Za varstvo del, ki so varovana z avtorsko ali sorodnimi pravicami, pred kaznivimi dejanji, storjenimi na spletu, je bila skladno s francoskim dekretom uvedena obdelava osebnih podatkov. Na podlagi tega lahko Hadopi, neodvisni javni organ, ki deluje v skladu z Zakonom o intelektualni lastnini, identificira osebe ter zoper njih sproži postopek, ki vključuje prevzgojne in represivne ukrepe, ter v resnejših primerih zadevo preda državnemu tožilstvu. Po tem, ko je francoski predsednik vlade zavrnil prošnjo za razveljavitev dekreta, so štiri združenja za varstvo pravic in svoboščin na spletu pri francoskem državnem svetu vložila tožbo za razveljavitev zadevnega odloka. V tožbi so navajala, da je takšna ureditev (1) v nasprotju s pravico do spoštovanja zasebnega življenja, ki je zapisana v francosko ustavo, in (2) krši pravo EU, zlasti 15. člen Direktive 2002/58/ES o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) ter 7., 8., 11. in 52. člen Listine Evropske unije o temeljnih pravicah. O neustavnosti je odločal francoski ustavni svet, medtem ko se je za razlago evropske zakonodaje državni svet obrnil na Sodišče EU.
Le-to je na zastavljeno predhodno vprašanje v zvezi z nesorazmernostjo ukrepov za manj hude kršitve avtorske pravice odločalo v odločbi C- 470/21.
Sodišče EU je uvodoma ugotovilo, da prvi postopek obdelave osebnih podatkov, ki jo izvaja Hadopi, poteka v dveh fazah. Prvič, IP-naslovi, za katere se zdi, da so bili uporabljeni za dejavnosti, ki bi lahko pomenile kršitev avtorskih ali sorodnih pravic, se zbirajo v omrežjih P2P oziroma omrežju enakovrednih. Drugič, nabor osebnih podatkov in informacij, ki so sicer določeni skladno z odlokom, je na voljo družbi Hadopi v obliki poročil. Tudi drugi postopek obdelave osebnih podatkov poteka v dveh fazah: prvič, zbrani IP-naslovi se povezujejo s podatki o civilni identiteti imetnika tega naslova (ime in priimek naročnika, naslov in elektronski naslov, telefonska številka in naslov telefonskega priključka naročnika). Drugič, tako zbrani podatki so na voljo družbi Hadopi. Namen teh različnih postopkov obdelave osebnih podatkov je omogočiti družbi Hadopi, da identificira imetnika IP-naslova, ki je bil uporabljen za dejavnosti, ki lahko kršijo avtorsko ali sorodne pravice, saj je nezakonito dal na voljo zaščitena dela na internet za nalaganje s strani drugih. Na tej podlagi nato sprejme ukrepe, kot je pošiljanje priporočil in obvestil naročniku, ter v primeru hujših kršitev zadevo preda državnemu tožilstvu.
Na vprašanje, ali je dostop javnega organa do podatkov v zvezi z osebno identiteto, povezano z IP-naslovom, ki jih hranijo ponudniki elektronskih komunikacijskih storitev za namene boja proti ponarejanju, storjenem na spletu, skladen s 15. členom Direktive o zasebnosti in elektronskih komunikacijah, je sodišče najprej odgovorilo, da se dostop do takih osebnih podatkov lahko odobri, če so bili shranjeni v skladu s to direktivo. Od zahtev, ki jih ta določa, lahko države članice uvedejo izjeme, kadar je taka omejitev nujen, ustrezen in sorazmeren ukrep v demokratični družbi za zaščito nacionalne varnosti, obrambe in javne varnosti ter preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj ali neupravičene uporabe elektronskega komunikacijskega sistema. Za te namene lahko države članice določijo tudi hrambo teh podatkov za omejeno obdobje.
Navedeno tudi pomeni, da pravice iz 7., 8. in 11. člena Listine Evropske unije o temeljnih pravicah niso absolutne pravice, ampak jih je treba obravnavati v povezavi z njihovo funkcijo v družbi. Člen 52 Listine dovoljuje omejitve uveljavljanja teh pravic, pod pogojem, da so te omejitve določene z zakonom, da spoštujejo bistvo teh pravic in da so v skladu z načelom sorazmernosti potrebne in resnično izpolnjujejo cilje splošnega interesa, ki jih priznava Evropska unija, ali potrebo po zaščiti pravic in svoboščin drugih. Sodišče je tako razsodilo, da splošna in neselektivna hramba IP-naslovov ne pomeni nujno resnega posega v temeljne pravice. Opozorilo je na že zavzeto stališče sodišča, da spadajo IP-naslovi med manj občutljive podatke. Ob tem je poudarilo, da je lahko obveznost nediskriminatorne hrambe IP-naslovov dovoljena, kadar je cilj takšne hrambe boj proti kaznivim dejanjem in če nacionalna ureditev določa podrobna pravila hrambe, ki zagotavljajo res strogo ločevanje različnih kategorij osebnih podatkov in tako izključujejo, da bi bilo mogoče iz teh podatkov natančno sklepati o zasebnem življenju posameznika, na katerega se nanašajo osebni podatki.
Sodišče je pojasnilo, da pravo Unije ne nasprotuje nacionalni ureditvi, ki pristojnemu javnemu organu dovoljuje, da le za identifikacijo osebe, za katero je podan sum, da je storila kaznivo dejanje, dostopi do podatkov o civilni identiteti, ki ustrezajo IP-naslovu, če te ločeno in res strogo – skladno z Direktivo 2002/58/ES – hranijo ponudniki dostopa do spleta. Ureditev takšne hrambe mora biti organizirana tako, da se zagotovi resnično neprepustno ločevanje različnih kategorij hranjenih podatkov, kar pomeni, da se mora vsaka kategorija podatkov hraniti ločeno od drugih, učinkovitost hrambe pa se mora zagotavljati z varnim in zanesljivim računalniškim sistemom ter učinkovitim tehničnim postopkom. Neprepustno ločevanje podatkov mora redno preverjati javni organ, ki mora biti različen od tistega, ki želi pridobiti dostop do osebnih podatkov.
Sodišče je še opozorilo, da morajo biti javni uslužbenci, ki imajo dostop do teh podatkov, zavezani k zaupnosti, ki jim prepoveduje razkritje teh podatkov in informacij v kakršnikoli obliki, razen z izključnim namenom posredovanja zadeve državnemu tožilstvu. Ti uslužbenci prav tako ne smejo slediti toku klikov imetnika z uporabo IP-naslovov in uporabljati teh naslovov za druge namene, kot je identifikacija njihovih imetnikov za sprejetje morebitnih ukrepov.
Kot je bilo ugotovljeno, sta v preučevanem primeru hramba in dostop do osebnih podatkov takšna, da ne pomenita posega v temeljne pravice in kot taka ne potrebujeta predhodnega nadzora s strani nacionalnega sodišča ali neodvisnega upravnega organa. Če pa bi tako zbrani podatki omogočali natančno sklepanje o zasebnem življenju posameznika, na katerega se nanašajo osebni podatki, in bi zato resneje posegali v temeljne pravice, pa mora biti (zakonsko) zagotovljen predhodni sodni ali upravni nadzor. Glede tega je sodišče še opozorilo, da tak nadzor ne sme biti popolnoma avtomatiziran, saj mora zadevno sodišče ali neodvisni upravni organ najti pravično ravnotežje med zakonitimi interesi v zvezi s potrebami preiskave v okviru boja proti kriminalu na eni strani in temeljnimi človekovimi pravicami na drugi strani.
Glede na vse navedeno je Sodišče EU odločilo, da Direktiva 2002/58/ES ne nasprotuje francoski ureditvi, če so izpolnjeni prej navedeni pogoji.
Pripravila: mag. Jasmina Potrč
Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala IUS-INFO.
