Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 24.01.2017
Naslov: Zahteva po posredovanju podatkov o IP naslovu uporabnikov
Številka: 0712-1/2017/130
Vsebina: Moderne tehnologije, Pridobivanje OP iz zbirk, Policijski postopki
Pravni akt: Mnenje

Spoštovani,

 

prejeli smo vaše zaprosilo za mnenje, v katerem nas (kot upravljavec spletnega portala) sprašujete, za mnenje v zvezi z zaprosilom Ministrstva za notranje zadeve oz. policije za posredovanje podatkov o prometu enega izmed vaših uporabnikov. Pojasnili ste, da je vaše podjetje upravljavec spletnega oglasnika in da ste s strani Ministrstva za notranje zadeve decembra 2016 prejeli zaprosilo za posredovanje podatkov o prometu na podlagi 4. odstavka 8. člena Zakona o elektronskem poslovanju na trgu (ZEPT) v zvezi z 2. odstavkom 148. člena Zakona o kazenskem postopku (ZKP). Zaprosilo ste zavrnili z utemeljitvijo, da lahko, kot ponudnik storitev spletnega oglasnika, podatke o prometu posredujete samo na podlagi sodne odredbe. Nato ste v januarju 2017 vezano na isto zaprosilo s strani policije prejeli obvestilo o izreku sodbe Vrhovnega sodišča RS (I Ips 27119/2014 z dne 17. 11. 2016), katerega je prejel tudi Informacijski pooblaščenec RS. Interpretacijo sodbe in obrazložitev je policija objavila tudi na svoji spletni strani, vsebino objavljenega obvestila pa ste nam posredovali v nadaljevanju. Glede na opis situacije nas prosite za mnenje v zvezi z naslednjima vprašanjema:

 

 

·         Ali lahko v vašem primeru trdimo, da se uporabniki z registracijo in uporabo spletnega oglasnika zavestno odpovejo svoji zasebnosti?

 

·         Ali  lahko posredujete podatke o prometu brez sodne odredbe?

 

 

Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke 1. odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1; ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 - ZUstS-A; ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Ponudnike storitev informacijske družbe, med katere sodi tudi vaše podjetje kot upravljavec spletnega portala razumemo, saj so se znašli v nezavidljivi situaciji, ko so soočeni z različnimi interpretacijami državnih organov ter neenotno sodno prakso glede dolžnosti posredovanja podatkov o prometu o svojih uporabnikih.

 

 

V nadaljevanju zato podajamo naša stališča in argumente zanje.

 

 

IP zastopa stališče, da se uporabnik, ki ni javno razkril svojega IP naslova, zavestno ni odpovedal pričakovani zasebnosti glede svoje identitete kot komunicirajočega posameznika, zato je za pridobitev podatka o IP naslovu potrebna odredba sodišča.

 

Sodišče EU je v sodbi v združenih primerih C-203/15 in C-698/15 z dne 21. 12. 2016 zapisalo, da bi dostop do hranjenih prometnih in lokacijskih podatkov moral biti predmet predhodne sodne odredbe ali odredbe neodvisnega organa.

 

Ponudniki storitev informacijske družbe niso dolžni nadzirati ali hraniti podatkov, ki jih pošiljajo ali hranijo, ali dejavno raziskovati okoliščin, posredno nakazujočih na protipravnost podatkov, ki jih zagotavljajo (3. odstavek 8. člena ZEPT).

 

Za zagotovitev temeljnih načel varstva osebnih podatkov - načela sorazmernosti (3. člen), namenskosti (16. člen) in določbe o rokih hrambe podatkov (21. člen ZVOP-1), je na mestu premislek, ali sploh potrebujete podatke o IP naslovu in če da, kateri je - za vas in vaše uporabnike - minimalni rok hrambe.

 

 

1. Poudariti je treba, da uživa komunikacijska zasebnost strožje varstvo kot informacijska zasebnost (varstvo osebnih podatkov). Varnost »tajnosti občil in pisem« oz. komunikacijsko zasebnost, t.j. varovanje vsebine komunikacije in spremljajočih dejstev in okoliščin (kdo, kdaj, s kom ipd., torej prometnih in lokacijskih podatkov) zagotavlja 37. člen Ustave RS, ki postavlja štiri stroge in kumulativne pogoje – samo za določen čas, na podlagi odredbe sodišča, na podlagi zakona in samo če je to nujno za uvedbo ali potek kazenskega postopka ali za varnost države. Policija lahko osebne podatke pridobiva brez sodne odredbe, če ima za to podlago v zakonu, prometnih podatkov (kdo je s kom komuniciral, kdaj ipd.), pa brez sodne odredbe ne bi smela pridobivati. Pri tem je treba opozoriti na pomen testa upravičenega pričakovanja zasebnosti. Iz omenjene sodbe Vrhovnega sodišča izhaja, češ da se je posameznik s tem, ko je javno objavil vsebino, odpovedal pričakovanju zasebnosti tudi glede prometnih podatkov - identitete komunicirajočega, do katere se lahko običajno pride prek IP naslovov. S tem stališčem se ne moremo strinjati, saj je Ustavno sodišče presodilo v odločbi Up-540/11-23 z dne 13. 2. 2014, da tisto, »kar oseba zavestno izpostavi javnosti, pa čeprav z domačega računalnika in iz zavetja svojega doma, ne more biti predmet varstva 37. člena Ustave«[1]Posameznik svojega IP naslova in svoje identitete ni javno izpostavil javnosti[2], temveč je ravno to hotel zadržati zase (subjektivni kriterij), sicer morda sploh ne bi komuniciral in je utemeljeno pričakoval, da njegova identiteta komunicirajočega ne bo razkrita v nasprotju z ustavo in zakoni (objektivni kriterij).

 

Opozoriti je treba, da je v zadevi  Up-540/11-23 šlo za uporabo P2P omrežja (angl. peer-to-peer), ki deluje precej drugače, kot »običajni« dostop do spletnih strani. Pri P2P omrežjih uporabnik zavestno izpostavi svoj IP naslov, ki ga lahko vidijo vsi, ki se nahajajo v tem omrežju, medtem ko pri dostopu do spletnih strani, kot npr. ob uporabi spletnega oglasnika, IP naslov javnosti ni viden, uporabnik ga zavestno ne izpostavi javnosti, zato utemeljeno pričakuje, da njegova identiteta komunicirajočega ne bo razkrita v nasprotju z ustavo in zakoni.

 

Poudarjamo, da ne gre za to, da bi bila komunikacijska zasebnost absolutno varovana in da do posameznikove identitete sploh ne bi bilo mogoče priti. To mora biti možno, toda pod pogoji, ki jih določa Ustava RS in tu je pogoj sodne odredbe ključni pogoj in varovalka. Kot smo že poudarjali, je sodna odredba varovalo nepristranske presoje in izkazanega utemeljenega suma storitve kaznivega dejanja. Brez te varovalke je posameznik namreč v celoti prepuščen presoji organov pregona. Samo sodišče lahko kompetentno presoja, katera od ustavno varovanih pravic je v vsakem konkretnem primeru močnejša.

 

Glede na navedeno v odgovor na vaše prvo vprašanje menimo, da se uporabniki z registracijo in uporabo spletnega oglasnika niso zavestno odpovedali svoji zasebnosti glede IP naslova oziroma ravno obratno – utemeljeno pričakujejo, da njihova identiteta komunicirajočih ne bo razkrita v nasprotju z ustavo in zakoni.

 

 

2. Dodatno želimo opozoriti na to, da 4. odstavek 8. člena ZEPT v določbi o naboru podatkov, ki naj bi se posredovali, sploh ne navaja podatka o IP naslovu, temveč določa posredovanje taksativno navedenih naslednjih podatkov: ime in priimek, naslov, firma, elektronski naslov[3]. S tega vidika so sporne tako zahteve po posredovanju podatka o IP naslovu na tej podlagi, kot posredovanje podatkov o IP naslovu.

 

 

3. IP je glede hrambe in dostopa do podatkov o prometu pri ponudnikih storitev informacijske družbe izdal sporočilo za javnost, ki naslavlja sodbo Sodišča EU, ki je 21. 12. 2016 objavilo svojo odločitev, da obvezna splošna hramba podatkov v elektronskih komunikacijah na zalogo ni dopustna. Gre za sodbo v združenih primerih C-203/15 in C-698/15, v katerih je sodišče obravnavalo zakonodajne zahteve po splošni hrambi prometnih in lokacijskih podatkov elektronskih komunikacij v Združenem Kraljestvu in na Švedskem. IP izpostavlja, da je v luči te odločitve treba razumeti in tolmačiti tudi določbe slovenskih predpisov (npr. Zakona o elektronskem poslovanju na trgu, ki je bil predmet odločanja Vrhovnega sodišča v sodbi št. I Ips 27119/2014) glede posredovanja in hrambe prometnih podatkov.

 

Sporočilo za javnost IP je dostopno na povezavi:

 

www.ip-rs.si/novice/elektronske-komunikacije-sodisce-evropske-unije-je-odlocilo-da-obvezna-splosna-hramba-podatkov-na-zalogo-ni-dopustna-1397/

 

Sporočilo za javnost Sodišča EU in sodba sta dostopna na:

 

http://curia.europa.eu/jcms/upload/docs/application/pdf/2016-12/cp160145en.pdf

 

Sodba daje jasno sporočilo, da zakonske rešitve, ki operaterjem ali ponudnikom spletnih storitev nalagajo obvezno, nediskriminatorno hrambo prometnih podatkov, ne da bi bila ta omejena na določene okoliščine, kot so omejeno časovno obdobje, geografsko področje in/ali omejena skupina ljudi, ki verjetno sodelujejo pri izvajanju hujših kaznivih dejanj, presegajo to, kar je striktno nujno in zato niso sprejemljive v demokratični družbi. Sodišče je presodilo, da samo hujša kazniva dejanja opravičujejo takšen poseg v temeljne človekove pravice, morebitne zakonodajne rešitve pa operaterjem ali ponudnikom spletnih storitev ne smejo nalagati splošne hrambe podatkov. Sodišče dodaja, da bi dostop do hranjenih prometnih in lokacijskih podatkov moral biti predmet predhodne sodne odredbe ali odredbe neodvisnega organa.

Sporočilo sodbe Sodišča EU glede dostopa do prometnih in lokacijskih podatkov na podlagi odredbe sodišča ali neodvisnega organa je zelo pomembno tudi v relaciji do omenjenih sodb Vrhovnega in Ustavnega sodišča RS. Ustava RS zelo strogo varuje komunikacijsko zasebnost in določa pogoj sodne odredbe, pomembna pa so tudi tolmačenja, kdaj posameznik upravičeno pričakuje svojo (komunikacijsko) zasebnost. Če posameznik ni razkril svoje identitete, ko je komuniciral, Informacijski pooblaščenec zastopa stališče, da bi morali to tolmačiti, kot znak, da upravičeno želi varovati ta svoj podatek, ki sodi v komunikacijsko zasebnost, in to ne glede na to, ali je sama vsebina komunikacije javna ali ne. Za dostop to takšnega podatka (predvsem so to e-naslovi in IP naslovi), bi morala biti podana sodna odredba. Sodna odredba je namreč varovalo nepristranske presoje in obstoja izkazanega utemeljenega suma storitve kaznivega dejanja. Brez te varovalke je posameznik namreč v celoti prepuščen presoji organov pregona. Samo sodišče lahko nepristransko in kompetentno presoja, katera od ustavno varovanih pravic je v vsakem konkretnem primeru močnejša.

Glede na navedeno menimo – in s tem odgovarjamo na vaše drugo vprašanje – da podatkov o IP naslovu vaših uporabnikov policiji niste dolžni dati brez sodne odredbe, ker se posameznik zavestno ni odpovedal pričakovani zasebnosti glede tega podatka

 

 

 4. Sodba ima pomembne implikacije tudi za slovenske operaterje in ponudnike storitev informacijske družbe, kot so spletni portali in druge storitve. Določbe Zakona o elektronskih komunikacijah (ZEKom-1), ki so operaterjem nalagale splošno obvezno hrambo, je Ustavno sodišče RS že razveljavilo, sodba pa je pomembna tudi za spletne portale. Ti niso dolžni hraniti podatkov o svojih uporabnikih na zalogo ali  zato, ker bi jih morda nekdo nekoč lahko od njih zahteval (npr. policija ali odvetniki oškodovancev). Spletni portali lahko prometne podatke o svojih uporabnikih (kot so e-naslovi, IP naslovi in podobno), hranijo le toliko časa kot sami ocenijo, da je potrebno za lastne namene. Če podatkov sami ne potrebujejo (več), jih niso dolžni hraniti in jih lahko dejansko hitro brišejo, saj to, da bi jih lahko nekdo od njih zahteval, ni pravna podlaga za njihovo hrambo. Ne obstaja zakon, ki bi spletnim portalom nalagal obvezno splošno hrambo podatkov; tak zakon bi bil glede za zadevno sodbo tudi nesprejemljiv v demokratični družbi. Kvečjemu obratno, 3. odstavek 8. člena ZEPT določa, da ponudnik storitev ni dolžan nadzirati ali hraniti podatkov, ki jih pošilja ali hrani, ali dejavno raziskovati okoliščin, posredno nakazujočih na protipravnost podatkov, ki jih zagotavlja prejemnik storitve.

 

Kot ponudnik storitev informacijske družbe in hkrati upravljavec zbirk osebnih podatkov o svojih uporabnikih morate spoštovati določbe ZVOP-1, med katerimi so zelo pomembni načeli sorazmernosti (3. člen) in namenskosti (16. člen) ter določbe o rokih hrambe podatkov (21. člen), zato je na mestu premislek, ali sploh potrebujete podatke o IP naslovu in če da, kateri je - za vas in vaše uporabnike - minimalni rok hrambe. Ponovno poudarjamo, da podatkov za namene tretjih oseb, čeravno so to državni organi, niste dolžni hraniti. Podatkov, ki jih nimate in jih ne potrebujete, ne morete posredovati, s tem pa se lahko izognete kompleksnim presojam o pričakovani zasebnosti uporabnikov, stroškom in času za obravnavo zahtevkov za posredovanje ter obenem ravnate v duhu temeljnih načel varstva osebnih podatkov.

 

 

5. Na mestu je tudi vprašanje, ali gre pri zahtevi policije po posredovanju podatkov za zaprosilo za podatke ali za obvezen zahtevek za podatke. Za zagotovitev načela prostovoljnosti je zelo pomembno obvestilo o prostovoljnem podajanju informacij, zato morajo biti izjeme, ko takšnega obvestila ni potrebno predhodno podati, podane dovolj ozko oz. navedene. IP pri tem ponovno opozarja na problematično prakso pri pridobivanju podatkov o uporabnikih različnih spletnih storitev, kjer je policija v številnih primerih svoja pisna oz. ustna zaprosila formulirala tako, da je bila zaprošena oseba prepričana, da zaprošene podatke, vključno s prometnimi podatki, mora posredovati. Takšna praksa v demokratični družbi ne sme biti dopustna. Zato to ne sme biti prepuščeno zgolj tolmačenju posameznega policista, ampak mora izjeme jasno in nedvoumno predpisovati zakon.

 

Obveznost posredovanja podatkov namreč obstoji zgolj v primerih, ko to določa 115. člen ZNPPol ali drugi zakon. V teh primerih mora biti zahteva oz. dopis policije tudi ustrezno označen kot obvezen (kot zahtevek, ne zaprosilo), in mora opozoriti na posledice ne-posredovanja. V ostalih primerih pa mora iz dopisa jasno izhajati, da gre za zbiranje obvestil, ter da je odgovor na dopis prostovoljno ravnanje. IP meni, da zahtev policije po prometnih podatkih ni mogoče šteti kot obveznih zahtevkov za podatke temveč za nezavezujoča zaprosila za podatke. Ponudnik storitve informacijske družbe, ki meni, da zahtevek policije ni sklepčen, ima vso pravico zavrniti takšen zahtevek policije in za posredovanje prometnih podatkov vztrajati na sodni odredbi.

 

Zaključno ponovno poudarjamo, da obžalujemo nezavidljivo situacijo, v kateri ste se znašli. Prejeli ste različne argumente, na podlagi katerih boste morali sprejeti odločitev, pri tem pa boste nedvomno upoštevali tudi pomen zaupanja s strani vaših uporabnikov.

 

 

 

S spoštovanjem,

                                   
Pripravil:
- mag. Andrej Tomšič, namestnik informacijske pooblaščenke

 

Informacijski pooblaščenec:
Mojca Prelesnik, univ.dipl.prav.,
Informacijska pooblaščenka

                                                                       


[1] Tako tudi  Višje sodišče v Ljubljani, v sklepu VSL sklep II Kp 9220/2011 z dne 7.12.2012 v podobni zadevi (»14. Zato ni pravilno stališče državnega tožilca, da se z razkritjem podatka o identiteti uporabnika, ki je uporabljal točno določeni IP naslov v točno določenem času, [pri čemer je bila vsebina komunikacije znana in javna] ni poseglo v komunikacijsko zasebnost obtoženca«, URL: sodnapraksa.si %22&database[SOVS]=SOVS&database[IESP]=IESP&database[UPRS]=UPRS&_submit=i %C5%A1%C4%8Di&rowsPerPage=20&page=0&id=2012032113052385

[2] Stališče Pooblaščenca je glede tega vendarle bližje stališču sodnice dr. Sovdat, ki meni, da je bilo pritožnikovo pričakovanje zasebnosti vendarle upravičeno, saj posameznik v konkretnem primeru ni nastopal v javnosti s svojim imenom, ampak je v javnosti nastopala nekajmestna številka dinamičnega IP naslova. Menimo, da je treba razlikovati med tem, kaj posameznik razkrije in česa ne. Če je posameznik javno razkril svoj IP naslov, še ne pomeni, da je javno razkril tudi kdo je, zato glede slednjega po objektivnem in subjektivnem kriteriju razkritje povezave »IP naslov –določena oseba« sodi v upravičeno pričakovanje zasebnosti.

[3] Ponudniki storitev morajo vsem pristojnim organom na njihovo zahtevo najkasneje v roku treh dni od njenega prejema sporočiti podatke, na podlagi katerih je mogoče identificirati prejemnike njihove storitve (ime in priimek, naslov, firma, elektronski naslov). Navedene podatke morajo ponudniki storitev sporočiti zaradi odkrivanja in preprečevanja kaznivih dejanj na podlagi odredbe sodišča, brez odredbe sodišča pa, če tako določa področni zakon.