Το κριτήριο δεν προκύπτει όπως φαίνεται απο το αν κάποιος έχει πάγια τα μέσα να ταυτοποιήσει την IP, αλλά αν δυνητικά μπορεί να συμβεί αυτό γενικά βάσει της IP. Συγκεκριμένες επεξηγήσεις απο το δελτίο τύπου του Ευρωπαϊκού Δικαστηρίου:
By today’s judgment, the Court replies, first of all, that a dynamic IP address registered by an ‘online media services provider’ (that is by the operator of a website, in the present case the German Federal institutions) when its website, which is accessible to the public, is consulted constitutes personal data with respect to the operator i
f it has the legal means enabling it to identify the visitor with the help of additional information which that visitor’s internet service provider has. The Court observes, in that regard, that in Germany there appear to be legal channels enabling the online media services provider to contact the competent authority, in particular,in the event of cyberattacks, so that the latter may take the steps necessary to obtain that information from the internet service provider and subsequently bring criminal proceedings.
https://curia.europa.eu/jcms/upload/doc ... 0112en.pdf
Και η απόφαση στα ελληνικά (
πράσινο-
κόκκινο, διαφορετικά πράγματα,
μπλε τα νόμιμα μέσα):
Για τους λόγους αυτούς, το Δικαστήριο (δεύτερο τμήμα) αποφαίνεται:
1) To άρθρο 2, στοιχείο αʹ, της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, έχει την έννοια ότι
δυναμική διεύθυνση IP αποθηκευθείσα από τον φορέα παροχής υπηρεσιών τηλεμέσων επ’ ευκαιρία της επισκέψεως ενός χρήστη σε ιστότοπο τον οποίο ο εν λόγω φορέας καθιστά προσβάσιμο στο κοινό αποτελεί, για τον φορέα αυτόν, δεδομένο προσωπικού χαρακτήρα κατά την έννοια της ως άνω διατάξεως, όταν έχει στη διάθεσή του νόμιμα μέσα βάσει των οποίων μπορεί να εξακριβωθεί η ταυτότητα του οικείου προσώπου χάρη στις πρόσθετες πληροφορίες που έχει στη διάθεσή του ο πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο του εν λόγω προσώπου.
2) To άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46 έχει την έννοια ότι αντιτίθεται σε ρύθμιση κράτους μέλους δυνάμει της οποίας
φορέας παροχής υπηρεσιών τηλεμέσων δύναται να συλλέγει και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα αφορώντα χρήστη των ως άνω υπηρεσιών χωρίς τη συγκατάθεσή του, μόνον αν η εν λόγω συλλογή και χρησιμοποίηση απαιτούνται για να καταστεί δυνατή και να τιμολογηθεί η συγκεκριμένη χρήση των ως άνω υπηρεσιών από τον εν λόγω χρήστη, και κατά την οποία ο σκοπός της διασφαλίσεως της γενικής λειτουργικότητας των ιδίων υπηρεσιών δεν μπορεί να δικαιολογήσει τη χρησιμοποίηση των δεδομένων αυτών μετά τη λήξη της εκάστοτε επισκέψεως σε ιστότοπο.
https://eur-lex.europa.eu/legal-content ... 82&from=EN
To δικαστήριο αναγνώρισε την IP ως προσωπικό δεδομένο. Αναγνώρισε επίσης και το δικαίωμα του σάητ της γερμανικής κυβέρνησης να την επεξεργάζεται για συγκεκριμένους και μόνο λόγους.
Τα ερωτήματα, στα οποία απάντησε η απόφαση είναι αυτά:
Υπό τις συνθήκες αυτές, το Bundesgerichtshof (Ανώτατο Ομοσπονδιακό Δικαστήριο) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«1) Πρέπει το άρθρο 2, στοιχείο αʹ, της οδηγίας 95/46 να ερμηνευθεί υπό την έννοια ότι η διεύθυνση πρωτοκόλλου του διαδικτύου (ΙΡ) την οποία αποθηκεύει φορέας παροχής υπηρεσιών στο πλαίσιο προσβάσεως στην ιστοσελίδα του αποτελεί ως προς εκείνον δεδομένο προσωπικού χαρακτήρα σε περίπτωση που τρίτος (εν προκειμένω ο πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο) διαθέτει τα πρόσθετα δεδομένα που απαιτούνται για την εξακρίβωση της ταυτότητας του θιγόμενου προσώπου;
2) Αντιτίθεται το άρθρο 7, στοιχείο στʹ, της [οδηγίας αυτής] σε εθνική κανονιστική ρύθμιση κατά την οποία ο φορέας παροχής υπηρεσιών [τηλεμέσων] δύναται να συλλέγει και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα των χρηστών χωρίς τη συναίνεσή τους μόνο προκειμένου, εφόσον τούτο είναι αναγκαίο, να καταστεί δυνατή και να τιμολογηθεί η συγκεκριμένη χρήση του τηλεμέσου από τους εκάστοτε χρήστες, και κατά την οποία ο σκοπός της διασφαλίσεως της γενικής λειτουργικότητας του τηλεμέσου δεν μπορεί να δικαιολογήσει τη χρησιμοποίηση των δεδομένων μετά τη λήξη της εκάστοτε χρήσεως του τηλεμέσου;»
Bάσει αυτής της απόφασης, ο Γερμανός έχασε το δικαστήριο (απαιτούσε να μην καταγράφεται καθόλου η IP του), επειδή, ναι μεν ήταν προσωπικό δεδομένο, αλλά το σάητ της κυβέρνησης την αποθήκεθες και επεξεργαζόταν νόμιμα για λειτουργικούς λόγους.
Σε ποιά περίπτωση δεν αποτελεί προσωπικό δεδομένο, εξηγείται εδώ καλά:
12. Ειδικά στις περιπτώσεις στις οποίες η επεξεργασία διευθύνσεων IP εκτελείται με σκοπό την εξακρίβωση της ταυτότητας των χρηστών του ηλεκτρονικού υπολογιστή (π.χ. από κατόχους δικαιωμάτων δημιουργού (copyright) προκειμένου να στραφούν δικαστικώς κατά των χρηστών του ηλεκτρονικού υπολογιστή για παραβίαση δικαιωμάτων πνευματικής ιδιοκτησίας), ο υπεύθυνος επεξεργασίας προεξοφλεί ότι «τα μέσα που μπορούν ευλόγως να χρησιμοποιηθούν» για την εξακρίβωση της ταυτότητας των προσώπων θα είναι διαθέσιμα, π.χ. μέσω του δικαστηρίου όπου θα εκδικασθεί η αγωγή (διαφορετικά, δεν έχει νόημα η συλλογή των πληροφοριών). Συνεπώς, οι πληροφορίες πρέπει να θεωρηθούν ως δεδομένα προσωπικού χαρακτήρα.
Μια ιδιαίτερη περίπτωση είναι εκείνη ορισμένων ειδών διευθύνσεων IP οι οποίες πράγματι, σε ορισμένες περιπτώσεις, δεν επιτρέπουν την αναγνώριση του χρήστη, για ποικίλους τεχνικούς και οργανωτικούς λόγους. Ένα παράδειγμα είναι οι διευθύνσεις IP που δίνονται σε ηλεκτρονικούς υπολογιστές εγκατεστημένους σε «Ίντερνετ καφέ», όπου δεν ζητείται η ταυτότητα των πελατών.
Θα μπορούσε να ισχυρισθεί κανείς ότι τα δεδομένα που συλλέγονται για τη χρήση του υπολογιστή Χ κατά τη διάρκεια ενός ορισμένου χρονικού διαστήματος δεν επιτρέπουν την αναγνώριση του χρήστη με εύλογα μέσα και, κατά συνέπεια, δεν είναι δεδομένα προσωπικού χαρακτήρα. Ωστόσο, πρέπει να σημειωθεί ότι οι πάροχοι υπηρεσιών ∆ιαδικτύου το πιθανότερο είναι να μη γνωρίζουν ούτε αυτοί αν η υπό εξέταση διεύθυνση IP επιτρέπει ή όχι την αναγνώριση και ότι θα επεξεργάζονται τα δεδομένα της εν λόγω διεύθυνσης με τον ίδιο τρόπο με τον οποίο χειρίζονται πληροφορίες που σχετίζονται με διευθύνσεις IP χρηστών που είναι καταχωρημένοι κανονικά και των οποίων μπορεί να εξακριβωθεί η ταυτότητα.
Έτσι, εκτός κι αν ο πάροχος είναι σε θέση να διαπιστώσει με απόλυτη βεβαιότητα ότι τα δεδομένα αντιστοιχούν σε χρήστες που δεν μπορούν να αναγνωρισθούν, πρέπει να αντιμετωπίζει όλες τις πληροφορίες IP ως δεδομένα προσωπικού χαρακτήρα για να είναι απολύτως σίγουρος.
Πέραν πάσης αμφιβολίας λοιπόν η ΙΡ διεύθυνση δεν είναι μόνο στοιχείο απορρήτου της επικοινωνίας του χρήστη αλλά και προσωπικό του δεδομένο.
https://www.elenaspiropoulou.gr/node/100
Το ότι μόνο ο ISP έχει τα μέσα να ταυτοποιήσει IP, δεν σημαίνει ότι ο καθένας μπορεί να δημοσιοποιεί IP άλλων, ή εφόσον τις επεξεργάζεται νόμιμα, να τις επεξεργάζεται πέρα απο τα προβλεπόμενα. Mόνο ο εισαγγελέας μπορεί να κάνει κάτι τέτοιο, στα πλαίσια της έρευνας, δικογραφίας, κτλ πάντα, δεν νομίζω να μπορεί να ποστάρει IP στο διαδίκτυο.