji

[...] Mając powyższe na względzie Trybunał stwierdza, iż ustawa, na której opierał się zaskarżony środek,.to jest uzyskanie przez policję informacji o subskrybencie związanych z podanym dynamicznym adresem IP, oraz sposób stosowania tego środka przez sądy krajowe, nie był jasny. Nie dawał wystarczających gwarancji przeciwko arbitralnej ingerencji w prawa z art. 8.

W tych okolicznościach Trybunał stwierdza, iż przedmiotowa ingerencja w prawo skarżącego do poszanowania życia prywatnego nie była "przewidziana przez ustawę", czego wymaga art. 8 ust. 2 Konwencji. W konsekwencji Trybunał nie musi badać, czy zaskarżony środek miał uprawniony cel i był proporcjonalny.

Mając powyższe na względzie Trybunał stwierdza, iż miało miejsce naruszenie art. 8 Konwencji.

Wyrok Europejskiego Trybunału Praw Człowieka z dnia 24 kwietnia 2018 r., sygnatura 62357/14