W swojej decyzji Sąd Okręgowy w Monachium Orzeczenie z 20.01.2022 r. orzekł, że ujawnienie dynamicznego adresu IP firmie Google podczas korzystania z Google Fonts bez zgody zainteresowanego uzasadnia żądanie odszkodowania (w tym przypadku w wysokości 100 euro). Uzasadniony interes nie był tu wystarczający.

Fakty

Pozwana prowadzi stronę internetową. Na tej stronie internetowej używała czcionek Google w taki sposób, że adresy IP osób odwiedzających stronę internetową były przekazywane do Google przy każdym wywołaniu strony internetowej. Nie uzyskano zgody odwiedzającego na to przekazywanie. Ponadto korzystanie z Google Fonts jest możliwe również bez ujawniania Google adresu IP, ponieważ pozwana dostosowała w międzyczasie swoją stronę internetową.

Powód jest jednym z poszkodowanych użytkowników strony internetowej, którego adres IP był wielokrotnie przekazywany do Google poprzez odwiedzanie strony internetowej. W związku z tym wniósł on pozew o nakazanie zaprzestania szkodliwych praktyk oraz o odszkodowanie.

Werdykt

Sąd Okręgowy w Monachium ostatecznie nakazał pozwanemu zaprzestanie, udzielenie informacji i zapłatę Odszkodowania (art. 82 GDPR) powodowi. W przypadku zgłoszenia sprawy, w której pozwany będzie sprzeciwiał się nakazowi, sąd nałoży karę administracyjną w wysokości do 250 000 euro. Odszkodowanie należne powodowi zostało ustalone na 100 euro plus odsetki.

W wyroku stwierdzono naruszenie ogólnego dobra osobistego w postaci prawa do informacyjnego samookreślenia. W tym kontekście sąd musiał również zbadać pewne kwestie istotne z punktu widzenia prawa ochrony danych osobowych.

Dynamiczny adres IP jako dane osobowe

Operator strony internetowej zarejestrował i ujawnił dynamiczny adres IP każdego odwiedzającego. Zdaniem sądu ten dynamiczny adres IP może być wykorzystany "z pomocą osób trzecich, a mianowicie właściwego organu i dostawcy dostępu do Internetu, w celu ustalenia osoby, której dotyczy". Sąd ostatecznie oparł swoją decyzję na tej abstrakcyjnej możliwości identyfikacji osoby. To, czy operator strony internetowej lub Google mieli konkretną możliwość rzeczywistego ustalenia osoby kryjącej się za adresem IP, nie miało znaczenia.

W związku z tym dla operatora strony internetowej są to dane osobowe w rozumieniu art. 4 nr 1 DSGVO.

Uzasadnienie przetwarzania danych osobowych

Zgoda osoby odwiedzającej stronę internetową zgodnie z art. 6 I lit. a DSGVO nie została udzielona.

Można by również rozważyć uzasadniony interes operatora strony internetowej w rozumieniu art. 6 I lit. f DSGVO. Ponieważ jednak z Google Fonts można korzystać także bez połączenia z serwerem Google przy każdym wywołaniu strony internetowej, sąd odrzuca takie rozwiązanie.

Obowiązki osoby odwiedzającej stronę internetową?

Sąd zajmował się również kwestią tego, czy sam powód jako osoba odwiedzająca stronę internetową powinien był zaszyfrować swój adres IP przed wizytą (np. poprzez VPN). W tym kontekście sąd stwierdził, że celem prawa ochrony danych osobowych jest właśnie ochrona "osób fizycznych przed ingerencją w przetwarzanie ich danych osobowych". Zobowiązywanie osoby, której dane dotyczą w taki sposób, byłoby po prostu odwróceniem celu prawa ochrony danych osobowych.

Określenie szkody zgodnie z art. 82 I GDPR

Sąd powołał się na motyw 146 p. 3 GDPR. 3 GDPR, sąd zastosował szeroką interpretację pojęcia szkody. Przy ustalaniu wysokości szkody należało wziąć pod uwagę cele sankcji i prewencji.

Sąd nie musiał zajmować stanowiska wobec problemu progu istotności w odniesieniu do art. 82 GDPR, gdyż w przedmiotowej sprawie adres IP był przekazywany kilkakrotnie, a zatem doszło do znacznej utraty kontroli przez powoda. Wzięto również pod uwagę, że Google jest firmą amerykańską, która nie może zagwarantować tam odpowiedniego poziomu ochrony danych.

Kwota odszkodowania (100 euro) została ustalona w zależności od wagi i czasu trwania naruszenia.

Wniosek

Naruszenia ochrony danych nie zawsze są oczywiste w praktyce. Każde ujawnienie adresu IP osób odwiedzających stronę internetową stanowi przetwarzanie danych osobowych, które musi być uzasadnione.

W związku z powszechnym stosowaniem Funduszy Google, ogromna liczba stron internetowych jest dotknięta tą luką w ochronie danych.

Pozwól, aby nasi eksperci pokazali Ci, jak sprawić, aby Twoja strona internetowa i inne usługi były zgodne z ochroną danych!

DSB buchen
pl_PLPolski