Dynamiczne IP a uzyskanie danych o jego użytkowniku
Skargę do Trybunału wniósł obywatel Słowenii. W 2006 r. policja szwajcarska poinformowała policję słoweńską o dynamicznym adresie IP, z którego korzystano w celu udostępniania plików w jednej z sieci o charakterze peer-to-peer, w tym również plików z dziecięcą pornografią. Słoweńska policja zwróciła się do dostawcy usług internetowych o dane użytkownika, który korzystał z tego adresu IP. Policja powołała się przy tym na postanowienia słoweńskiego kodeksu postępowania karnego pozwalające na uzyskanie informacji o użytkowniku określonych środków komunikacji elektronicznej od dostawcy usług internetowych. Dla uzyskania danych subskrybenta (w tym przypadku - ojca skarżącego) policja nie przedstawiła nakazu sądowego, a czynność ta nie została w żaden sposób zatwierdzona przez sąd. W związku z tak uzyskanymi informacjami skarżący został objęty śledztwem, w efekcie którego został w 2008 r. skazany za rozpowszechnianie dziecięcej pornografii. Skarżący bezskutecznie próbował odwołać się od skazania. Przed słoweńskim Sądem Najwyższym, a następnie przed Trybunałem Konstytucyjnym argumentował, że dowody przeciwko niemu zostały pozyskane bezprawnie, ponieważ policja nie dysponowała nakazem sądowym pozwalającym na uzyskanie danych użytkownika dynamicznego adresu IP. Słoweński Trybunał Konstytucyjny stwierdził, że co do zasady informacje takie są objęte zasadą poufności danych, lecz skarżący zrzekł się ochrony stąd wynikającej poprzez ujawnienie swego adresu IP w sieci pozwalającej na wymianę plików. Przed Trybunałem w Strasburgu skarżący zarzucił, iż taki stan rzeczy stanowił naruszenie jego prawa do poszanowania życia prywatnego, chronionego w art. 8 Konwencji o prawach człowieka.
Trybunał zgodził się ze skarżącym i potwierdził naruszenie art. 8 Konwencji.
Dynamiczne IP komputera to dane prywatne i poufne
Trybunał wskazał na wstępie, iż interes skarżącego w ochronie jego tożsamości w Internecie wchodzi w zakres pojęcia "życia prywatnego" z art. 8 Konwencji. Dalej Trybunał wskazał, iż wszelka ingerencja w życie prywatne musi być "przewidziana przez ustawę", jak wymaga tego art. 8 ust. 2 Konwencji, to jest: musi mieć podstawę w prawie krajowym, być dostępna i przewidywalna (czyli osoba, której może dotyczyć dana norma prawna, musi mieć do niej dostęp i być w stanie zdekodować konsekwencje grożące za jej złamanie), a przedmiotowy przepis prawa musi być zgodny z zasadą rządów prawa. W przypadku ograniczeń prawa do prywatności wynikających z czynności podejmowanych przez organy ścigania, ograniczeniom tym muszą korzystać odpowiednie gwarancje przeciwko nadużyciom.
W omawianym orzeczeniu podstawą ingerencji w prawo do prywatności skarżącego były przypisy słoweńskiego kodeksu postępowania karnego. Kodeks ten przewidywał możliwość uzyskania informacji o użytkowniku elektronicznych środków komunikacji, nie wspominał jednakże o możliwości uzyskania informacji o użytkowniku adresu IP. Inne przepisy prawa słoweńskiego stanowiły zasadę poufności komunikacji elektronicznej, a w konstytucji słoweńskiej wskazano, iż ingerencja w prawo do komunikacji wymaga nakazu sądowego. Trybunał odniósł się dalej do ustaleń słoweńskiego Trybunału Konstytucyjnego, zgodnie z którymi dostęp do adresu IP zasadniczo wymaga nakazu sądowego, ale - zdaniem Trybunału Konstytucyjnego - skarżący miał zrzec się ochrony wynikającej z prawa do prywatności ujawniając swój adres IP i treść komunikacji w sieci internetowej o charakterze peer-to-peer. Trybunał w Strasburgu uznał jednak, iż wniosek ten jest nie do pogodzenia ze standardami ochrony prywatności wynikającymi z Konwencji.
Postanowienie sądowe konieczne
W konkluzji omawianego orzeczenia Trybunał wskazał, iż policja słoweńska powinna była uzyskać nakaz sądu i nic nie stało na przeszkodzie, by mogła o taki nakaz się zwrócić. Co więcej, nakaz taki uzyskano w sprawie na jej późniejszym etapie, dla pozyskania podobnych informacji. Nadto, przepisy prawa słoweńskiego nie zawierały w tym czasie żadnych innych regulacji w sprawie pozyskiwania danych o numerach IP, którym towarzyszyłyby odpowiednie gwarancje przed nadużyciami. Dopiero później ustawodawca słoweński przyjął ustawę gwarantującą niezależną kontrolę nad uzyskiwaniem przez organy ścigania danych powiązanych z adresem IP. Tym samym, zdaniem Trybunału, przepisy obowiązujące w chwili zaistnienia ingerencji w prawo do prywatności skarżącego były niejasne i nieprzewidywalne, a także nie zawierały wystarczających gwarancji przed arbitralnością ingerencji. Ingerencja w prawo skarżącego z art. 8 Konwencji nie była zatem "przewidziana w ustawie", w rozumieniu Konwencji, skutkując naruszeniem art. 8.
Polskie prawo karne a dane o numerze IP komputera
W prawie polskim procedura pozyskiwania danych dotyczących subskrybenta adresu IP komputera dotąd budzi wiele wątpliwości. Brak jest w polskim kodeksie postępowania karnego szczegółowych przepisów regulujących kontrolę pozyskiwania przez organy ścigania danych elektronicznych osoby. Postanowienia art. 241 kodeksu postępowania karnego przewidują jedynie odpowiednie stosowanie przepisów rozdziału 26 k.p.k. o kontroli i utrwalania rozmów "do kontroli oraz do utrwalania przy użyciu środków technicznych treści innych rozmów lub przekazów informacji, w tym korespondencji przesyłanej pocztą elektroniczną", natomiast art. 236a k.p.k. przewiduje stosowanie przepisów rozdziału 25 k.p.k. o zatrzymaniu rzeczy i przeszukaniu do "do dysponenta i użytkownika urządzenia zawierającego dane informatyczne lub systemu informatycznego". Omawiany wyrok może stanowić zatem cenną wskazówkę interpretacyjną dla pozyskiwania przez organy ścigania informacji o użytkownikach konkretnych numerów IP komputera. Z wyroku Trybunału jednoznacznie wynika, iż informacja taka wchodzi w zakres ochrony prawa do prywatności z art. 8 Konwencji o prawach człowieka, a podstawową gwarancją przeciwko nadużyciom ze strony organów ścigania będzie uzyskanie nakazu sądowego dla pozyskania takich danych.
Benedik przeciwko Słowenii - wyrok ETPC z dnia 24 kwietnia 2018 r., skarga nr 62357/14.
-----------------------------
* Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu.