ΠΑΓΚΥΠΡΙΟΣ ΔΙΚΗΓΟΡΙΚΟΣ ΣΥΛΛΟΓΟΣ
|
ECLI:CY:AD:2014:A476
(2014) 1 ΑΑΔ 1445
7 Ιουλίου, 2014
[ΧΑΤΖΗΧΑΜΠΗΣ, Π., ΝΙΚΟΛΑΤΟΣ, ΕΡΩΤΟΚΡΙΤΟΥ, ΝΑΘΑΝΑΗΛ, ΠΑΜΠΑΛΛΗΣ, ΠΑΣΧΑΛΙΔΗΣ, ΠΑΝΑΓΗ, ΠΑΡΠΑΡΙΝΟΣ, ΧΡΙΣΤΟΔΟΥΛΟΥ, ΛΙΑΤΣΟΣ, ΣΤΑΜΑΤΙΟΥ, ΓΙΑΣΕΜΗΣ, Δ/στές]
ΓΕΝΙΚΟΣ ΕΙΣΑΓΓΕΛΕΑΣ ΤΗΣ ΔΗΜΟΚΡΑΤΙΑΣ,
Εφεσείων,
v.
ΑΝΑΦΟΡΙΚΑ ΜΕ ΤΗΝ ΑΙΤΗΣΗ ΤΩΝ
1. ΑΝΔΡΕΑ ΗΣΑΙΑ,
2. ΕΥΑΓΟΡΑ ΗΣΑΙΑ, ΓΙΑ ΕΚΔΟΣΗ ΔΙΑΤΑΓΜΑΤΟΣ ΦΥΣΕΩΣ CERTIORARI ΚΑΙ ΑΝΑΦΟΡΙΚΑ ΜΕ ΤΟ ΔΙΑΤΑΓΜΑ ΑΠΟΚΑΛΥΨΕΩΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΔΕΔΟΜΕΝΩΝ ΠΟΥ ΕΞΕΔΟΘΗ ΑΠΟ ΤΟ ΕΠΑΡΧΙΑΚΟ ΔΙΚΑΣΤΗΡΙΟ ΠΑΦΟΥ ΤΗΝ 7.9.2011,
Εφεσιβλήτων.
(Πολιτική Έφεση Αρ. 402/2012)
Τηλεπικοινωνιακά δεδομένα ― Ο περί Διατήρησης Τηλεπικοινωνιακών Δεδομένων με σκοπό τη Διερεύνηση Σοβαρών Ποινικών Αδικημάτων Νόμος 183(Ι)/2007 ― IP Address (Διεύθυνση Πρωτοκόλλου) ― Αρνητική απάντηση Ολομέλειας, στο ερώτημα εάν συνιστά προσωπικό δεδομένο ως προς τον χρήστη, το IP address που αποκαλύπτει τον παροχέα ― Έφεση εναντίον απόφασης με την οποία εξεδόθη προνομιακό ένταλμα που ακύρωνε διάταγμα αποκάλυψης εκδοθέν από Επαρχιακό Δικαστήριο ― Επέμβαση Εφετείου και παραμερισμός πρωτοβάθμιας απόφασης ότι με την παροχή της διεύθυνσης πρωτοκόλλου διαδικτύου χωρίς ένταλμα, υπήρξε παραβίαση των δικαιωμάτων αιτητών προνομιακού εντάλματος.
Τηλεπικοινωνιακά δεδομένα ― Ο περί Διατήρησης Τηλεπικοινωνιακών Δεδομένων με σκοπό τη Διερεύνηση Σοβαρών Ποινικών Αδικημάτων Νόμος 183(Ι)/2007 ― Προσωπικά δεδομένα ― IP address (Διεύθυνση Πρωτοκόλλου) ― Το IP address από μόνο του είναι ουδέτερο στοιχείο ως προς το ζητούμενο αφού οδηγεί μόνο μέχρι τον παροχέα ― Μόνον αν ο παροχέας δώσει τα στοιχεία του χρήστη του εν λόγω IP address κατά το χρόνο που ενδιαφέρει, το IP address καθίσταται προσωπικό δεδομένο του χρήστη με αναφορά προς τα στοιχεία αυτά αφού οδηγεί στην αποκάλυψή του ― Εξ' ου και είναι τότε αναγκαία η υποβολή αίτησης στο Δικαστήριο προς αποκάλυψη των στοιχείων του χρήστη.
Λέξεις και φράσεις ― «Δεδομένα» στα Άρθρα 6, 7, 8, 9 10 και 11 του περί Διατήρησης Τηλεπικοινωνιακών Δεδομένων με σκοπό τη Διερεύνηση Σοβαρών Ποινικών Αδικημάτων Νόμου του 2007, Νόμου 183(Ι)/2007.
Την 7.9.2011 εξεδόθη διάταγμα αποκάλυψης τηλεπικοινωνιακών δεδομένων δυνάμει του Άρθρου 4(1)(4) του περί Διατήρησης Τηλεπικοινωνιακών Δεδομένων με σκοπό τη Διερεύνηση Σοβαρών Ποινικών Αδικημάτων Νόμου του 2007, Νόμου 183(Ι)/2007 και δη του κατόχου/χρήστη συγκεκριμένου IP address κατά την 17.8.2011 και ώρα 09.18-07.00. Αυτός προέκυψε να ήταν ο εφεσίβλητος 2, όταν ο πάροχος της υπηρεσίας, στον οποίο επεδόθη το διάταγμα, συμμορφούμενος με αυτό αποκάλυψε το ζητούμενο.
Ο εφεσίβλητος 1, κάτοχος της οικίας όπου ήταν ο ηλεκτρονικός υπολογιστής, είναι πατέρας του εφεσίβλητου 2, ως προς τον οποίο η παραπονούμενη σε ποινική καταγγελία είχε εκφράσει υποψίες ως ενεχόμενου σε παράνομη πρόσβαση στην ιστοσελίδα της στο facebook με αλλαγή του ονόματός της και προσθήκη φωτογραφίας της στην οποία εμφανιζόταν ημίγυμνη.
Η παραπονούμενη είχε, με τη βοήθεια φιλικού της προσώπου, καταφέρει, μέσω των ρυθμίσεων που παρέχει η υπηρεσία facebook, να πληροφορηθεί ότι μια συσκευή hacker είχε συνδεθεί στην ιστοσελίδα της μέσω του ως άνω IP address, το οποίο και κοινοποίησε στην Αστυνομία ώστε αυτή ακολούθως υπέβαλε την αίτηση για αποκάλυψη των δεδομένων του χρήστη του εν λόγω IP address κατά το σχετικό χρόνο.
Οι εφεσίβλητοι, εξασφαλίζοντας άδεια, καταχώρησαν αίτηση για έκδοση εντάλματος Certiorari προς ακύρωση του διατάγματος αποκάλυψης.
Το Ανώτατο Δικαστήριο εξετάζοντας την αίτηση σε πρώτο βαθμό έκρινε ότι στην αίτηση της Αστυνομίας για αποκάλυψη υπήρχε λανθασμένη αναφορά στο Άρθρο 17.2Β αντί στο Άρθρο 17.2Γ του Συντάγματος (που θα μπορούσε να εφαρμόζετο).
Τούτο, κατά την άποψή του, ήταν καίριο ως προς την εγκυρότητα της αίτησης και δεν μπορούσε να γίνει δεκτή η δικαιολογία ότι επρόκειτο για παραδρομή ή τυπογραφικό λάθος. Αν και η κατάληξη αυτή, θεωρήθηκε αρκετή για έκδοση του διατάγματος, εν τούτοις προχώρησε να εξετάσει την αίτηση και στην ουσία της. Επ' αυτού, έκρινε ότι το IP address «αποτελεί στοιχείο του απόρρητου της επικοινωνίας του χρήστη», καθ' όσον τηλεπικοινωνιακά δεδομένα «είναι και η διεύθυνση πρωτοκόλλου διαδικτύου (IP address), καθώς και ο κωδικός ταυτότητας χρήστη ή ο αριθμός τηλεφώνου».
Με βάση το σχετικό σκεπτικό κατέληξε ότι η αστυνομία είχε υποχρέωση, πριν προχωρήσει στη λήψη από την παραπονούμενη της διεύθυνσης πρωτοκόλλου διαδικτύου, να εξασφαλίσει προς τούτο σχετικό δικαστικό ένταλμα.
Σύμφωνα με την πρωτοβάθμια κρίση, δεν ήταν αρκετό να ζητηθεί δικαστικό ένταλμα για ταυτοποίηση συγκεκριμένης διεύθυνσης πρωτοκόλλου διαδικτύου. Με την παροχή της διεύθυνσης πρωτοκόλλου διαδικτύου, χωρίς ένταλμα, ουσιαστικά παραβιάστηκαν τα δικαιώματα των αιτητών.
Το πρωτοβάθμιο Δικαστήριο απέρριψε περαιτέρω το επιχείρημα των καθ' ων η αίτηση ότι η διεύθυνση πρωτοκόλλου διαδικτύου δεν συνιστά από μόνη της προσωπικό δεδομένο χρήστη.
Η πιο πάνω απόφαση αμφισβητήθηκε με έφεση η οποία στηρίχθηκε στους κάτωθι λόγους:
α) Το προνομιακό ένταλμα εσφαλμένα εξεδόθη για λόγους που αφορούσαν στην εγκυρότητα της αίτησης της αστυνομίας για το διάταγμα αποκάλυψης.
β) Εσφαλμένα εκρίθη επίσης ότι ως προς τον χρήστη, το IP address που αποκαλύπτει τον παροχέα συνιστά προσωπικό δεδομένο.
Αποφασίστηκε ότι:
Α. Υπό Χατζηχαμπή, Π., συμφωνούντων και των Ερωτοκρίτου Δ., Παμπαλλή Δ., Πασχαλίδη Δ., Παναγή Δ., Παρπαρίνου Δ., Χριστοδούλου Δ., Λιάτσου Δ., Σταματίου Δ., και Γιασεμή Δ.
1. Η αίτηση δεν σκοπούσε να βασισθεί στο Άρθρο 17.2Β. Η αίτηση και η ένορκος δήλωση ρητά ανέφεραν ότι βασίζονταν στο άρθρο 4(1)(2)(3)(4) του Ν. 183(Ι)/2007, με αναφορά δηλαδή στην αποκάλυψη δεδομένων που έχουν σχέση με τη διερεύνηση σοβαρού ποινικού αδικήματος, ως προς τα οποία η αποκάλυψη ρυθμίζεται από το Άρθρο 17.2Γ, αφού μάλιστα τα τέσσερα υπό διερεύνηση αδικήματα παρατίθεντο στην αίτηση και στην ένορκη δήλωση.
2. Αλλά και το ίδιο το διάταγμα ρητώς ανέφερε ότι εκδίδεται δυνάμει του Άρθρου 4(1)(4), ώστε να είναι σαφές ότι το Δικαστήριο ούτε στηρίχθηκε ούτε παραπλανήθηκε από την αναφορά του Άρθρου 17.2Β και ότι εξέτασε και ενέκρινε την αίτηση στη βάση του Άρθρου 4 το οποίο συνάδει με το Άρθρο 17.2Γ. Η δε παράλειψη αναφοράς του Άρθρου 17.2Γ ουδεμία συνέπεια είχε αφού το Άρθρο 17.2Γ συνιστά μόνο το νομιμοποιητικό υπόβαθρο του Άρθρου 4, το οποίο και αναφέρεται πλήρως στην αίτηση και στο διάταγμα και το οποίο προϋπήρχε του Άρθρου 17.2Γ, το οποίο έδωσε έτσι και συνταγματική κάλυψη στο Άρθρο 4.
3. Συνακόλουθα ήταν βάσιμος ο λόγος έφεσης αναφορικά με το εσφαλμένο της έκδοσης του προνομιακού εντάλματος για λόγους που αφορούσαν στην εγκυρότητα της αίτησης της αστυνομίας για το διάταγμα αποκάλυψης.
4. Επιπλέον αναφορικά με το δεύτερο λόγο έφεσης θα έπρεπε να δοθεί αρνητική απάντηση στο ερώτημα κατά πόσον συνιστά προσωπικό δεδομένο ως προς τον χρήστη, το IP address που αποκαλύπτει τον παροχέα.
5. Το IP address από μόνο του είναι ουδέτερο στοιχείο ως προς το ζητούμενο αφού οδηγεί μόνο μέχρι τον παροχέα. Μόνον αν ο παροχέας δώσει τα στοιχεία του χρήστη του εν λόγω IP address κατά το χρόνο που ενδιαφέρει, το IP address καθίσταται προσωπικό δεδομένο του χρήστη με αναφορά προς τα στοιχεία αυτά αφού οδηγεί στην αποκάλυψή του.
6. Εξ ου και είναι τότε αναγκαία η υποβολή αίτησης στο Δικαστήριο προς αποκάλυψη των στοιχείων του χρήστη, σύμφωνα με τη νομιμοποίηση που παρέχεται προς τούτο από το Άρθρο 17.2Γ και το Άρθρο 4.
7. Τούτο και έγινε στην προκειμένη περίπτωση, με αποτέλεσμα η αποκάλυψη που ακολούθησε με το διάταγμα και οδήγησε στον εντοπισμό των εφεσιβλήτων να ήταν νόμιμη.
8. Οι εισηγήσεις των εφεσιβλήτων εδράζονταν στην αντίληψη ότι το IP address γενικώς είναι μέρος των προσωπικών δεδομένων του χρήστη, καθ' όσον ο χρήστης μπορεί να εντοπισθεί μέσω αυτού. Αυτό όμως δεν είναι έτσι. Ο ορισμός του όρου «δεδομένα προσωπικού χαρακτήρα» στο Ν. 138(Ι)/2001, ως «κάθε πληροφορία που αναφέρεται σε υποκείμενο των δεδομένων», εκτός του ότι είναι για σκοπούς του νόμου εκείνου και μόνο, δεν διαφωτίζει επί του προκειμένου.
9. Ο ορισμός του όρου «δεδομένα» στον ίδιο το Νόμο 183(Ι)/2007 που μας αφορά, ως «τα δεδομένα κίνησης και θέσης και τα συναφή δεδομένα που είναι αναγκαία για την αναγνώριση του συνδρομητή ή/και του χρήστη και που προσδιορίζονται στα Άρθρα 6, 7, 8, 9 10 και 11», απευθυνόμενος ακριβώς στις υποχρεώσεις του παροχέα για τη διατήρηση δεδομένων, παραπέμπει στα δεδομένα που αφορούν στην αναγνώριση του χρήστη και όχι στα δεδομένα που αφορούν στην αναγνώριση του ίδιου του παροχέα.
10. Σε αυτή τη βάση, το IP address του παροχέα ουδόλως μπορεί να συνιστά προσωπικό δεδομένο του χρήστη, η αναγνώριση του οποίου γίνεται, κατόπιν του δικαστικού διατάγματος, με την επεξεργασία των δεδομένων που ο παροχέας είναι υποχρεωμένος να τηρεί ακριβώς για σκοπούς αναγνώρισής του.
11. Η υπόθεση Σιάμισιης ν. Αστυνομίας (2011) 2 Α.Α.Δ. 308 διαφοροποιείται από την προκειμένη, στην οποία το διάταγμα εξησφαλίσθη.
12. Σχετικά αποσπάσματα από την πιο πάνω απόφαση αποκαλύπτουν όχι μόνο το τι ήταν το παράνομο, δηλαδή η ταυτοποίηση του χρήστη μέσω του IP address χωρίς διάταγμα, αλλά και τη βασική διαφορά μεταξύ του «δημόσιου» IP address και του «ιδιωτικού» IP address που αντιστοιχούν στο IP address του παροχέα και στο IP address του χρήστη.
13. Η διαφορά μπορεί να προσδιοριστεί ως μεταξύ του «δυναμικού» ΙΡ, που είναι εκείνο του παροχέα, και του «ενεργού» ΙΡ, που είναι εκείνο του χρήστη, αφού μόνο μέσα από περαιτέρω επεξεργασία των τηρουμένων δεδομένων μπορεί η δυναμική του IP address του παροχέα να αποδώσει την ενεργή αναγνώριση του χρήστη.
14. Ούτε θα μπορούσε να ήταν άλλως. Αν ο αντικειμενικός στόχος είναι η αποκάλυψη των στοιχείων του χρήστη, ως προς τούτο είναι που το IP address καθίσταται προσωπικό δεδομένο ως «ιδιωτικό» IP address, και μάλιστα αφού το IP address γενικά, που είναι εν πάση περιπτώσει εντοπίσιμο, είναι ούτω «δημόσιο» και όχι προσωπικό.
15. Αντίθετα με τον αριθμό τηλεφώνου, το σύνηθες IP address του παροχέα ανήκει στον ίδιο και όχι στο χρήστη, στον οποίο «δανείζεται» για προσωρινή χρήση και είναι μόνο στο βαθμό που έχει έτσι «δανεισθεί» που καθίσταται προσωπικό δεδομένο του. Τότε και μόνο τότε χρειάζεται διάταγμα του Δικαστηρίου για αποκάλυψη ακριβώς των στοιχείων του χρήστη.
16. Περαιτέρω θα έπρεπε να υποδειχθεί ότι θα ήταν παράδοξο να παραπονείται χρήστης για την εξακρίβωση του IP address του παροχέα, στην περίπτωση που η δική του παρέμβαση στην ιστοσελίδα άλλου θα ήταν ενδεχομένως παράνομη, όταν μάλιστα, οφείλει να γνωρίζει ότι η παρέμβαση του γίνεται στα πλαίσια των διαδικασιών και των όρων λειτουργίας της υπηρεσίας.
17. Τούτο όντως εγείρει ευρύτερα ερωτήματα, τα οποία όμως δεν χρειαζόταν να απασχολήσουν, κατά πόσον η παράνομη επικοινωνία χρήστη μπορεί να θεωρηθεί ως εμπίπτουσα στα πλαίσια της συνταγματικώς κατοχυρούμενης στο Άρθρο 17.
18. Σε μια άλλη παράμετρο, διαπιστώθηκε ότι, μετά από την επιφύλαξη της απόφασης, εξεδόθη απόφαση του Δικαστηρίου της Ευρωπαϊκής Ενωσης στις συνεκδικασθείσες υποθέσεις C-293/12 και C-594/12, ημερομηνίας 8.4.2014, με την οποία η Οδηγία 2006/24/ΕΚ, προς εναρμόνιση με την οποία θεσπίστηκε ο Ν. 183(Ι)/2007, ακυρώθηκε. Τούτο όμως δεν έχει οποιαδήποτε επίπτωση στο Ν. 183(Ι)/2007, ο οποίος παραμένει σε ισχύ ως ημεδαπό δίκαιο.
Β. Υπό Ναθαναήλ, Δ. συμφωνούντος και του Νικολάτου Δ.:
1. Αναφορικά με την επίπτωση του λανθασμένου νομικού υπόβαθρου που χρησιμοποιήθηκε όταν η αστυνομία αποτάθηκε στο Επαρχιακό Δικαστήριο για να λάβει το επίμαχο διάταγμα αποκάλυψης, όπως ορθά υποδείχθηκε στην πρωτοβάθμια απόφαση, η πρόσβαση σε τηλεπικοινωνιακά δεδομένα αποτελεί κατ' εξαίρεση περίπτωση διάβρωσης της συνταγματικής αρχής της προστασίας και του σεβασμού του δικαιώματος επικοινωνίας.
2. Η Δημοκρατία δεν μπορεί με ελαφρότητα να υποστηρίζει ότι η λανθασμένη αναφορά στο Άρθρο 17.2(Β)(β) αντί του ορθού 17.2(Γ), οφειλόταν σε τυπογραφικό λάθος.
3. Ορθά υπέδειξε το Δικαστήριο ότι το λάθος αυτό έγινε όχι μόνο στην ίδια την αίτηση, αλλά και στην ένορκη δήλωση και το κείμενο αμφοτέρων, απορρίπτοντας την εξήγηση περί τυπογραφικού λάθους.
4. Δεν υπάρχει ανάλογη ρύθμιση διόρθωσης λαθών στο ποινικό δίκαιο όπως υπάρχει στις αστικές διαδικασίες. Η ευθύνη της Αστυνομίας, της Νομικής Υπηρεσίας, αλλά και των ιδίων των Δικαστηρίων είναι ιδιαίτερα μεγάλη όταν επωμίζονται το βάρος του περιορισμού με οποιοδήποτε τρόπο των ατομικών δικαιωμάτων κάθε προσώπου.
5. Το Άρθρο 4 του Νόμου αρ. 183(Ι)/2007, δεν μπορούσε από μόνο του να αποτελέσει νομιμοποιητικό έρεισμα για την έκδοση του διατάγματος, χωρίς την ταυτόχρονη επίκληση του Άρθρου 17Γ το οποίο και θα το νομιμοποιούσε.
6. Πρόσθετα, εκ των πραγμάτων, όπως εξελίχθηκε η νομολογία στον Ευρωπαϊκό χώρο, μετά τα γεγονότα που οδήγησαν στην υπό συζήτηση υπόθεση, στην ουσία έχει αφαιρεθεί ολόκληρο το βάθρο επί του οποίου θεσπίστηκε ο Νόμος αρ. 183(Ι)/2007.
7. Αφαιρουμένου του νομιμοποιητικού υποστρώματος του Νόμου, καταρρέει όλο το δημιουργηθέν σύστημα πρόσβασης από την Αστυνομία στους παρόχους τηλεπικοινωνιακών δεδομένων με σκοπό την εξασφάλιση στοιχείων για τη διερεύνηση σοβαρών αδικημάτων, που έτσι και αλλιώς δεν υποστηριζόταν από την Οδηγία, με βάση την ερμηνεία του ΔΕΚ στην υπόθεση Ireland.
8. Και θα ήταν άδικη η συνέχιση της υπό κρίση περίπτωσης όπου το διάταγμα εκδόθηκε μεν πριν την ακύρωση της Οδηγίας, αλλά η ακύρωση επηρέασε θεμελιακά και καίρια τον όλο μηχανισμό διατήρησης από τους παρόχους δεδομένων που δεν ήταν και δεν είναι συνεπώς υποχρεωμένοι να τηρούν.
9. Αλλά και επί της ουσίας, παρόλο που τα ανωτέρω επαρκούσαν για την απόρριψη της έφεσης, παρατηρούνταν συνοπτικά και τα ακόλουθα: Το IP address δεν μπορεί κατ' ανάγκην να θεωρηθεί ότι δεν είναι προσωπικό δεδομένο. Και τούτο με βάση ην απόφαση Σιάμισης ν. Αστυνομίας (2011) 2 Α.Α.Δ. 308.
10. Εγείρονταν ερωτήματα ως προς τον τρόπο που η παραπονούμενη εξασφάλισε το IP address.
11. Η αστυνομία είχε το βάρος να παρουσιάσει επαρκή μαρτυρία στο Επαρχιακό Δικαστήριο όταν ζήτησε το διάταγμα. Το βάρος ήταν δικό της να εξηγήσει πώς και με ποιο τρόπο έγινε η ανάκτηση της πρόσβασης στο λογαριασμό της παραπονούμενης, πώς και με ποιό τρόπο οι υπηρεσίες του facebook παρέχουν και οδηγούν στην πληροφόρηση ότι μια άλλη συσκευή συνδέθηκε με το λογαριασμό της και πώς αυτό οδηγούσε στο IP address.
12. Η αστυνομία ήταν που εξασφάλισε το διάταγμα χωρίς να προηγηθεί άλλο διάταγμα και εναπόκειτο σ' αυτήν να δείξει ότι δεν χρειαζόταν άλλο προηγούμενο διάταγμα.
13. Ορθά το πρωτόδικο Δικαστήριο απέρριψε το επιχείρημα της εφεσείουσας Δημοκρατίας ότι η διεύθυνση πρωτοκόλλου δεν συνιστά από μόνη της προσωπικό δεδομένο του χρήστη αφού ανήκει σε παροχέα υπηρεσιών ο οποίος διανέμει τη διεύθυνση σε διάφορους χρήστες.
14. Όπως ορθά έκρινε το Δικαστήριο, τα γεγονότα αυτά «προβλήθηκαν για πρώτη φορά στην αγόρευση των καθ' ων η αίτηση και συνεπώς δεν μπορούσε να βασιστεί σ' αυτά.
15. Άλλωστε, η νομολογία, αλλά και η βιβλιογραφία στον Ευρωπαϊκό και όχι μόνο, χώρο, δεν έχει επιλύσει ακόμη το πρόβλημα της νομικής κατάταξης της IP διεύθυνσης.
16. Υπό το φως της απόφασης της πλειοψηφίας παρήλκε η ενασχόληση με τους λόγους αντέφεσης.
Η έφεση επιτράπηκε και η αντέφεση απορρίφθηκε με έξοδα.
Αναφερόμενες Υποθέσεις:
Σιάμισιης ν. Αστυνομίας (2011) 2 Α.Α.Δ. 308,
Digital Rights Ireland Ltd v. Minister for Communications, Marine and Natural Resources a.o. C-293/12,
C-594/12, ημερ. 8.4.2014,
Μάτσιας κ.ά. (2011) 1 Α.Α.Δ. 152,
Ireland v. European Parliament and Council of the European Union, υπόθεση C-301/06 ημερ. 10.2.2009,
Αλεξάνδρου (2010) 1 Α.Α.Δ. 17,
Police v. Georghiades (1983) 2 C.L.R. 33,
Δημοκρατία ν. Αεροπόρου κ.ά. (1998) 2 Α.Α.Δ. 87,
Αστυνομία ν. Γιάλλουρου (1992) 2 Α.Α.Δ. 147,
Scarlet Extended S.A. v. Societe Belge des autreurs, compositeurs et editeurs SCRL (SABAM) υπόθεση C-70/10 ημερ. 24.11.2011.
Έφεση.
Έφεση από τον καθ' ου η αίτηση εναντίον της απόφασης του Ανωτάτου Δικαστηρίου (Δικαστής ????), (Αίτηση Αρ. 134/11), ημερομηνίας4/9/2012.
Ε. Ζαχαριάδου με Δ. Κυπριανού και Στ. Σαββίδου, για τους Εφεσείοντες.
Ξ. Ξενοφώντος και Αχ. Αιμιλιανίδης, για τους Εφεσίβλητους.
Cur. adv. vult.
ΔΙΚΑΣΤΗΡΙΟ: Η απόφαση του Δικαστηρίου δεν είναι ομόφωνη. Η απόφαση της πλειοψηφίας θα δοθεί από τον Χατζηχαμπή, Π., και με αυτή συμφωνούν οι Δικαστές Ερωτοκρίτου, Παμπαλλής, Πασχαλίδης, Παναγή, Παρπαρίνος, Χριστοδούλου, Λιάτσος, Σταματίου, και Γιασεμής. Αντίθετη απόφαση θα δώσει ο Ναθαναήλ, Δ. με την οποία συμφωνεί και ο Νικολάτος, Δ.
ΧΑΤΖΗΧΑΜΠΗΣ, Π.: Την 7.9.2011 εξεδόθη διάταγμα αποκάλυψης τηλεπικοινωνιακών δεδομένων δυνάμει του άρθρου 4(1)(4) του περί Διατήρησης Τηλεπικοινωνιακών Δεδομένων με σκοπό τη Διερεύνηση Σοβαρών Ποινικών Αδικημάτων Νόμου του 2007, Νόμου 183(Ι)/2007 και δη του κατόχου/χρήστη του IP address 109.105.249.116 κατά την 17.8.2011 και ώρα 09.18-07.00. Τούτος προέκυψε να ήταν ο εφεσίβλητος 2, όταν ο πάροχος της υπηρεσίας, στον οποίο επεδόθη το διάταγμα, συμμορφούμενος με αυτό αποκάλυψε το ζητούμενο. Ο εφεσίβλητος 1, κάτοχος της οικίας όπου ήταν ο ηλεκτρονικός υπολογιστής, είναι πατέρας του Εφεσίβλητου 2, ως προς τον οποίο η παραπονούμενη σε ποινική καταγγελία είχε εκφράσει υποψίες ως ενεχόμενου σε παράνομη πρόσβαση στην ιστοσελίδα της στο facebook με αλλαγή του ονόματός της από «Kiki Polemitou» σε «Kiki Gamiola Ola» και πρόσθεση φωτογραφίας της στην οποία εμφανίζετο ημίγυμνη. Η παραπονούμενη είχε, με τη βοήθεια φιλικού της προσώπου, καταφέρει, μέσω των ρυθμίσεων που παρέχει η υπηρεσία facebook, να πληροφορηθεί ότι μια συσκευή hacker είχε συνδεθεί στην ιστοσελίδα της μέσω του ως άνω IP address, το οποίο και κοινοποίησε στην Αστυνομία ώστε αυτή ακολούθως να υπέβαλε την αίτηση για αποκάλυψη των δεδομένων του χρήστη του εν λόγω IP address κατά το σχετικό χρόνο.
Οι εφεσίβλητοι, εξασφαλίζοντας άδεια, καταχώρησαν αίτηση για έκδοση εντάλματος certiorari προς ακύρωση του διατάγματος αποκάλυψης. Ο αδελφός μας Δικαστής ο οποίος επελήφθη της αίτησης εξέδωσε το ένταλμα, κρίνοντας ότι στην αίτηση της Αστυνομίας για αποκάλυψη υπήρχε λανθασμένη αναφορά στο Άρθρο 17.2Β (που δεν θα μπορούσε να εφαρμόζετο) αντί στο Άρθρο 17.2Γ του Συντάγματος (που θα μπορούσε να εφαρμόζετο). Τούτο, κατά την άποψή του, ήταν καίριο ως προς την εγκυρότητα της αίτησης και δεν μπορούσε να γίνει δεκτή η δικαιολογία ότι πρόκειται για παραδρομή ή τυπογραφικό λάθος. Αν και η κατάληξη αυτή, ως εθεώρησε και ο αδελφός μας Δικαστής, ήταν αρκετή για έκδοση του διατάγματος, εν τούτοις προχώρησε να εξετάσει την αίτηση και στην ουσία της. Επ' αυτού, έκρινε ότι το IP address «αποτελεί στοιχείο του απόρρητου της επικοινωνίας του χρήστη», καθ' όσον τηλεπικοινωνιακά δεδομένα «είναι και η διεύθυνση πρωτοκόλλου διαδικτύου (IP address), καθώς και ο κωδικός ταυτότητας χρήστη ή ο αριθμός τηλεφώνου». Κατέληξε λοιπόν ότι:
«Η αστυνομία είχε λοιπόν, σύμφωνα με τα πιο πάνω, υποχρέωση, πριν προχωρήσει στη λήψη από την παραπονούμενη της διεύθυνσης πρωτοκόλλου διαδικτύου, να εξασφαλίσει προς τούτο σχετικό δικαστικό ένταλμα. Δεν είναι αρκετό να ζητηθεί δικαστικό ένταλμα για ταυτοποίηση συγκεκριμένης διεύθυνσης πρωτοκόλλου διαδικτύου. Με την παροχή της διεύθυνσης πρωτοκόλλου διαδικτύου, χωρίς ένταλμα, ουσιαστικά παραβιάστηκαν τα δικαιώματα των αιτητών.
Δεν συμφωνώ με το επιχείρημα των καθ' ων η αίτηση ότι η διεύθυνση πρωτοκόλλου διαδικτύου δεν συνιστά από μόνη της προσωπικό δεδομένο χρήστη, αφού ανήκει σε παροχέα υπηρεσιών διαδικτύου ο οποίος διανέμει τη συγκεκριμένη διεύθυνση σε πολλούς πελάτες. Μόνο μετά την επεξεργασία της εν λόγω διεύθυνσης μπορεί να εξακριβωθεί η ταυτότητα του χρήστη που το χρησιμοποιούσε τη δεδομένη στιγμή.»
Και οι δύο πτυχές της απόφασης αμφισβητούνται με αντίστοιχους λόγους έφεσης. Ως προς το πρώτο θέμα, αισθανόμεθα, με όλο το σέβας, ότι ο αδελφός μας Δικαστής εμφανώς σφάλλει. Η αίτηση για αποκάλυψη μπορεί να αναφέρετο στο Άρθρο 17.2Β, πρόδηλο όμως είναι ότι το Άρθρο 17.2Β δεν θα μπορούσε να είχε εφαρμογή στην προκείμενη περίπτωση αφού δεν επρόκειτο για περίπτωση που εμπίπτει στα αδικήματα τα οποία αναφέρονται στο Άρθρο 17.2Β. Η αναφορά του Άρθρου 17.2Β λοιπόν είχε το ίδιο αποτέλεσμα ως να μην είχε γίνει καθόλου. Εξ ίσου πρόδηλο όμως είναι ότι η αίτηση δεν εσκοπούσε να βασισθεί στο Άρθρο 17.2Β. Η αίτηση και η ένορκος δήλωση ρητά αναφέρουν ότι βασίζονται στο Άρθρο 4(1)(2)(3)(4) του Ν. 183(Ι)/2007, με αναφορά δηλαδή στην αποκάλυψη δεδομένων που έχουν σχέση με τη διερεύνηση σοβαρού ποινικού αδικήματος, ως προς τα οποία η αποκάλυψη ρυθμίζεται από το Άρθρο 17.2Γ, αφού μάλιστα τα τέσσερα υπό διερεύνηση αδικήματα παρατίθενται στην αίτηση και στην ένορκη δήλωση. Αλλά και το ίδιο το διάταγμα ρητώς αναφέρει ότι εκδίδεται δυνάμει του Άρθρου 4(1)(4), ώστε να είναι σαφές ότι το δικαστήριο ούτε εβασίσθη ούτε παρεπλανήθη από την αναφορά του Άρθρου 17.2Β και ότι εξέτασε και ενέκρινε την αίτηση στη βάση του Άρθρου 4 το οποίο συνάδει με το Άρθρο 17.2Γ. Η δε παράλειψη αναφοράς του Άρθρου 17.2Γ ουδεμία βεβαίως συνέπεια είχε αφού το Άρθρο 17.2Γ συνιστά μόνο το νομιμοποιητικό υπόβαθρο του Άρθρου 4, το οποίο και αναφέρεται πλήρως στην αίτηση και στο διάταγμα και το οποίο προϋπήρχε του Άρθρου 17.2Γ, το οποίο έδωσε έτσι και συνταγματική κάλυψη στο Άρθρο 4.
Καταλήγουμε λοιπόν ότι έχει έρεισμα ο πρώτος λόγος έφεσης ο οποίος και επιτυγχάνει, ώστε να διαπιστώνουμε ότι κακώς το ένταλμα να εξεδόθη για λόγους που αφορούσαν την εγκυρότητα της αίτησης της αστυνομίας για το διάταγμα αποκάλυψης.
Στρεφόμενοι στο δεύτερο λόγο έφεσης, θα πρέπει βεβαίως να παρατηρήσουμε ότι δεν ήταν ούτε αναγκαίο ούτε ενδεδειγμένο να εξετάζετο η ουσία της αίτησης αφ' ης στιγμής εκρίθη ότι αυτή θα έπρεπε να απορριφθεί για λόγο προηγούμενο της ουσίας, ώστε από αυτή την άποψη τα λεχθέντα από τον αδελφό μας Δικαστή ως προς την ουσία να ήσαν στην πραγματικότητα obiter. Εν πάση περιπτώσει όμως, και καθ΄ όσον ο πρώτος λόγος έφεσης που αφορά την εγκυρότητα της αίτησης επιτυγχάνει, θα μας απασχολήσει το θέμα της ουσίας που αφορά ο δεύτερος λόγος έφεσης, δεδομένου ότι το ένταλμα εξεδόθη. Αναφέρουμε όμως τούτο για να υποδείξουμε ότι, στην κρίση στην οποία θα προχωρήσουμε, τα λεχθέντα από τον αδελφό μας Δικαστή επί της ουσίας δεν έχουν την υπόσταση απόφασης ευθέως επί της ουσίας.
Το κρίσιμο ερώτημα είναι απλό. Ως προς τον χρήστη, το IP address που αποκαλύπτει τον παροχέα συνιστά προσωπικό δεδομένο; Η θεωρημένη μας κατάληξη είναι αρνητική. Το IP address από μόνο του είναι ουδέτερο στοιχείο ως προς το ζητούμενο αφού οδηγεί μόνο μέχρι τον παροχέα. Μόνον αν ο παροχέας δώσει τα στοιχεία του χρήστη του εν λόγω IP address κατά το χρόνο που ενδιαφέρει, το IP address καθίσταται προσωπικό δεδομένο του χρήστη με αναφορά προς τα στοιχεία αυτά αφού οδηγεί στην αποκάλυψή του. Εξ ου και είναι τότε αναγκαία η υποβολή αίτησης στο δικαστήριο προς αποκάλυψη των στοιχείων του χρήστη, σύμφωνα με τη νομιμοποίηση που παρέχεται προς τούτο από το Άρθρο 17.2Γ και το Άρθρο 4. Τούτο και έγινε στην προκειμένη περίπτωση, με αποτέλεσμα η αποκάλυψη που ακολούθησε με το διάταγμα και οδήγησε στον εντοπισμό των Εφεσιβλήτων να ήταν νόμιμη.
Οι εφεσίβλητοι εισηγούνται ότι η εξασφάλιση του IP address του παροχέα ήταν παράνομη, ώστε και η ακόλουθη αποκάλυψη των ιδίων, η οποία εβασίσθη στην εξασφάλιση του IP address του παροχέα, να συμπαρασύρετο σε παρανομία. Η εισήγηση ουδόλως ευσταθεί. Είναι βεβαίως ορθό ότι, χωρίς γνώση του IP address του παροχέα, δεν είναι δυνατή η περαιτέρω αποκάλυψη του χρήστη του. Τούτο όμως δεν οδηγεί στην κατάληξη που εισηγούνται οι Εφεσίβλητοι. Κατά πρώτον, δεν μπορεί να εκληφθεί ως δεδομένο ότι η εξασφάλιση του IP address του παροχέα ήταν παράνομη. Ουδεμία μαρτυρία προς τούτο υπάρχει (και το βάρος είναι στους Εφεσίβλητους που το ισχυρίζονται να το αποδείξουν), και απεναντίας θα εφαίνετο ότι η εξασφάλιση του IP address του παροχέα συνάδει με τις κοινές διαδικασίες και τους κοινούς όρους χρήσης της υπηρεσίας facebook που παρέχεται, ώστε το IP address του παροχέα να μην είναι προσωπικό δεδομένο του χρήση αλλά, όσον αφορά τους νόμιμους χρήστες του facebook (και δεν μας απασχολούν εδώ οι μη νόμιμοι χρήστες) που μπορούν να το εντοπίσουν μέσω των εν λόγω διαδικασιών και όρων, δημόσιο δεδομένο. Εξ ου και το IP address του παροχέα όντως εξασφαλίσθηκε με αυτό τον τρόπο. Επειτα, θέμα παρανομίας ως προς την εξασφάλιση του IP address του παροχέα θα μπορούσε να ετίθετο από τον ίδιο τον επηρεαζόμενο παροχέα μάλλον παρά τον χρήστη.
Οι εισηγήσεις των Εφεσιβλήτων εδράζονται στην αντίληψη ότι το IP address γενικώς είναι μέρος των προσωπικών δεδομένων του χρήστη, καθ' όσον ο χρήστης μπορεί να εντοπισθεί μέσω αυτού. Αυτό όμως δεν είναι έτσι. Ο ορισμός του όρου «δεδομένα προσωπικού χαρακτήρα» στο Ν. 138(Ι)/2001, ως «κάθε πληροφορία που αναφέρεται σε υποκείμενο των δεδομένων», εκτός του ότι είναι για σκοπούς του νόμου εκείνου και μόνο, δεν διαφωτίζει επί του προκειμένου. Ο ορισμός του όρου «δεδομένα» στον ίδιο το Νόμο 183(Ι)/2007 που μας αφορά, ως «τα δεδομένα κίνησης και θέσης και τα συναφή δεδομένα που είναι αναγκαία για την αναγνώριση του συνδρομητή ή/και του χρήστη και που προσδιορίζονται στα Άρθρα 6, 7, 8, 9 10 και 11», απευθυνόμενος ακριβώς στις υποχρεώσεις του παροχέα για τη διατήρηση δεδομένων, παραπέμπει στα δεδομένα που αφορούν την αναγνώριση του χρήστη και όχι στα δεδομένα που αφορούν την αναγνώριση του ίδιου του παροχέα. Σε αυτή τη βάση, το IP address του παροχέα ουδόλως μπορεί να συνιστά προσωπικό δεδομένο του χρήστη, η αναγνώριση του οποίου γίνεται, κατόπιν του δικαστικού διατάγματος, με την επεξεργασία των δεδομένων που ο παροχέας είναι υποχρεωμένος να τηρεί ακριβώς για σκοπούς αναγνώρισής του.
Η κατάληξή μας ουδόλως αντιστρατεύεται τη νομολογία αλλά συνάδει με αυτή. Ο αδελφός μας Δικαστής εβασίσθη στην υπόθεση Σιάμισιης ν. Αστυνομίας (2011) 2 Α.Α.Δ. 308 ως αποφασίζουσα ότι το IP address αποτελεί στοιχείο του απορρήτου της επικοινωνίας του χρήστη και προσωπικό δεδομένο του καθ' όσον μέσω αυτής και ύστερα από επεξεργασία της μπορεί να εξακριβωθεί η ταυτότητά του. Τούτο δεν αποδίδει ορθώς τα αποφασισθέντα στη Σιάμισιης. Κατά πρώτον, η υπόθεση εκείνη απεφασίσθη στη βάση του Άρθρου 17 πριν από την τροποποίηση του με την εισαγωγή του Άρθρου 17Β και 17Γ, τα οποία και ως εκ τούτου δεν απασχόλησαν το Δικαστήριο. Κυρίως δε, στην υπόθεση εκείνη δεν υπήρξε οποιοδήποτε προηγούμενο διάταγμα του δικαστηρίου για την αποκάλυψη των τηλεπικοινωνιακών δεδομένων του χρήστη ούτε βεβαίως και συγκατάθεση του. Τούτο τονίσθηκε από το Δικαστήριο για να καταλήξει ότι, επομένως, η επεξεργασία που έγινε από την Αστυνομία μετά που της εδόθη το IP address του παροχέα για να γίνει η ταυτοποίηση του χρήστη ήταν παράνομη. Το Δικαστήριο υπέδειξε ότι, σύμφωνα με το Άρθρο 4, δίδεται η δυνατότητα εξασφάλισης διατάγματος αποκάλυψης των στοιχείων του χρήστη, όμως δεν είχε γίνει οποιαδήποτε σχετική αίτηση προς τούτο. Με αυτά υπ' όψιν, είναι αντιληπτό ότι η υπόθεση Σιάμισιης διαφοροποιείται από την προκειμένη, στην οποία το διάταγμα εξησφαλίσθη, και ότι τα λεχθέντα εκεί ως προς το ότι το IP address αποτελεί προσωπικό δεδομένο του χρήστη πρέπει να διαβάζονται με αναφορά στο ουσιαστικό επίδικο θέμα, που ήταν η παράλειψη εξασφάλισης διατάγματος για αποκάλυψη των στοιχείων του χρήστη. Παραπέμπουμε και στο σχετικό απόσπασμα από την απόφαση (σ. 322), με ιδιαίτερη έμφαση στην αναφορά ότι το IP address συνιστά προσωπικό δεδομένο του χρήστη καθ΄ όσον η επεξεργασία του έγινε «με σκοπό την εξακρίβωση της ταυτότητας του χρήστη». Παραπέμπουμε επίσης στα λεχθέντα σε σχέση με τον τρόπο με τον οποίο έγινε η ταυτοποίηση του χρήστη μέσω του παροχέα, με ιδιαίτερη έμφαση στο ότι (σ. 321) «Η ΑΤΗΚ με διάφορες διεργασίες κατόρθωσε, μέσω της δημόσιας ΙΡ διεύθυνσης του παρενοχλούντος, να αποκαλύψει την ιδιωτική ΙΡ διεύθυνση και στη συνέχεια το σταθερό τηλέφωνο με το οποίο η ιδιωτική ΙΡ διεύθυνση του ήταν συνδεδεμένη.» (υπογράμμιση δική μας). Το απόσπασμα αυτό αποκαλύπτει όχι μόνο το τι ήταν το παράνομο, δηλαδή η ταυτοποίηση του χρήστη μέσω του IP address χωρίς διάταγμα, αλλά και τη βασική διαφορά μεταξύ του «δημόσιου» IP address και του «ιδιωτικού» IP address που αντιστοιχούν στο IP address του παροχέα και στο IP address του χρήστη. Η διαφορά μπορεί να προσδιοριστεί ως μεταξύ του «δυναμικού» ΙΡ, που είναι εκείνο του παροχέα, και του «ενεργού» ΙΡ, που είναι εκείνο του χρήστη, αφού μόνο μέσα από περαιτέρω επεξεργασία των τηρουμένων δεδομένων μπορεί η δυναμική του IP address του παροχέα να αποδώσει την ενεργή αναγνώριση του χρήστη. Ούτε θα μπορούσε να ήταν άλλως. Αν ο αντικειμενικός στόχος είναι η αποκάλυψη των στοιχείων του χρήστη, ως προς τούτο είναι που το IP address καθίσταται προσωπικό δεδομένο ως «ιδιωτικό» IP address, και μάλιστα αφού το IP address γενικά, που είναι εν πάση περιπτώσει εντοπίσιμο, είναι ούτω «δημόσιο» και όχι προσωπικό. Αντίθετα με τον αριθμό τηλεφώνου, το σύνηθες IP address του παροχέα ανήκει στον ίδιο και όχι στο χρήστη, στον οποίο «δανείζεται» για προσωρινή χρήση και είναι μόνο στο βαθμό που έχει έτσι «δανεισθή» που καθίσταται προσωπικό δεδομένο του. Τότε και μόνο τότε χρειάζεται λοιπόν διάταγμα του δικαστηρίου για αποκάλυψη ακριβώς των στοιχείων του χρήστη.
Να παρατηρήσουμε ότι, κατά τη διάρκεια της μελέτης της υπόθεσης για σκοπούς απόφασης, διαπιστώσαμε ότι, μετά από την επιφύλαξη της απόφασης, εξεδόθη απόφαση του Δικαστηρίου της Ευρωπαϊκής Ενωσης στις συνεκδικασθείσες υποθέσεις C-293/12 και C-594/12, ημερομηνίας 8.4.2014, με την οποία η Οδηγία 2006/24/ΕΚ, προς εναρμόνιση με την οποία εθεσπίσθη ο Ν. 183(Ι)/2007, ακυρώθηκε. Τούτο όμως δεν έχει οποιαδήποτε επίπτωση στο Ν. 183(Ι)/2007, ο οποίος παραμένει σε ισχύ ως ημεδαπό δίκαιο.
Η αντέφεση είναι χωρίς έρεισμα. Η μια πτυχή της, που αφορά το Άρθρο 17, ήδη καλύπτεται από τα προλεχθέντα, καθ' όσον το θέμα αφορά την εφαρμογή του Άρθρου 17.2Γ μέσω του Άρθρου 4. Η άλλη πτυχή, που αφορά την αίτηση και δη τα διερευνώμενα αδικήματα και τις προϋποθέσεις της αίτησης, δεν αποκαλύπτει έλλειψη συμμόρφωσης με τους όρους του Άρθρου 4. Τόσο η αίτηση όσο και το διάταγμα συνάδουν με τους όρους εκείνους και την αρχή της αιτιολόγησης δικαστικής απόφασης στη βάση των στοιχείων που ετέθησαν.
Δεν θα αφήναμε την υπόθεση χωρίς να παρατηρήσουμε και τούτο:
Θα ήταν παράδοξο να παραπονείται χρήστης για την εξακρίβωση του IP address του παροχέα, στην περίπτωση που η δική του παρέμβαση στην ιστοσελίδα άλλου θα ήταν ενδεχομένως παράνομη, όταν μάλιστα, όπως υποδεικνύει και η Δημοκρατία, οφείλει να γνωρίζει ότι η παρέμβαση του γίνεται στα πλαίσια των διαδικασιών και των όρων λειτουργίας της υπηρεσίας. Τούτο όντως εγείρει ευρύτερα ερωτήματα, τα οποία όμως δεν χρειάζεται να μας απασχολήσουν, κατά πόσον η παράνομη επικοινωνία χρήστη μπορεί να θεωρηθεί ως εμπίπτουσα στα πλαίσια της συνταγματικώς κατοχυρούμενης στο Άρθρο 17.
Η έφεση επιτυγχάνει και η εφεσιβαλλόμενη απόφαση και διαταγή για έξοδα παραμερίζονται. Το εκδοθέν ένταλμα certiorari ακυρώνεται. Η αντέφεση απορρίπτεται. Τα έξοδα, επιδικαζόμενα υπέρ της Δημοκρατίας και εναντίον των Εφεσιβλήτων, θα υπολογισθούν από τον Πρωτοκολλητή και θα εγκριθούν από το Δικαστήριο.
ΝΑΘΑΝΑΗΛ, Δ.: Τα βασικά γεγονότα αναφέρονται στην απόφαση της πλειοψηφίας και δεν χρειάζεται να επαναληφθούν. Όπου όμως είναι για σκοπούς της παρούσας απόφασης αναγκαίο, θα συμπληρωθούν με τα επί μέρους δεδομένα που συναρτώνται με το κάθε εξεταζόμενο ζήτημα.
Το πρώτο στο οποίο διατηρείται διάφορη άποψη είναι η επίπτωση του λανθασμένου νομικού υπόβαθρου που χρησιμοποιήθηκε όταν η αστυνομία αποτάθηκε στο Επαρχιακό Δικαστήριο για να λάβει το επίμαχο διάταγμα αποκάλυψης. Η αίτηση της Αστυνομίας ημερ. 7.9.2011 θεμελιώθηκε στο Άρθρο 17.2(Β)(β) του Συντάγματος και στο «Άρθρο 4(1)(2)(3)(4) και συγκεκριμένα στο Άρθρο 4(4) του Νόμου περί Διατήρησης Τηλεπικοινωνιακών Δεδομένων με σκοπό τη Διερεύνηση Σοβαρών Ποινικών Αδικημάτων με αρ 183(Ι)/2007.» Η υποστηρικτική ένορκη δήλωση της αστυφύλακος Κωνσταντίνας Πάρπα επίσης στηρίχθηκε πανομοιότυπα στα ίδια άρθρα.
Επιδιώκοντας τη λήψη άδειας για καταχώρηση αίτησης για έκδοση εντάλματος certiorari, μια από τις θέσεις των αιτητών ήταν ακριβώς ότι τα υπό διερεύνηση αδικήματα παράνομης πρόσβασης σε σύστημα ηλεκτρονικού υπολογιστή και άλλα που ενέπιπταν στις πρόνοιες του Νόμου αρ. 22(ΙΙΙ)/2004, ουδόλως καλύπτονταν από το Άρθρο 17.2(Β)(β) του Συντάγματος, όπως τροποποιήθηκε με το Νόμο αρ. 51(Ι)/2010. Το πρωτόδικο Δικαστήριο έδωσε την άδεια και όταν μεταγενέστερα εκδίκασε την αίτηση διά κλήσεως στην παρουσία και της Δημοκρατίας, αποφάσισε επί λέξει για το θέμα τα ακόλουθα:
«Η αίτηση για έκδοση διατάγματος πρόσβασης σε τηλεπικοινωνιακά δεδομένα έγινε βάσει του Άρθρου 172.Β του Συντάγματος και αξίωνε την αποκάλυψη συγκεκριμένης ip address σε συγκεκριμένη ημερομηνία και ώρα.
Είναι προφανές ότι η παρούσα περίπτωση δεν εμπίπτει στην εξαίρεση του Άρθρου 17.2Β(β) όπως αναφέρεται στην αίτηση για έκδοση του διατάγματος. Η ευπαίδευτη συνήγορος των καθ' ων η αίτηση υποστήριξε ότι η αναφορά έγινε εκ παραδρομής λόγω τυπογραφικού λάθους. Θα πρέπει στο σημείο αυτό να σημειώσω ότι η αναφορά στο Άρθρο 17.2Β(β) δεν έγινε μόνο στον τίτλο της αίτησης, αλλά και στο ίδιο το κείμενο.
Η πρόσβαση σε τηλεπικοινωνιακά δεδομένα είναι εξαίρεση του κανόνα του σεβασμού του δικαιώματος της επικοινωνίας. Και ως τέτοια θα πρέπει να αντιμετωπίζεται με φειδώ, αλλά και με απόλυτο σεβασμό. Δεν μπορώ να δεχτώ τη δικαιολογία ότι η αναφορά σε λανθασμένο άρθρο του Συντάγματος οφείλεται σε παραδρομή ή τυπογραφικό λάθος. Η αστυνομία, η Νομική Υπηρεσία αλλά ακόμα και τα δικαστήρια, θα πρέπει να είναι διπλά προσεκτικοί όταν αναφέρονται ή όταν χειρίζονται θέματα παρόμοιας φύσης.»
Η πιο πάνω απόφαση του Δικαστηρίου έχει την απόλυτη συμφωνία μας. Όπως πολύ ορθά αναδεικνύεται από το πιο πάνω απόσπασμα, η πρόσβαση σε τηλεπικοινωνιακά δεδομένα αποτελεί κατ' εξαίρεση περίπτωση διάβρωσης της συνταγματικής αρχής της προστασίας και του σεβασμού του δικαιώματος επικοινωνίας. Η Δημοκρατία δεν μπορεί με ελαφρότητα να υποστηρίζει ότι η λανθασμένη αναφορά στο Άρθρο 17.2(Β)(β) αντί του ορθού 17.2(Γ), οφείλεται σε τυπογραφικό λάθος. Ορθά υπέδειξε το Δικαστήριο ότι το λάθος αυτό έγινε όχι μόνο στην ίδια την αίτηση, αλλά και στην ένορκη δήλωση και το κείμενο αμφοτέρων, απορρίπτοντας την εξήγηση περί τυπογραφικού λάθους. Δεν υπάρχει ανάλογη ρύθμιση διόρθωσης λαθών στο ποινικό δίκαιο όπως υπάρχει στις αστικές διαδικασίες. Η ευθύνη της Αστυνομίας, της Νομικής Υπηρεσίας, αλλά και των ιδίων των Δικαστηρίων είναι ιδιαίτερα μεγάλη όταν επωμίζονται το βάρος του περιορισμού με οποιοδήποτε τρόπο των ατομικών δικαιωμάτων κάθε προσώπου.
Σημειώνεται περαιτέρω ότι το Άρθρο 4 από μόνο του δεν επαρκούσε για να νομιμοποιήσει την έκδοση του διατάγματος αποκάλυψης. Το Άρθρο 4 του Νόμου εισήχθηκε στο Νόμο αρ. 183(Ι)/2007 με την τροποποίηση που έγινε με το Νόμο αρ. 99(Ι)/2008 και συνεπώς προϋπήρχε στο νομικό οπλοστάσιο της τροποποίησης του Άρθρου 17 του Συντάγματος που επετεύχθη στις 4.6.2010 με το Νόμο αρ. 51(Ι)/2010. Υπενθυμίζεται δε ότι στην ομόφωνη απόφαση της Πλήρους Ολομέλειας στη Μάτσιας κ.ά. (2011) 1 Α.Α.Δ. 152, κρίθηκε ότι ο Νόμος αρ. 183(Ι)/2007, ιδιαιτέρως σε ό,τι αφορά τα Άρθρα 4 και 5, δεν καλύπτεται από το Ευρωπαϊκό Δίκαιο, ούτε από το Άρθρο 1Α του Συντάγματος. Η Οδηγία 2006/24/ΕΚ σύμφωνα με το σκεπτικό της Ireland v. European Parliament and Council of the European Union, υπόθεση C-301/06 ημερ. 10.2.2009 δεν επέβαλλε τη συμπερίληψη στο Νόμο διατάξεων που στόχευαν στον τρόπο πρόσβασης των αστυνομικών ανακριτών στα τηλεπικοινωνιακά δεδομένα, τα οποία οι παροχείς ήταν υποχρεωμένοι να τηρούν. Οι πρόνοιες αυτές δεν ήταν εναρμονιστικές. Έπεται ότι όπως στην υπόθεση Μάτσιας κ.ά. όπου η εξέταση των εκεί διαταγμάτων έγινε στη βάση του προϋπάρχοντος Άρθρου 17 του Συντάγματος πριν την τροποποίηση του, και χωρίς να καλύπτεται από την Ευρωπαϊκή Οδηγία, έτσι και εδώ όπου το αίτημα της αστυνομίας έγινε στις 7.9.2011, μετά την τροποποίηση, ήταν απολύτως αναγκαία η κάλυψη της αίτησης με αναφορά στο ορθό Άρθρο 17.2Γ. Το Άρθρο 4 του Νόμου αρ. 183(Ι)/2007, δεν μπορούσε από μόνο του να αποτελέσει νομιμοποιητικό έρεισμα για την έκδοση του διατάγματος, χωρίς την ταυτόχρονη επίκληση του Άρθρου 17Γ το οποίο και θα το νομιμοποιούσε.
Πρόσθετα, εκ των πραγμάτων, όπως εξελίχθηκε η νομολογία στον Ευρωπαϊκό χώρο, μετά τα γεγονότα που οδήγησαν στην υπό συζήτηση υπόθεση, στην ουσία έχει αφαιρεθεί ολόκληρο το βάθρο επί του οποίου θεσπίστηκε ο Νόμος αρ. 183(Ι)/2007. Το ΔΕΕ, που εξήγησε την Οδηγία 2006/24/ΕΚ στην υπόθεση Ireland, ανωτέρω, στη συνέχεια, και εντελώς πρόσφατα, την ακύρωσε εξ ολοκλήρου στην υπόθεση Digital Rights Ireland Ltd v. Minister for Communications, Marine and Natural Resources and others, C-293/12 και C-594/12, ημερ. 8.4.2014. Μετά την πλήρη ανάλυση του ιστορικού της Οδηγίας 2006/24/ΕΚ, του σκοπού της και άλλων συναφών Οδηγιών, το ΔΕΕ, ως Grand Chamber, κατέληξε στο συμπέρασμα ότι:
«Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC is invalid.»
Το έπραξε αυτό λόγω μη τήρησης των αρχών της αναλογικότητας και της αρχής της σαφήνειας στη διατήρηση των τηλεπικοινωνιακών δεδομένων, ενώ αφήνετο από την εφαρμογή της Οδηγίας και η πιθανότητα πρόσβασης σε δεδομένα εκατομμυρίων Ευρωπαίων πολιτών που σε καμιά περίπτωση δεν είναι ύποπτοι για οποιοδήποτε αδίκημα.
Η επίπτωση επί της υπό κρίση υπόθεσης είναι κατά την άποψη μας εμφανής. Ο Νόμος αρ. 183(Ι)/2007 βασίστηκε, ως αναφέρει το Προοίμιο του, εξ ολοκλήρου στην Οδηγία 2006/24/ΕΚ και θεσπίστηκε προς εναρμόνιση με αυτή, (δέστε και Αλεξάνδρου (2010) 1 Α.Α.Δ. 17). Αφαιρουμένου του νομιμοποιητικού υποστρώματος του Νόμου, καταρρέει όλο το δημιουργηθέν σύστημα πρόσβασης από την Αστυνομία στους παρόχους τηλεπικοινωνιακών δεδομένων με σκοπό την εξασφάλιση στοιχείων για τη διερεύνηση σοβαρών αδικημάτων, που έτσι και αλλιώς δεν υποστηριζόταν από την Οδηγία, με βάση την ερμηνεία του ΔΕΚ στην Ireland. Και θα ήταν άδικη η συνέχιση της υπό κρίση περίπτωσης όπου το διάταγμα εκδόθηκε μεν πριν την ακύρωση της Οδηγίας, αλλά η ακύρωση επηρέασε θεμελιακά και καίρια τον όλο μηχανισμό διατήρησης από τους παρόχους δεδομένων που δεν ήταν και δεν είναι συνεπώς υποχρεωμένοι να τηρούν.
Αλλά και επί της ουσίας, παρόλο που τα ανωτέρω επαρκούν για την απόρριψη της έφεσης, παρατηρούνται συνοπτικά τα ακόλουθα. Το IP address δεν μπορεί κατ' ανάγκην να θεωρηθεί ότι δεν είναι προσωπικό δεδομένο. Στην απόφαση Σιάμισης ν. Αστυνομίας (2011) 2 Α.Α.Δ. 308, κρίθηκε ότι:
«η IP διεύθυνση αποτελεί στοιχείο του απόρρητου της επικοινωνίας του χρήστη. Επίσης η IP διεύθυνση αποτελεί και προσωπικό δεδομένου του κάθε χρήστη εφόσον μέσω της διεύθυνσης αυτής μπορεί να εξακριβωθεί η ταυτότητα του χρήστη ...».
Αυτό το σκέλος της απόφασης παραμένει ως κρίση του Εφετείου αυτοτελής και ανεξάρτητη από το γεγονός ότι εκεί δεν προϋπήρξε διάταγμα αποκάλυψης της IP διεύθυνσης απευθυνόμενου προς την ΑΤΗΚ ως παροχέα για να εντοπιστεί η διεύθυνση του παρενοχλούντος την παραπονούμενη υπόπτου. Το ερώτημα στη Σιάμιση ήταν η επεξεργασία δεδομένων του υπόπτου χωρίς τη συγκατάθεση του και χωρίς διάταγμα Δικαστηρίου. Παραβιάστηκαν έτσι τα συνταγματικά δικαιώματα του υπόπτου. Θέση αναμφίβολα συνάδουσα με τη διαχρονική νομολογία ότι εκτός και αν αντιμετωπίζεται η πιθανότητα διάπραξης αυτόφωρου αδικήματος επί τη ευλόγω υποψία αστυνομικού οργάνου, ουδεμία επέμβαση ή έρευνα, είναι δυνατή χωρίς την προηγούμενη εξασφάλιση δικαστικού διατάγματος. Άλλωστε ο φερόμενος παραβάτης των τηλεπικοινωνιακών δεδομένων άλλου προσώπου παραμένει απλώς ύποπτος μέχρι την παραδοχή του ή την καταδίκη του από Δικαστήριο.
Στη Σιάμιση δεν εξετάστηκε στάδιο προηγούμενο της παροχής των στοιχείων από την παραπονούμενη προς την Αστυνομία, η οποία έδωσε το IP address στην ΑΤΗΚ για επεξεργασία χωρίς διάταγμα Δικαστηρίου. Στην παρούσα υπόθεση εξετάζεται ακριβώς η χρονικά προηγηθείσα ενέργεια της παραπονούμενης να δώσει τη διεύθυνση του IP στην Αστυνομία, χωρίς να είχε λάβει χώραν η αποκάλυψη του δεδομένου αυτού δυνάμει Δικαστικού Διατάγματος.
Η μαρτυρία της αστυφύλακος Κ. Πάρπα όταν ζητούσε την έκδοση του διατάγματος, ανέφερε ρητά ότι στις:
«17.8.2011 η παραπονούμενη με τη βοήθεια φιλικού της προσώπου κατάφερε και επανέκτησε πρόσβαση στο λογαριασμό της στο facebook και από τις ρυθμίσεις που παρέχει η υπηρεσία του facebook πληροφορήθηκε ότι μια νέα συσκευή με την ονομασία hacker συνδέθηκε στο λογαριασμό της στις 17.8.2011 και ώρα 0918 μέσω της διεύθυνσης πρωτοκόλλου διαδικτύου (internet protocol (address - ip address) 109.105.249.116.
Από εξετάσεις που έγιναν διεφάνει ότι η διεύθυνση πρωτοκόλλου διαδικτύου (internet protocol address - ip address) 109.105.249.116 ανήκει στον παροχέα διαδικτυακών υπηρεσιών Thunderworx Ltd (Prime Tel).»
Εγείρονται ερωτήματα ως προς τον τρόπο που η παραπονούμενη εξασφάλισε το IP address. Το πρωτόδικο Δικαστήριο αποφάσισε, στη βάση της Σιάμιση ανωτέρω, ότι η διεύθυνση πρωτοκόλλου αποτελεί προσωπικό δεδομένο του κάθε χρήστη, εφόσον μέσω της διεύθυνσης αυτής και μόνο μετά από επεξεργασία είναι δυνατή η διακρίβωση της ταυτότητας του. Με αναφορά στους ορισμούς του Άρθρου 2 του Νόμου ως προς το τι σημαίνει «δεδομένα» και στο Άρθρο 6 ως προς τη διατήρηση των κατηγοριών δεδομένων, ένα εκ των οποίων είναι η IP διεύθυνση, και ο κωδικός ταυτότητας χρήστη ή ο αριθμός τηλεφώνου, έκρινε ότι η αστυνομία είχε,
«υποχρέωση πριν προχωρήσει στη λήψη από την παραπονούμενη της διεύθυνσης πρωτοκόλλου διαδικτύου, να εξασφαλίσει προς τούτο σχετικό δικαστικό διάταγμα. Δεν είναι αρκετό να ζητηθεί δικαστικό ένταλμα για ταυτοποίηση συγκεκριμένης διεύθυνσης πρωτοκόλλου διαδικτύου. Με την παροχή της διεύθυνσης πρωτοκόλλου διαδικτύου, χωρίς ένταλμα, ουσιαστικά παραβιάστηκαν τα δικαιώματα των αιτητών.»
Κατά την άποψη μας, η αστυνομία είχε το βάρος να παρουσιάσει επαρκή μαρτυρία στο Επαρχιακό Δικαστήριο όταν ζήτησε το διάταγμα. Το βάρος ήταν δικό της να εξηγήσει πώς και με ποιο τρόπο έγινε η ανάκτηση της πρόσβασης στο λογαριασμό της, πώς και με ποιό τρόπο οι υπηρεσίες του facebook παρέχουν και οδηγούν στην πληροφόρηση ότι μια άλλη συσκευή συνδέθηκε με το λογαριασμό της και πώς αυτό οδηγούσε στο IP address. Η αστυνομία ήταν που εξασφάλισε το διάταγμα χωρίς να προηγηθεί άλλο διάταγμα και εναπόκειτο σ' αυτήν να δείξει ότι δεν χρειαζόταν άλλο προηγούμενο διάταγμα. Οι αιτητές - εδώ εφεσίβλητοι - μπορούσαν να εισηγηθούν κατά την αναζήτηση της έκδοσης του certiorari ότι παρανόμως ήταν που λήφθηκε το διάταγμα διότι βασίστηκε σε παράνομη μαρτυρία. Ορθά το πρωτόδικο Δικαστήριο απέρριψε το επιχείρημα της εφεσείουσας Δημοκρατίας ότι η διεύθυνση πρωτοκόλλου δεν συνιστά από μόνη της προσωπικό δεδομένο του χρήστη αφού ανήκει σε παροχέα υπηρεσιών ο οποίος διανέμει τη διεύθυνση σε διάφορους χρήστες. Όπως έκρινε το Δικαστήριο, ορθά κατά τη γνώμη μας, τα γεγονότα αυτά «προβλήθηκαν για πρώτη φορά στην αγόρευση των καθ' ων η αίτηση και συνεπώς δεν μπορώ να βασιστώ σ΄ αυτά αφού είναι γνωστή η αρχή ότι δεν είναι επιτρεπτή μαρτυρία μέσω αγόρευσης.».
Ακριβώς τα πιο πάνω δείχνουν ότι ήταν η Αστυνομία που εξαρχής έπρεπε να παρουσιάσει μαρτυρία, ή, η Δημοκρατία κατά το στάδιο συζήτησης της έκδοσης ή μη εντάλματος certiorari. Δεν εναπόκειτο στους αιτητές - εφεσίβλητους - να παρουσιάσουν μαρτυρία εφόσον εκείνοι είχαν στο δικό τους οπλοστάσιο το Νόμο και τη νομολογία, (Σιάμισης, Police v. Georghiades (1983) 2 C.L.R. 33, Δημοκρατία ν. Αεροπόρου κ.ά. (1998) 2 Α.Α.Δ. 87 και Αστυνομία ν. Γιάλλουρου (1992) 2 Α.Α.Δ. 147).
Άλλωστε, η νομολογία, αλλά και η βιβλιογραφία στον Ευρωπαϊκό και όχι μόνο, χώρο, δεν έχει επιλύσει ακόμη το πρόβλημα της νομικής κατάταξης της IP διεύθυνσης. Κάθε ηλεκτρονικός υπολογιστής συνδεδεμένος με το διαδίκτυο χαρακτηρίζεται από ένα μοναδικό IP address που το καθιστά αναγνωρίσιμο στους υπόλοιπος ηλεκτρονικούς υπολογιστές, (Garzaniti: Telecommunications. Broadcasting and the Internet, EU Competition Law and Regulation 3η έκδ. σελ. 334). Μια IP διεύθυνση κατ' απομόνωση δεν θεωρείται προσωπικό δεδομένο, διότι δεν ανήκει σε άτομο, αλλά σε ηλεκτρονικό υπολογιστή. Εάν ο χρήστης το αποκαλύπτει οικειοθελώς, τότε βεβαίως η διεύθυνση παύει να είναι προσωπικό δεδομένο. Δεν είναι όμως οι IP διευθύνσεις διαθέσιμες στο κοινό όπως είναι, για παράδειγμα, οι τηλεφωνικοί αριθμοί μέσα από ένα τηλεφωνικό κατάλογο. Στα χέρια του παροχέα γίνεται προσωπικό δεδομένο όταν συνδυάζεται με άλλα δεδομένα που κατακρατούνται, όπως το όνομα και η διεύθυνση του χρήστη. Στα χέρια ενός χειριστή ιστοσελίδων είναι επίσης προσωπικό δεδομένο μέσω του «user profiling». Υπάρχει δε και διαφορά μεταξύ «static IP addresses» και «dynamic IP addresses». Το 2001, η Elizabeth France, τότε Information Commissioner, αναγνώρισε ότι αν τα στατικά ή δυναμικά IP addresses, συλλέγονται απλώς για ανάλυση μαζικών δεδομένων χρήσης των ιστοσελίδων, δεν εμπίπτουν κατ' ανάγκη στα προσωπικά δεδομένα. Εάν όμως ο χειριστής των ιστοσελίδων έχει κάποιο τρόπο σύνδεσης του IP address με ένα συγκεκριμένο άτομο, τότε αυτή γίνεται προσωπικό δεδομένο. Ο Γερμανός Federal Data Protection Commissioner Peter Sharr, που διετέλεσε και πρόεδρος του Article 29 Working Party, ενός ανεξάρτητου συμβουλευτικού σώματος της Ευρωπαϊκής Ένωσης στο οποίο ανατέθηκε η όλη εξέταση λειτουργίας των τηλεπικοινωνιακών δεδομένων στον Ευρωπαϊκό χώρο υπό το φως της νομοθεσίας για προστασία των προσωπικών δεδομένων, θεώρησε ότι οι IP διευθύνσεις πρέπει να τυγχάνουν μεταχείρισης από τις εταιρείες ως προσωπικά δεδομένα και μόνο τα Δικαστήρια μπορούν να αποφασίσουν κατά πόσο είναι ή όχι προσωπικά δεδομένα.
Το ΔΕΕ στην Scarlet Extended S.A. v. Societe Belge des autreurs, compositeurs et editeurs SCRL (SABAM) υπόθεση C-70/10 ημερ. 24.11.2011, ανέφερε ότι αποτελούσε κοινό έδαφος ότι τα IP addresses είναι προστατευόμενα προσωπικά δεδομένα, ώστε ένα σύστημα φιλτραρίσματος που παρέχει τη δυνατότητα συστηματικής ανάλυσης των IP addresses να παραβίαζε το δικαίωμα στην προστασία αυτή. Σχετικό με το όλο θέμα, τις δυσκολίες που παρουσιάζονται και το ρευστό ακόμη του όλου εγχειρήματος είναι και το άρθρο της Eneken Tikk: IP Addresses Subject to Personal Data Regulation, (International Cyber Security Legal & Policy Proceedings publication of 2010 Conference on Cyber Conflict Law and Policy - CCD CoE Publications December 2010).
Για όλους τους πιο πάνω λόγους, θα απερρίπταμε την έφεση. Υπό το φως της απόφασης της πλειοψηφίας δεν χρειάζεται να ασχοληθούμε με τους λόγους αντέφεσης.
Η έφεση επιτρέπεται και η αντέφεση απορρίπτεται με έξοδα.