Language of document : ECLI:EU:C:2016:779

РЕШЕНИЕ НА СЪДА (втори състав)

19 октомври 2016 година(*)

„Преюдициално запитване — Обработване на лични данни — Директива 95/46/ЕО — Член 2, буква а) — Член 7, буква е) — Понятие за лични данни — Адреси по интернет протокол — Съхраняване от доставчик на онлайн медийни услуги — Национално законодателство, което не допуска отчитане на законния интерес, преследван от администратора на лични данни“

По дело C‑582/14

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Bundesgerichtshof (Федерален върховен съд, Германия) с акт от 28 октомври 2014 г., постъпил в Съда на 17 декември 2014 г., в рамките на производство по дело

Patrick Breyer

срещу

Bundesrepublik Deutschland,

СЪДЪТ (втори състав),

състоящ се от: M. Ilešič, председател на състава, A. Prechal, A. Rosas (докладчик), C. Toader и E. Jarašiūnas, съдии,

генерален адвокат: M. Campos Sánchez-Bordona,

секретар: V. Giacobbo-Peyronnel, администратор,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 25 февруари 2016 г.,

като има предвид становищата, представени:

–        за M. Breyer, от M. Starostik, Rechtsanwalt,

–        за германското правителство, от A. Lippstreu и T. Henze, в качеството на представители,

–        за австрийското правителство, от G. Eberhard, в качеството на представител,

–        за португалското правителство, от L. Inez Fernandes и C. Vieira Guerra, в качеството на представители,

–        за Европейската комисия, от P. J. O. Van Nuffel, H. Krämer, P. Costa de Oliveira и J. Vondung, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 12 май 2016 г.,

постанови настоящото

Решение

1        Преюдициалното запитване се отнася до тълкуването на член 2, буква а) и на член 7, буква е) от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10).

2        Запитването е отправено в рамките на спор между г‑н Patrick Breyer и Bundesrepublik Deutschland (Федерална република Германия) по повод на регистрирането и съхраняването от последната на адреса по интернет протокол (наричан по-нататък „IP адрес“) на г‑н Breyer, когато той е ползвал няколко интернет сайта на германските федерални служби.

 Правна уредба

 Правото на Съюза

3        Съображение 26 от Директива 95/46 гласи следното:

„като имат предвид, че принципите на защита трябва да се прилагат за всяка информация, отнасяща се до идентифицирано лице или подлежащо на идентификация лице; като имат предвид, че за да се определи дали едно лице подлежи на идентификация, следва да се разглежда съвкупността от всички средства, които биха могли да бъдат използвани разумно от администратора или от друго лице с цел идентифицирането на даденото лице; като имат предвид, че принципите на защита не се отнасят до данни, които са направени анонимни по начин, който прави невъзможно идентифицирането на съответното физическо лице; като имат предвид, че кодексите за поведение по смисъла на член 27 могат да бъдат полезно средство за предоставяне на указания относно начините, по които данните могат да бъдат направени анонимни и да бъдат съхранени във форма, която прави невъзможно идентифицирането на съответното физическо лице“.

4        Съгласно член 1 от посочената директива:

„1.      В съответствие с настоящата директива държавите членки защищават основните права и свободи на физическите лица и в частност правото им на личен живот при обработването на лични данни.

2.      Държавите членки не могат нито да ограничават, нито да забраняват свободното движение на лични данни между държавите членки по съображения, свързани със защитата, предоставяна съгласно параграф 1“.

5        Член 2 от същата директива гласи:

„По смисъла на настоящата директива:

а)      „лични данни“ означава всяка информация, свързана с идентифицирано или подлежащо на идентификация лице („съответно физическо лице“); за подлежащо на идентифициране лице се смята това лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификационен номер или един или повече специфични признаци, отнасящи се до неговата физическа, физиологическа, психологическа, умствена, икономическа, културна или социална самоличност;

б)      „обработване на лични данни“ („обработване“) означава всяка операция или набор от операции, извършвани или не с автоматични средства, прилагани към личните данни, като събиране, запис, организиране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, актуализиране или комбиниране, блокиране, изтриване или унищожаване;

[…]

г)      „администратор“ означава физическо или юридическо лице, държавен орган, агенция или друг орган, който сам или съвместно с други определя целите и средствата на обработка на лични данни; когато целите и средствата на обработката се определят от национални или общностни законови или подзаконови разпоредби, администраторът или специфичните критерии за неговото назначаване могат да бъдат определени в националното право или в правото на Общността;

[…]

е)      „трето лице“ означава всяко физическо или юридическо лице, държавен орган, агенция или друг орган, различни от съответното физическо лице, администратора, обработващия данните и лицата, които под прякото ръководство на администратора или обработващия данните, имат право да обработват данните;

[…]“.

6        Член 3 от Директива 95/46, озаглавен „Приложно поле“, предвижда:

„1.      Настоящата директива се прилага към пълната или частична обработка на лични данни с автоматизирани средства, както и към обработката със средства, които не са автоматизирани, на лични данни, съставляващи част от файлова система, или които са предназначени да съставляват част от файлова система.

2.      Настоящата директива не се прилага за обработването на лични данни:

–      при извършване на дейности, извън приложното поле на правото на Общността, например дейностите, предвидени в дял V и дял VI от Договора за Европейския съюз, и във всички случаи при дейности по обработването на данни, отнасящи се до обществената сигурност, отбраната, държавната сигурност (включително икономическото благосъстояние на държавата, когато процесът на обработка е свързани с държавната сигурност) и при дейности на държавата в областта на наказателното право,

[…]“.

7        Член 5 от посочената директива гласи:

„Държавите членки в границите на разпоредбите на настоящата глава определят по-точно условията, при които обработването на данни е законно“.

8        Член 7 от същата директива гласи следното:

„Държавите членки предвиждат, че обработването на лични данни може да се извършва, само ако:

а)      съответното физическо лице е дало недвусмислено своето съгласие за това; или

б)      обработването е необходимо за изпълнението на договор, по който съответното физическо лице е страна, или за да се предприемат стъпки по искане на съответното физическо лице преди сключването на договора; или

в)      обработването е необходимо за спазването на правно задължение, чийто субект е администраторът; или

г)      обработването е необходимо, за да бъдат защитени жизнено важни интереси на съответното физическо лице; или

д)      обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес или при упражняване на официалните правомощия, които са предоставени на администратора или трето лице, на което се разкриват данните; или

е)      обработването е необходимо за целите на законните интереси, преследвани от администратора или от трето лице или лица, на които се разкриват данните, с изключение на случаите, когато пред тези интереси имат преимущество интереси, свързани с основните права и свободи на съответното физическо лице, които изискват защита по силата на член 1, параграф 1“.

9        Член 13, параграф 1 от Директива 95/46 гласи:

„Държавите членки могат да приемат законодателни мерки за ограничаване на обхвата на правата и задълженията, предвидени в член 6, параграф 1, член 10, член 11, параграф 1, член 12 и член 21, ако подобно ограничаване представлява необходима мярка за гарантиране на:

[…]

г)      предотвратяването, разследването, разкриването и преследването на углавни престъпления или за нарушения на етичните кодекси при регламентираните професии;

[…]“.

 Германското право

10      Член 12 от Telemediengesetz (Закон за електронните медии) от 26 февруари 2007 г. (BGBl. 2007 I, стр. 179, наричан по-нататък „TMG“) гласи:

„1)      Доставчикът на услуги може да събира и използва лични данни с цел предоставяне на достъп до електронни медии само доколкото този закон или друг нормативен акт, който изрично се отнася до електронните медии, разрешава това или ако ползвателят е дал своето съгласие.

2)      Доставчикът на услуги може да използва за други цели събраните за предоставяне на достъп до електронни медии лични данни само доколкото този закон или друг нормативен акт, който изрично се отнася до електронните медии, допуска това или ако ползвателят е дал своето съгласие.

3)      Съответните действащи разпоредби за защита на личните данни се прилагат и когато данните не се обработват автоматизирано, освен ако не е предвидено друго“.

11      Член 15 от TMG предвижда:

„1)      Доставчикът на услуги може да събира и използва лични данни на ползвател само доколкото е необходимо, за да се даде възможност за и за да се отчете ползването на електронни медии („данни за ползването“). „Данни за ползването“ са по-специално:

1.      признаците за идентифициране на ползвателя,

2.      данните за началото и края на съответното ползване, както и за неговия обхват, и

3.      данните за ползваните от ползвателя електронни медии.

2)      Доставчикът на услуги може да обедини данните за ползването на различни електронни медии от същия потребител, доколкото е необходимо за отчитането на сметките на ползвателя.

[…]

4)      Доставчикът на услуги може да използва данни за ползването след края на действието на ползване, доколкото данните са необходими за целите на отчитането на сметките на ползвателя („данни за отчитането“). Данните могат да бъдат блокирани от доставчика на услуги с цел изпълнение на съществуващи срокове за съхранение по силата на закон, устав или договор. […]“.

12      Съгласно член 3 от Bundesdatenschutzgesetz (Федерален закон за защита на данните) от 20 декември 1990 г. (BGBl. 1990 I, стр. 2954) „лични данни са конкретни сведения за личното или фактическо положение на идентифицирано или на подлежащо на идентификация физическо лице („съответно физическо лице“). […]“.

 Спорът по главното производство и преюдициалните въпроси

13      Г‑н Breyer е ползвал няколко интернет сайта на германските федерални служби. На тези сайтове, които са общодостъпни, въпросните служби предоставят актуална информация.

14      При повечето от тези сайтове всички влизания се регистрират в ежедневни файлове с цел защита от атаки и осъществяване на наказателно преследване срещу „пиратите“. След действието на ползване на въпросните сайтове в тези файлове се съхраняват наименованието на ползвания сайт или файл, въведените думи в полетата за търсене, датата и часа на ползването, прехвърленото количество данни, съобщението дали ползването е било успешно и IP адресът на компютъра, от който е осъществено ползването.

15      IP адресите са поредица от цифри, с които се обозначават свързаните с интернет компютри, за да се позволи комуникацията им чрез тази мрежа. При ползване на интернет сайт IP адресът на извикващия компютър се изпраща до сървъра, в който е запазен ползваният сайт. Тази комуникация е необходима, за да може ползваните данни да бъдат прехвърлени на правилния получател.

16      От друга страна, от акта за преюдициално запитване и от преписката, с която разполага Съдът, става ясно, че доставчиците на интернет услуги предоставят на компютрите на ползвателите на интернет „статичен“ IP адрес или „динамичен“ IP адрес, а именно IP адрес, който се променя при всяко ново свързване с интернет. За разлика от статичните IP адреси, динамичните IP адреси не позволяват да се направи връзка посредством общодостъпни файлове между даден компютър и физическото включване към мрежата, използвано от доставчика на интернет услуги.

17      Г‑н Breyer подава жалба до германските административни юрисдикции с предмет да се забрани на Федерална република Германия да съхранява лично или чрез трети лица, след действието на ползване на общодостъпните сайтове на онлайн медии на германските федерални служби, IP адреса на получаващата достъп хост система на г‑н Breyer, доколкото съхраняването не е необходимо за възстановяването на излъчването на онлайн медията в случай на смущения.

18      Тъй като в първоинстанционното производство жалбата на г‑н Breyer е отхвърлена, той обжалва решението, с което тя е отхвърлена.

19      Въззивната юрисдикция частично изменя това решение. Тя осъжда Федерална република Германия да се въздържа от съхраняване лично или чрез трети лица, след всяко действие на ползване, на IP адреса на получаващата достъп хост система на г‑н Breyer, който адрес е препратен, докато той е ползвал общодостъпните онлайн медии на германските федерални служби, когато адресът е съхранен заедно с датата на действието на ползване, към която то се отнася, и когато г‑н Breyer е разкрил самоличността си при ползването, включително под формата на електронен адрес, посочващ самоличността му, доколкото съхраняването не е необходимо за възстановяване на излъчването на електронната медия в случай на смущения.

20      Според въззивната юрисдикция динамичен IP адрес заедно с датата на действието на ползване, към която то се отнася, представляват лични данни, когато съответният ползвател на интернет сайт е разкрил самоличността си при ползването, защото администраторът на сайта може да идентифицира ползвателя, като засече името му с IP адреса на компютъра му.

21      Посочената въззивна юрисдикция приема, че въпреки това жалбата на г‑н Breyer не следва да се уважи в останалата ѝ част. Всъщност в хипотезата, в която г‑н Breyer не посочва самоличността си при ползването, само доставчикът на интернет услуги може да направи връзка между IP адреса и идентифициран абонат. За разлика от това, що се отнася до Федерална република Германия в качеството ѝ на доставчик на онлайн медийни услуги, IP адресите не са лични данни, дори заедно с датата на действието на ползване, към която то се отнася, тъй като ползвателят на съответните интернет сайтове не подлежи на идентификация от тази държава членка.

22      Както г‑н Breyer, така и Федерална република Германия обжалват решението на въззивната юрисдикция пред Bundesgerichtshof (Федерален върховен съд, Германия). Г‑н Breyer настоява искането му за забрана да бъде уважено в неговата цялост. Федерална република Германия настоява това искане да бъде отхвърлено.

23      Запитващата юрисдикция уточнява, че динамичните IP адреси на компютъра на г‑н Breyer, съхранени от Федерална република Германия в качеството ѝ на доставчик на онлайн медийни услуги, представляват поне във връзка с другите данни, съхранени в ежедневните файлове, конкретни сведения за фактическото положение на г‑н Breyer, тъй като предоставят указания за ползваните от него няколко сайта или файла в интернет на определени дати.

24      Въпреки това според тази юрисдикция така съхранените данни не позволяват да се установи пряко самоличността на г‑н Breyer. Всъщност администраторите на разглежданите в главното производство интернет сайтове могат да идентифицират г‑н Breyer само ако доставчикът на интернет услуги им предаде информация относно самоличността на този ползвател. Квалифицирането на данните като „лични“ следователно според тази юрисдикция зависи от това дали г‑н Breyer подлежи на идентификация.

25      Bundesgerichtshof (Федерален върховен съд) изтъква противоречивата правна литература по въпроса дали, за да се определи подлежи ли на идентификация дадено лице, следва да се направи позоваване на „обективен“ или на „относителен“ критерий. Прилагането на „обективен“ критерий има за последица, че в края на ползване на съответните интернет сайтове данни като разглежданите в главното производство IP адреси биха могли да се приемат за такива с личен характер, въпреки че само трето лице е в състояние да определи самоличността на съответното лице, като в настоящия случай това трето лице е доставчикът на интернет услуги на г‑н Breyer, който е съхранил допълнителни данни, позволяващи идентифицирането му посредством посочените IP адреси. Според „относителния“ критерий такива данни биха могли да се приемат за имащи личен характер спрямо даден орган, какъвто е доставчикът на интернет услуги на г‑н Breyer, тъй като позволяват точното идентифициране на ползвателя (вж. в този смисъл решение от 24 ноември 2011 г., Scarlet Extended, C‑70/10, EU:C:2011:771, т. 51), но като непроявяващи такъв характер спрямо друг орган, какъвто е администраторът на интернет сайтовете, ползвани от г‑н Breyer, при положение че в хипотезата, в която г‑н Breyer не е разкрил самоличността си при ползването на тези сайтове, администраторът не разполага с информацията, която е необходима за идентифицирането му, без да трябва да положи прекомерни усилия.

26      В хипотезата, в която динамичните IP адреси на компютъра на г‑н Breyer следва да се приемат заедно с датата на действието на ползване, към която то се отнася, като данни с личен характер, запитващата юрисдикция иска да се установи дали съхраняването на тези IP адреси в края на това действие е разрешено по силата на член 7, буква е) от същата директива.

27      В това отношение Bundesgerichtshof (Федерален върховен съд) уточнява, от една страна, че доставчиците на онлайн медийни услуги могат съгласно член 15, параграф 1 от TMG да събират и използват лични данни на ползвател само доколкото това е необходимо, за да се даде възможност и се отчете използването на тези медии. От друга страна, запитващата юрисдикция посочва, че според Федерална република Германия съхраняването на въпросните данни е необходимо, за да се гарантира сигурността и продължителността на доброто функциониране на сайтовете на онлайн медийните услуги, които са общодостъпни, позволявайки по-специално да се разпознаят информационните атаки, наречени „Denial-of-Service“, които целят да се парализира функционирането на тези сайтове чрез целенасочено и координирано претоварване на определени интернет сървъри с голям брой запитвания, и за да се води борба срещу тези атаки.

28      Според запитващата юрисдикция, ако и доколкото е необходимо доставчикът на онлайн медийни услуги да предприеме мерки за борба срещу подобни атаки, тези мерки биха могли да се приемат за необходими, за да се „даде възможност за […] ползването на електронни медии“ съгласно член 15 от TMG. По-голямата част от представителите на доктрината обаче защитават гледната точка, че от една страна, събирането и ползването на личните данни на ползвател на интернет сайт е разрешено само за да позволи конкретно ползване на този сайт, а от друга страна, тези данни трябва да се заличат след приключване на действието на ползване, ако не се изискват за целите на отчитането. Такъв ограничителен прочит на член 15, параграф 1 от TMG обаче противоречи на това да се разреши съхраняването на IP адресите, за да се гарантира най-общо сигурността и продължителността на доброто функциониране на електронните медии.

29      Запитващата юрисдикция поставя въпроса дали последното тълкуване, което е препоръчано от въззивната юрисдикция, съответства на член 7, буква е) от Директива 95/46 с оглед по-специално на критериите, изведени от Съда в точка 29 и сл. от решението от 24 ноември 2011 г., ASNEF и FECEMD (C‑468/10 и C‑469/10, EU:C:2011:777).

30      При тези условия Bundesgerichtshof (Федерален върховен съд) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      Трябва ли член 2, буква а) от Директива 95/46 да се тълкува в смисъл, че адрес по интернет протокол (IP адрес), който се запазва от доставчик на [онлайн медийни] услуги при влизане в неговия интернет сайт, представлява за него лични данни и когато трето лице (в случая — доставчикът на услугата за достъп) разполага с допълнителната информация, необходима за идентифицирането на съответното лице?

2)      Допуска ли член 7, буква е) от [тази директива] разпоредба от националното право, съгласно която доставчикът на [онлайн медийни] услуги може да събира и използва лични данни за ползвател без неговото съгласие само доколкото е необходимо, за да се даде възможност и да се отчете конкретното ползване на електронна медия от съответния ползвател, и съгласно която целта за осигуряване на общата функционална способност на електронната медия не може да оправдае използването на данните след края на съответното действие на ползване?“.

 По преюдициалните въпроси

 По първия въпрос

31      С първия си въпрос по същество запитващата юрисдикция иска да се установи дали член 2, буква а) от Директива 95/46 трябва да се тълкува в смисъл, че динамичен IP адрес, запазен от доставчик на онлайн медийни услуги по повод на ползването от дадено лице на интернет сайт, до който този доставчик предоставя достъп, представлява по отношение на въпросния доставчик лични данни по смисъла на тази разпоредба, когато само трето лице, в случая доставчикът на интернет услуги на това лице, разполага с допълнителната информация, необходима за да бъде то идентифицирано.

32      Според текста на посочената разпоредба под „лични данни“ се разбира „всяка информация, свързана с идентифицирано или подлежащо на идентификация лице („съответно физическо лице“)“. По силата на тази разпоредба за подлежащо на идентифициране лице се смята това лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификационен номер или един или повече специфични признаци, отнасящи се до неговата физическа, физиологическа, психологическа, умствена, икономическа, културна или социална самоличност.

33      В началото следва да се посочи, че в точка 51 от решение от 24 ноември 2011 г., Scarlet Extended (C‑70/10, EU:C:2011:771), което се отнася по-специално до тълкуването на същата директива, Съдът е приел по същество, че IP адресите на ползвателите на интернет са защитени лични данни, тъй като позволяват точното идентифициране на тези ползватели.

34      Това твърдение на Съда обаче се отнася до хипотезата, в която събирането и идентифицирането на IP адресите на ползвателите на интернет се извършва от доставчиците на интернет услуги.

35      В настоящия случай обаче първият въпрос се отнася до хипотезата, в която доставчикът на онлайн медийни услуги, а именно Федерална република Германия, запазва IP адресите на ползвателите на интернет сайт, до който този доставчик на услуги предоставя достъп, без да разполага с допълнителната информация, необходима за да бъдат тези ползватели идентифицирани.

36      Освен това безспорно е, че IP адресите, на които се позовава запитващата юрисдикция, са „динамични“ IP адреси, а именно временни такива, които се предоставят при всяко свързване с интернет, като се заменят при последващо свързване, а не „статични“ IP адреси, които не се променят и позволяват постоянното идентифициране на устройството, свързано с мрежата.

37      По този начин първият въпрос, поставен от запитващата юрисдикция, се основава на предпоставката, че от една страна, данните, състоящи се в динамичен IP адрес, както и в датата и часа на действието на ползване на интернет сайт от този IP адрес, запазени от доставчик на онлайн медийни услуги, не предоставят сами по себе си на този доставчик възможността да идентифицира ползвателя, който е ползвал този интернет сайт, а от друга страна, доставчикът на интернет услуги разполага с допълнителна информация, която, ако бъде комбинирана с този IP адрес, би позволила ползвателят да бъде идентифициран.

38      В това отношение най-напред следва да се посочи, че е безспорно, че динамичен IP адрес не представлява информация относно „идентифицирано физическо лице“, доколкото такъв адрес не разкрива пряко самоличността на физическото лице, собственик на компютъра, от който е ползван интернет сайт, нито тази на друго лице, което би могло да използва този компютър.

39      По-нататък, за да се определи дали динамични IP адреси, в изложената в точка 37 от настоящото решение хипотеза, представляват лични данни по смисъла на член 2, буква а) от Директива 96/45 спрямо доставчик на онлайн медийни услуги, следва да се провери дали подобен IP адрес, запазен от такъв доставчик, може да бъде квалифициран като информация относно „подлежащо на идентифициране физическо лице“, когато допълнителната информация, необходима за да бъде идентифициран ползвателят на интернет сайт, до който този доставчик на услуги предоставя достъп, се притежава от доставчика на интернет услуги на този ползвател.

40      В това отношение от текста на член 2, буква а) от Директива 95/46 става ясно, че за подлежащо на идентифициране лице се смята такова, което може да бъде идентифицирано не само пряко, но и непряко.

41      Използването от законодателя на Съюза на думата „непряко“ означава, че за да квалифицира дадена информация като лични данни, не е необходимо информацията да позволява сама по себе си да се идентифицира съответното лице.

42      Освен това в съображение 26 от Директива 95/46 е посочено, че за да се определи дали едно лице подлежи на идентификация, следва да се разгледа съвкупността от всички средства, които биха могли да бъдат използвани разумно от администратора или от друго лице с цел идентифицирането на даденото лице.

43      Доколкото това съображение се позовава на средствата, които биха могли да бъдат използвани разумно както от администратора, така и от „друго лице“, текстът му предполага, че за да могат определени данни да се считат за „лични“ по смисъла на член 2, буква а) от въпросната директива, не се изисква цялата информация, която позволява идентифицирането на съответното лице, да трябва да се намира в ръцете на едно-единствено лице.

44      Фактът, че допълнителната информация, необходима за идентифицирането на ползвател на интернет сайт, се притежава не от доставчика на онлайн медийни услуги, а от доставчика на интернет услуги на този ползвател, не изглежда да е от естество да изключи възможността динамичните IP адреси, запазени от доставчик на онлайн медийни услуги, да представляват за него лични данни по смисъла на член 2, буква а) от Директива 95/46.

45      Следва обаче да се определи дали възможността за комбиниране на динамичен IP адрес с въпросната допълнителна информация, притежавана от доставчика на интернет услуги, представлява средство, което би могло да бъде използвано разумно за идентифицирането на съответното лице.

46      Както по същество посочва генералният адвокат в точка 68 от заключението си, случаят не би бил такъв, ако идентифицираното на съответното лице е забранено от закона или фактически неизпълнимо, например тъй като това би означавало несъразмерно усилие на време, разходи и труд, така че вероятността от идентифициране в действителност изглежда незначителна.

47      Ако запитващата юрисдикция уточнява в решението си за отправяне на преюдициално запитване, че германското право не позволява на доставчика на интернет услуги да предаде директно на доставчика на онлайн медийни услуги допълнителната информация, необходима за идентифицирането на съответното лице, изглежда все пак, при условие че запитващата юрисдикция направи съответните проверки в това отношение, че съществуват законови пътища, които позволяват на доставчика на онлайн медийни услуги да се обърне, по-специално в случай на кибератаки, към компетентния орган, за да предприеме той необходимите постъпки за получаване на информацията от доставчика на интернет услуги и за започване на наказателно преследване.

48      По този начин изглежда, че доставчикът на онлайн медийни услуги разполага със средства, които биха могли да бъдат използвани разумно, за да се идентифицира с помощта на други лица, а именно компетентният орган и доставчикът на интернет услуги, съответното лице въз основа на съхранените IP адреси.

49      С оглед на всички изложени по-горе съображения на първия въпрос следва да се отговори, че член 2, буква а) от Директива 95/46 трябва да се тълкува в смисъл, че динамичен IP адрес, запазен от доставчик на онлайн медийни услуги по повод на ползването от дадено лице на интернет сайт, до който този доставчик предоставя достъп, представлява по отношение на въпросния доставчик лични данни по смисъла на тази разпоредба, когато същият разполага със законни средства, позволяващи му да идентифицира съответното лице благодарение на допълнителната информация, с която разполага доставчикът на интернет услуги на това лице.

 По втория въпрос

50      С втория си въпрос по същество запитващата юрисдикция иска да се установи дали член 7, буква е) от Директива 95/46 трябва да се тълкува в смисъл, че не допуска правна уредба на държава членка, по силата на която доставчик на онлайн медийни услуги може да събира и използва лични данни за ползвател на тези услуги при липса на съгласие от негова страна само доколкото събирането и използването са необходими, за да се даде възможност и да се отчете конкретното ползване на посочените услуги от ползвателя, без целта за осигуряване на общата функционална способност на тези услуги да може да оправдае използването на данните след действие на ползването им.

51      Преди да се отговори на този въпрос, следва да се определи дали разглежданото в главното производство обработване на лични данни, а именно на динамичните IP адреси на ползвателите на няколко интернет сайта на германски федерални служби, не е изключено от приложното поле на Директива 95/46, като се приложи член 3, параграф 2, първо тире от нея, според който посочената директива не се прилага към обработването на лични данни, които имат за предмет по-специално дейности на държавата в областта на наказателното право.

52      В това отношение следва да се припомни, че дейностите, посочени като пример в тази разпоредба, във всички случаи са присъщи на държавите или на държавните органи дейности, които са извън областите на дейност на частноправните субекти (вж. решения от 6 ноември 2003 г., Lindqvist, C‑101/01, EU:C:2003:596, т. 43 и от 16 декември 2008 г., Satakunnan Markkinapörssi и Satamedia, C‑73/07, EU:C:2008:727, т. 41).

53      В делото по главното производство обаче, при условие че запитващата юрисдикция направи съответните проверки в това отношение, изглежда, че германските федерални служби, които предоставят онлайн медийни услуги и които са отговорни за обработването на динамичните IP адреси, действат, въпреки статута си на публични органи, в качеството на частноправни субекти и извън обхвата на дейностите на държавата в областта на наказателното право.

54      Ето защо следва да се определи дали правна уредба на държава членка като разглежданата в главното производство е съвместима с член 7, буква е) от Директива 95/46.

55      За тази цел е важно да се припомни, че разглежданата в главното производство правна уредба, разтълкувана в ограничителния смисъл, посочен от запитващата юрисдикция, разрешава събирането и използването на лични данни за ползвател на въпросните услуги без неговото съгласие само доколкото това е необходимо, за да се даде възможност и да се отчете конкретното ползване на електронната медия от въпросния ползвател, без целта за осигуряване на общата функционална способност на електронната медия да може да оправдае използването на данните след ползване на медията.

56      Съгласно член 7, буква е) от Директива 95/46 обработването на лични данни е законосъобразно, наред с други хипотези тогава когато „е необходимо за целите на законните интереси, преследвани от администратора или от трето лице или лица, на които се разкриват данните, с изключение на случаите, когато пред тези интереси имат преимущество интереси, свързани с основните права и свободи на съответното физическо лице, които изискват защита по силата на член 1, параграф 1“ от тази директива.

57      Важно е да се припомни, че Съдът е приел, че член 7 от посочената директива съдържа изчерпателен списък на случаите, в които обработването на лични данни може да се счита за законно, и че държавите членки не могат нито да добавят нови критерии за законност на обработването на лични данни към посочения член, нито да предвиждат допълнителни изисквания, които да изменят обхвата на някой от посочените в този член шест критерия (вж. в този смисъл решение от 24 ноември 2011 г., ASNEF и FECEMD, C‑468/10 и C‑469/10, EU:C:2011:777, т. 30 и 32).

58      Ако член 5 от Директива 95/46 безспорно дава право на държавите членки да уточнят в границите на глава II от тази директива, а следователно и на член 7 от нея, условията, при които обработването на лични данни е законно, свободата на преценка, с която по силата на член 5 разполагат държавите членки, може да се използва единствено в съответствие с целта на тази директива, а именно поддържане на баланс между свободното движение на лични данни и защитата на личния живот. На основание член 5 от същата директива държавите членки не могат нито да въвеждат други критерии за законност на обработването на лични данни, различни от прогласените в член 7 от нея, нито чрез допълнителни изисквания да изменят обхвата на предвидените в посочения член 7 шест критерия (вж. в този смисъл решение от 24 ноември 2011 г., ASNEF и FECEMD, C‑468/10 и C‑469/10, EU:C:2011:777, т. 33, 34 и 36).

59      В настоящия случай изглежда, че член 15 от TMG, ако се тълкува стриктно по посочения в точка 55 от настоящото решение начин, би имал по-ограничителен обхват от критерия, предвиден в член 7, буква е) от Директива 95/46.

60      Всъщност, докато член 7, буква е) от посочената директива се отнася най-общо до „целите на законните интереси, преследвани от администратора или от трето лице или лица, на които се разкриват данните“, член 15 от TMG би разрешил на доставчика на услуги да събира и използва лични данни на ползвател единствено доколкото това е необходимо, за да се даде възможност и да се отчете конкретното ползване на електронните медии. По този начин член 15 от TMG не би допуснал най-общо съхраняването на лични данни в края на ползване на електронни медии, за да се гарантира използването на тези медии. Германските федерални служби, които доставят онлайн медийни услуги, също биха могли обаче да имат законен интерес да гарантират, освен всяко конкретно използване на техните общодостъпни интернет сайтове, и продължителността на функционирането на въпросните сайтове.

61      Както посочва генералният адвокат в точки 100 и 101 от заключението си, подобна национална правна уредба не се ограничава до уточняване в съответствие с член 5 от Директива 95/46 на понятието „законен интерес“, посочено в член 7, буква е) от тази директива.

62      В това отношение следва също да се припомни, че член 7, буква е) от посочената директива не допуска държава членка да изключи категорично и безусловно възможността за обработване на някои категории лични данни, без да позволи претегляне във всеки конкретен случай на съответните противоположни права и интереси. Държава членка не може да определи за тези категории окончателно резултата от претеглянето на противоположните права и интереси, без да допуска различен резултат в зависимост от обстоятелствата на конкретния случай (вж. в този смисъл решение от 24 ноември 2011 г., ASNEF и FECEMD, C‑468/10 и C‑469/10, EU:C:2011:777, т. 47 и 48).

63      Правна уредба като разглежданата в главното производство обаче намалява, що се отнася до обработването на лични данни на ползвателите на онлайн медийни сайтове, обхвата на критерия, предвиден в член 7, буква е) от Директива 95/46, като изключва целта за осигуряване на общата функционална способност на посочената електронна медия да може да бъде предмет на претегляне с интереса или правата и основните свободи на тези ползватели, които изискват съгласно тази разпоредба защита по силата на член 1, параграф 1 от тази директива.

64      От всички изложени по-горе съображения следва, че на втория въпрос трябва да се отговори, че член 7, буква е) от Директива 95/46 трябва да се тълкува в смисъл, че не допуска правна уредба на държава членка, по силата на която доставчик на онлайн медийни услуги може да събира и използва лични данни за ползвател на тези услуги при липса на съгласие от негова страна само доколкото събирането и използването са необходими, за да се даде възможност и да се отчете конкретното ползване на посочените услуги от ползвателя, без целта за осигуряване на общата функционална способност на тези услуги да може да оправдае използването на данните след действие на ползването им.

 По съдебните разноски

65      С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (втори състав) реши:

1)      Член 2, буква а) от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни трябва да се тълкува в смисъл, че динамичен адрес по интернет протокол, запазен от доставчик на онлайн медийни услуги по повод на ползването от дадено лице на интернет сайт, до който този доставчик предоставя достъп, представлява по отношение на въпросния доставчик лични данни по смисъла на тази разпоредба, когато същият разполага със законни средства, позволяващи му да идентифицира съответното лице благодарение на допълнителната информация, с която разполага доставчикът на интернет услуги на това лице.

2)      Член 7, буква е) от Директива 95/46 трябва да се тълкува в смисъл, че не допуска правна уредба на държава членка, по силата на която доставчик на онлайн медийни услуги може да събира и използва лични данни на ползвател на тези услуги при липса на съгласие от негова страна само доколкото събирането и използването са необходими, за да се даде възможност и да се отчете конкретното ползване на посочените услуги от ползвателя, без целта за осигуряване на общата функционална способност на тези услуги да може да оправдае използването на данните след действие на ползването им.

Подписи


* Език на производството: немски.