Lexforum.cz - Michal Krajčírovič: K právu a povinnosti provozovatele webových stránek shromažďovat IP adresy uživatelů

Úvodem se hodí alespoň zjednodušeně představit, co vlastně je to IP adresa a co představuje.

Velmi častým omylem, resp. nepřesným zjednodušením, je představa, že IP adresu (zejména jde-li o IP adresy verze 4, tedy stále výrazně nejrozšířenější) má každý počítač a zařízení, a že lze druhou stranou podle IP adresy identifikovat konkrétní zařízení či uživatele.

Pro pochopení je třeba rozlišit tzv. soukromé (privátní) a veřejné IP adresy (anglicky private/public addresses).

Soukromé IP adresy jsou takové, které jsou přidělovány jednotlivým zařízením uvnitř sítě, a jsou užívány (uživatelné) právě a jen v rámci dané sítě. V rámci dané sítě pak jsou vždy unikátní. Pod pojmem „síť“ se pak nejčastěji setkáme např. s jednou domácností, kanceláří, v případě některých poskytovatelů internetu ale i větším segmentem jeho sítě – např. ulicí či dokonce částí města, obcí.

Tyto soukromé IP adresy nejsou navenek – za hranicí sítě – viditelné, zjistitelné, ani známé komukoli dalšímu.

Navenek totiž síť, či často skupina sítí, vystupuje pod veřejnou IP adresou. Těch je omezené množství a v Evropě v roce 2019 „došly“ (blíže viz zde). Použití pojmu „došly“ je zde velmi zjednodušené, ve skutečnosti se jím myslí, že příslušným registrem (v Evropě RIPE NCC) byl přidělen poslední subnet (blok 256 IP adres), který byl k dispozici.

Řešení této situace („došlých“ veřejných adres) v praxi vede k větší agregaci sítí – tedy že se za jednou veřejnou IP adresou skrývá více a více sítí. Konkrétní způsob a rozsah agregace poskytovatelé internetu zpravidla nesdělují – zatímco někteří poskytovatelé stále přidělují veřejnou IP adresu pro každého klienta (např. domácnost, nikoli zařízení v ní – ty všechny navenek vystupují pod jednou veřejnou IP adresou), jiní, zejména ti větší, jsou pak nuceni k větší agregaci přípojek za jednu IP. Například významná plzeňská síť PilsFree užívá běžně jednotky veřejných IP pro celé sídliště.

V praxi je pak extrémně nepravděpodobné, že by pro koncové zařízení uživatele (např. domácí počítač) byla přímo přiřazena veřejná IP adresa, kromě jejich nedostatku by to bylo velmi nebezpečné – počítač by byl z celého internetu volně přístupný, vystaven útokům apod. – těmito riziky pak zařízení v privátní síti vystavena nejsou.

Jde-li o zařízení přímo užívající veřejné IP, pak se jedná zpravidla o servery, neboť u nich je žádoucí, aby k nim byl dostupný přístup z jakékoli sítě na světě (např. přístup na webové stránky, e-mailový server apod.).

Z povahy veřejných a soukromých IP adres je pak zřejmé, že „protistrana“ – např. webová stránka, na kterou uživatel přistoupí, má možnost „vidět“ pouze veřejnou IP adresu, za níž je zařízení uživatele připojeno, tedy za touto IP adresou zpravidla „skrývá“ více zařízení, počínaje např. jednou domácností, konče např. celým sídlištěm či městem.

IP adresa tak bez dalšího nemůže vést ke ztotožnění konkrétního zařízení, tím spíše ne jeho uživatele.

Detailněji k problematice veřejných a soukromých IP adres viz např. zde.

K právu a povinnosti provozovatelů webových stránek ukládat IP adresy uživatelů

K otázce povinnosti uchovávání IP adresy bez souhlasu uživatele

Předně je velmi častým omylem nezohlednění, či zaměnění regulace přenosu a regulace obsahu.

Regulace přenosu je pojem vztahující se k poskytovatelům připojení k internetu, regulace obsahu je pak pojem dopadající naopak na provozovatele webových stránek.

Na provozovatele webových stránek zpravidla dopadá právní úprava zákona č. 480/2004 Sb., o službách informační povinnosti, naopak na něj nedopadá právní úprava zákona č. 127/2005 Sb., o elektronických komunikacích.

Vzájemný vztah těchto právních úprav vyjadřuje zákon o elektronických komunikacích ve svém ust. § 1 odst. 2:

(2) Tento zákon se nevztahuje na obsah služeb poskytovaných prostřednictvím sítí elektronických komunikací, jako je obsah rozhlasového a televizního vysílání, finančních služeb a některých služeb informační společnosti, není-li dále stanoveno jinak. Oddělením regulace přenosu od regulace obsahu nejsou dotčeny vazby, které mezi nimi existují, zejména pro zaručení mediální plurality, kulturní rozmanitosti a ochrany spotřebitele. (viz https://krajta.slv.cz/2005/127/par_1-odst_2).

Proto na provozovatele webových stránek výslovně nedopadají povinnosti vztahující se výlučně k poskytovatelům připojení k internetu, zejména vymezené v ust. § 97 odst. 3 zákona o elektronických komunikací, které stanovují povinnost uchovávání povinnost uchovávat po dobu 6 měsíců provozní a lokalizační údaje.

Obdobné závěry pak zaujímá i komentářová literatura:

Novák, J. in CHUDOMELOVÁ, Zuzana. Zákon o elektronických komunikacích: komentář. Komentáře (Wolters Kluwer ČR). Praha: Wolters Kluwer, 2016. ISBN 978-80-7552-100-2:

Negativní vymezení předmětu právní úpravy zákona se týká tzv. služeb obsahu, které jsou šířeny prostřednictvím sítí a služeb elektronických komunikací. Jedná se například o obsah rozhlasového a televizního vysílání, finanční služby, služby informační společnosti. Důvodová zpráva výslovně uvádí, že "v souladu s právem ES je obecně vyloučena z působnosti zákona obsahová stránka poskytovaných služeb např. v podobě textu, obrazu, zvuku nebo videa, tj. zejména rozhlasové a televizní vysílání, dále poskytování obsahu v síti internet apod.".

Shodně též VANÍČEK, Zdeněk. Zákon o elektronických komunikacích: komentář. 2. aktualizované a doplněné vydání. Komentář (Linde). Praha: Linde Praha, akciová společnost, 2014. ISBN 978-80-7201-944-1:

Zákon stanoví v úvodním předmětu úpravy důležitou zásadu - oddělení regulace přenosu od regulace obsahu. […] Především je nutné rozlišovat mezi (a) obsahem jako přenášenou informací prostřednictvím sítě elektronických komunikací a (b) obsahem, který někdo vytvoří a šíří prostřednictvím sítě elektronických komunikací ke koncovému uživateli. […]

Podle základní části předpisového rámce elektronických komunikací, jíž je rámcová směrnice [Směrnice Evropského parlamentu a Rady 2002/21/ES ze dne 7. března 2002 o společném předpisovém rámci pro sítě a služby elektronických komunikací (rámcová směrnice), OJ L 108, 24.4.2002, str. 33-50 ve znění Směrnice Evropského parlamentu a Rady 2009/140/ES ze dne 25. listopadu 2009, kterou se mění směrnice 2002/21/ES o společném předpisovém rámci pro sítě a služby elektronických komunikací, směrnice 2002/19/ES o přístupu k sítím elektronických komunikací a přiřazeným zařízením a o jejich vzájemném propojení a směrnice 2002/20/ES o oprávnění pro sítě a služby elektronických komunikací] je nezbytné oddělit regulaci přenosu od regulace obsahu. Tento rámec se proto nezabývá obsahem služeb, který je poskytován prostřednictvím sítí elektronických komunikací jako služba elektronických komunikací; jde o obsah rozhlasového a televizního vysílání, finanční služby a některé služby informační společnosti. Proto jím nejsou dotčena opatření týkající se takových služeb přijatá na úrovni Společenství nebo na vnitrostátní úrovni v souladu s právem Společenství, s cílem podporovat kulturní a jazykovou rozmanitost a zajistit ochranu mediální plurality.

K právu uchovávání IP adresy bez souhlasu uživatele

Pro otázky uchovávání IP adresy je třeba se předně zabývat otázkou, zdali je možno ji považovat za osobní údaj.

K této otázce se vyjádřil Soudní dvůr EU ve svém rozhodnutí C-582/14 - Breyer proti Spolkové republice Německo ze dne 19. 10. 2016. Spor se týkal otázky, zda dynamické IP adresy představují osobní údaje ve smyslu směrnice 95/46/ES o ochraně osobních údajů.

Soudní dvůr uzavřel, že dynamická IP adresa představuje osobní údaj ve smyslu směrnice 95/46/ES i pro provozovatele webových stránek, pokud má k dispozici právní prostředky, které mu umožňují identifikovat dotyčnou osobu pomocí dodatečných informací, jimiž disponuje provozovatel služby.

Pro přehlednost se hodí poznamenat, že „dynamická IP adresa“ je IP adresa, která je veřejná (jak rozebráno výše), ale v čase dochází k jejím změnám ze strany poskytovatele – uživatel ji tedy nemá trvale, ale v čase se mění; jedná se tedy o veřejnou IP adresu.

Dalším významným rozhodnutím je rozhodnutí Soudního dvora EU ve věci C-673/17 - Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV proti Planet49 GmbH ze dne 1. 10. 2019.

V tomto rozhodnutí soud uvádí zejména následující závěry:

IP adresy jako osobní údaje: Soud v rozhodnutí potvrzuje, že IP adresy (zejména statické) mohou být považovány za osobní údaje podle GDPR, jelikož umožňují identifikaci uživatele.
Požadavek na platný souhlas: Pro uchovávání IP adres, podobně jako pro cookies, je vyžadován aktivní a informovaný souhlas uživatele. Předem zaškrtnutá políčka nepředstavují platný souhlas.
Transparentnost: Správce údajů musí jasně a srozumitelně informovat uživatele o tom, že shromažďuje a zpracovává jejich IP adresy, o době uchovávání těchto údajů a o tom, zda jsou sdíleny se třetími stranami.
Oddělený souhlas: Souhlas s uchováváním IP adres by měl být vyžadován odděleně od jiných souhlasů, například od souhlasu s obchodními podmínkami.

Za aplikačně významné je třeba vnímat i rozhodnutí Rakouského úřadu pro ochranu osobních údajů (Österreichische Datenschutzbehörde (DSB)) č. DSB-D122.931/0003-DSB/2018 ze dne 30. 11. 2018, který lze shrnout takto:

Úřad uvádí, že IP adresy představují osobní údaje ve smyslu čl. 4 odst. 1 GDPR.
Úřad uvádí, že pouhé uvedení zpracování IP adres v zásadách ochrany osobních údajů není dostatečné pro splnění požadavků GDPR.
Zpracování nebylo možné opřít o oprávněný zájem, protože nebyl proveden řádný test proporcionality a nebyly zváženy méně invazivní metody (jako anonymizace IP adres).
Úřad zdůraznil, že pro sběr analytických údajů, včetně IP adres, je v daném kontextu nutný výslovný souhlas uživatelů, který splňuje kritéria čl. 4 odst. 11 GDPR.

Rekapitulace a závěr

Z citovaných rozhodnutí lze proto učinit závěr, že sběr a uchovávání IP adres bez výslovného, explicitního souhlasu uživatele je v rozporu s pravidly založenými nařízením GDPR a ustálenou rozhodovací praxí SDEU:

IP adresy jako osobní údaj

IP adresa je osobním údajem (srov. rozhodnutí SDEU C-582/14 Breyer), protože umožňuje přinejmenším nepřímou identifikaci návštěvníka webu.
Jako osobní údaj podléhá plné ochraně podle GDPR a její zpracování musí splňovat všechny zásady podle čl. 5 nařízení GDPR.

Princip minimalizace údajů

Článek 5(1)(c) nařízení GDPR vyžaduje, aby zpracování osobních údajů bylo "přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu".
Pokud lze provozovat webové stránky bez sběru IP adres, jejich sběr není nezbytný a porušuje tento princip.

Omezení právního základu "oprávněného zájmu"

Ačkoli rozhodnutí Breyer připouští zpracování IP adres na základě oprávněného zájmu, tento zájem musí být:

Skutečný a aktuální (ne hypotetický, např. kdyby byla IP adresa požadována v budoucnu orgány veřejné moci, pro budoucí analytické účely apod.)
Nezbytný (ne pouze pohodlný)
Převažující nad právy a svobodami subjektů údajů

V rozhodnutí SDEU ve věci C-13/16 Rīgas satiksme pak soud zdůraznil, že je nutné provést skutečné "vyvážení protichůdných práv a zájmů" v každém jednotlivém případě.

Důkazní břemeno stran oprávněného zájmu jde přitom zásadně k tíži toho, jež uchovávání osobních údajů činí.