Είναι η ΙΡ στοιχείο του απορρήτου;
Πολύ συχνά δέχομαι από εντολείς μου αλλά και απλούς πολίτες ενδιαφερόμενους το ερώτημα, αν και κατά πόσο η ΙΡ διεύθυνση ενός χρήστη internet:
α) αποτελεί ή όχι στοιχείο απορρήτου της επικοινωνίας,
β) αποτελεί ή όχι προσωπικό δεδομένο
γ) μπορεί να γνωστοποιηθεί από τον πάροχο υπηρεσιών διαδικτύου (είτε είναι isp είτε όχι) στις αστυνομικές αρχές, με ποια διαδικασία και σε ποιες περιπτώσεις;
δ) επίσηςόταν η εταιρεία που γνωρίζει την ΙΡ, δεν αποτελεί isp (πρόκειται π.χ. για ένα απλό site με εγγεγραμένους χρήστες), είναι απαραίτητη η έκδοση εισαγγελικής διάταξης για την άρση απορρήτου του χρήστη;
Σε πολλές περιπτώσεις εξάλλου οι αστυνομικές αρχές ζητάνε προφορικά και πριν λάβουν εισαγγελική διάταξη να τους γνωστοποιηθούν διευθύνσεις ΙΡ, περιεχόμενο αλληλογραφίας, και γενικότερα στοιχεία επικοινωνίας χρηστών.
Διευκρινίζονται λοιπόν τα εξής:
1. Σε κάθε περίπτωση η ΙΡ διεύθυνση αποτελεί στοιχείο του απορρήτου της επικοινωνίας του χρήστη.Αυτό προκύπτει με σαφήνεια από τον συνδυασμό των άρθρων 2 και 4 του Ν.3471/2006, ο οποίος ορίζει:
Άρθρο 3 ν. 3471/2006:
"«δεδομένα κίνησης» είναι τα δεδομένα που υποβάλλονται σε επεξεργασία για τους σκοπούς της διαβίβασης μίας επικοινωνίας σε δίκτυο ηλεκτρονικών επικοινωνιών ή της χρέωσής της. Στα δεδομένα κίνησης μπορεί να περιλαμβάνονται, μεταξύ άλλων, ο αριθμός, η διεύθυνση, η ταυτότητα της σύνδεσης ή του τερματικού εξοπλισμού του συνδρομητή ή και χρήστη, οι κωδικοί πρόσβασης, τα δεδομένα θέσης, η ημερομηνία και ώρα έναρξης και λήξης και η διάρκεια της επικοινωνίας, ο όγκος των διαβιβασθέντων δεδομένων, πληροφορίες σχετικά με το πρωτόκολλο, τη μορφοποίηση, τη δρομολόγηση της επικοινωνίας καθώς και το δίκτυο από το οποίο προέρχεται ή στο οποίο καταλήγει η επικοινωνία.
"Δεδομένα θέσης" είναι τα δεδομένα που υποβάλλονται σε επεξεργασία σε δίκτυο ηλεκτρονικών επικοινωνιών και που υποδεικνύουν τη γεωγραφική θέση του τερματικού εξοπλισμού του χρήστη μίας διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών."
Aρθρο 4 ν. 3471/2006
"Απόρρητο
1. Οποιαδήποτε χρήση των υπηρεσιών ηλεκτρονικών επικοινωνιών που παρέχονται μέσω δημοσίου δικτύου επικοινωνιών και των διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, καθώς και των συναφών δεδομένων κίνησης και θέσης, όπως ορίζονται στις διατάξεις του άρθρου 2 του παρόντος νόμου, προστατεύεται από το απόρρητο των επικοινωνιών. Η άρση του απορρήτου είναι επιτρεπτή μόνο υπό τις προϋποθέσεις και τις διαδικασίες που προβλέπονται από το άρθρο 19 του Συντάγματος."
Είτε ως δεδομένο κίνησης, είτε ως δεδομένο θέσης λοιπόν, είναι σαφές ότι η ΙΡ διεύθυνση αποτελεί στοιχείο του απορρήτου των επικοινωνιών ενός ατόμου.
2. Η IP διεύθυνση είναι σε κάθε περίπτωση προσωπικό δεδομένο του κάθε χρήστη.
Αυτό προκύπτει από τον ορισμό του τι αποτελεί προσωπικό δεδομένο, όπως αποτυπώνεται στο άρθρο 2 του Ν 2472/1997:
α) "Δεδομένα προσωπικού χαρακτήρα, κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων. Δεν λογίζονται ως δεδομένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δεν μπορούν πλέον να προσδιορισθούν τα υποκείμενα των δεδομένων.
γ) "Υποκείμενο των δεδομένων", το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσότερων συγκεκριμένων στοιχείων που χαροκτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική.
To ίδιο προκύπτει άλλωστε και απο την Oδηγία 2006/24/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, για τη διατήρηση δεδομένων που παράγονται ή υποβάλλονται σε επεξεργασία σε συνάρτηση με την παροχή διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ή δημοσίων δικτύων επικοινωνιών, στην οποία ορίζεται ότι:
"Για τους σκοπούς της παρούσας οδηγίας νοούνται ως:
α) "δεδομένα": τα δεδομένα κίνησης και θέσης και τα συναφή δεδομένα που είναι αναγκαία για την αναγνώριση του συνδρομητή ή χρήστη."
Aκόμη καλύτερα όμως αναλύεται το όλο ζήτημα στην Γνώμη της Ομάδας των 15 υπ'αρ. 4/2007 σχετικά με την έννοια του όρου 'δεδομένα προσωπικού
χαρακτήρα":
Η ομάδα θεωρεί τις διευθύνσεις IP ως δεδομένα που αναφέρονται σε πρόσωπο του οποίου μπορεί να εξακριβωθεί η ταυτότητα. Έχει δηλώσει ότι "οι πάροχοι πρόσβασης στο ∆ιαδίκτυο και οι διαχειριστές τοπικών δικτύων μπορούν, με τη χρήση εύλογων μέσων, να εξακριβώνουν την ταυτότητα χρηστών του ∆ιαδικτύου στους οποίους έχουν χορηγήσει διευθύνσεις IP δεδομένου ότι συνήθως "καταγράφουν" συστηματικά σε κάποιο αρχείο την ημερομηνία, την ώρα, τη διάρκεια και τη δυναμική διεύθυνση IP που παρέχεται στο χρήστη του ∆ιαδικτύου.
Το ίδιο μπορεί να λεχθεί και για τους παρόχους υπηρεσιών ∆ιαδικτύου, οι οποίοι τηρούν ένα ημερολόγιο στον εξυπηρετητή HTTP.
Στις περιπτώσεις αυτές δεν υπάρχει αμφιβολία ότι πρόκειται για δεδομένα προσωπικού χαρακτήρα κατά την έννοια του άρθρου 2 στοιχείο α) της οδηγίας […])”
12. Ειδικά στις περιπτώσεις στις οποίες η επεξεργασία διευθύνσεων IP εκτελείται με σκοπό την εξακρίβωση της ταυτότητας των χρηστών του ηλεκτρονικού υπολογιστή (π.χ. από κατόχους δικαιωμάτων δημιουργού (copyright) προκειμένου να στραφούν δικαστικώς κατά των χρηστών του ηλεκτρονικού υπολογιστή για παραβίαση δικαιωμάτων πνευματικής ιδιοκτησίας), ο υπεύθυνος επεξεργασίας προεξοφλεί ότι «τα
μέσα που μπορούν ευλόγως να χρησιμοποιηθούν» για την εξακρίβωση της ταυτότητας των προσώπων θα είναι διαθέσιμα, π.χ. μέσω του δικαστηρίου όπου θα εκδικασθεί η αγωγή (διαφορετικά, δεν έχει νόημα η συλλογή των πληροφοριών). Συνεπώς, οι πληροφορίες πρέπει να θεωρηθούν ως δεδομένα προσωπικού χαρακτήρα.
Μια ιδιαίτερη περίπτωση είναι εκείνη ορισμένων ειδών διευθύνσεων IP οι οποίες πράγματι, σε ορισμένες περιπτώσεις, δεν επιτρέπουν την αναγνώριση του χρήστη, για ποικίλους τεχνικούς και οργανωτικούς λόγους. Ένα παράδειγμα είναι οι διευθύνσεις IP που δίνονται σε ηλεκτρονικούς υπολογιστές εγκατεστημένους σε «Ίντερνετ καφέ»,
όπου δεν ζητείται η ταυτότητα των πελατών.
Θα μπορούσε να ισχυρισθεί κανείς ότι τα δεδομένα που συλλέγονται για τη χρήση του υπολογιστή Χ κατά τη διάρκεια ενός ορισμένου χρονικού διαστήματος δεν επιτρέπουν την αναγνώριση του χρήστη με εύλογα μέσα και, κατά συνέπεια, δεν είναι δεδομένα προσωπικού χαρακτήρα. Ωστόσο, πρέπει να σημειωθεί ότι οι πάροχοι υπηρεσιών ∆ιαδικτύου το πιθανότερο είναι να μη γνωρίζουν ούτε αυτοί αν η υπό εξέταση διεύθυνση IP επιτρέπει ή όχι την αναγνώριση και ότι θα επεξεργάζονται τα δεδομένα της εν λόγω διεύθυνσης με τον ίδιο τρόπο με τον οποίο χειρίζονται πληροφορίες που σχετίζονται με διευθύνσεις IP χρηστών που είναι καταχωρημένοι κανονικά και των οποίων μπορεί να εξακριβωθεί η ταυτότητα.
Έτσι, εκτός κι αν ο πάροχος είναι σε θέση να διαπιστώσει με απόλυτη βεβαιότητα ότι τα δεδομένα αντιστοιχούν σε χρήστες που δεν μπορούν να αναγνωρισθούν, πρέπει να αντιμετωπίζει όλες τις πληροφορίες IP ως δεδομένα προσωπικού χαρακτήρα για να είναι απολύτως σίγουρος.
Πέραν πάσης αμφιβολίας λοιπόν η ΙΡ διεύθυνση δεν είναι μόνο στοιχείο απορρήτου της επικοινωνίας του χρήστη αλλά και προσωπικό του δεδομένο.
3. Tέλος καλό είναι να γίνει αναφορά στην ορθή διαδικασία άρσης απορρήτου σχετικά με την ΙΡ διεύθυνση, αλλά και στην πρακτική όψη αυτής της διαδικασίας.
Ξεκινούμε λοιπόν από το αυτονόητο, ότι δηλαδή η ΙΡ διεύθυνση ως στοιχείο του απορρήτου της επικοινωνίας του χρήστη εμπίπτει στις διατάξεις του Π.Δ. 47/2005. Η άρση του απορρήτου γίνεται όπως επιτάσσει ο ν. 2225/1994 και για τις περιπτώσεις αυτών των συγκεκριμένων αδικημάτων.
Καταρχάς δηλαδή ελέγχεται από τις αρμόδιες αρχές, αλλά και από τον πάροχο που του ζητάνε να αποκαλύψει στοιχεία του απορρήτου των χρηστών του δικτύου του, αν το αδίκημα για το οποίο του ζητείται η γνωστοποίηση στοιχείων, είναι από τα περιοριστικώς αναγραφόμενα στον νόμο, για τα οποία επιτρέπεται η άρση απορρήτου.
Aν λοιπόν για το συγκεκριμένο αδίκημα προβλέπεται στο νόμο άρση απορρήτου (π.χ. παιδική προνογραφία), ελέγχεται στην συνέχεια κατά πόσον αυτή ζητείται αρμοδίως.
Αρμοδίως ζητείται όταν υπάρχει σύμφωνα με το νόμο ειδικό βούλευμα του Συμβουλίου Πλημμελειοδικών, το οποίο όμως μπορεί να παρασχεθεί και στην συνέχεια ως επικυρωτικό της διάταξης του εισαγγελέα. Συνεπώς το συνηθέστερο είναι να μας ζητηθεί με διάταξη εισαγγελέα να γνωστοποιήσουμε όποιο στοιχείο διαθέτουμε.
Αυτό σημαίνει ότι οι αστυνομικές αρχές για να ζητήσουν από τον πάροχο οποιασδήποτε υπηρεσίας την γνωστοποίηση στοιχείων που εμπίπτουν στο απόρρητο -όπως και την ΙΡ διεύθυνση κάποιου χρήστη- οφείλουν να έχουν έγγραφη εισαγγελική διάταξη.
(Είναι προφανές ότι για λόγους κατεπείγοντος αρκεί και η προφορική εντολή του εισαγγελέα)
Πότε δίνουμε στοιχεία ΙΡ διεύθυνσης χωρίς εντολή εισαγγελέα;
Μόνον όταν διενεργείται προανάκριση βάσει του άρθρου 243 ΚΠΔ, γεγονός που θα πρέπει να μας γνωστοποιείται φυσικά.https://www.elenaspiropoulou.gr/node/100
