Adres IP posiada każde urządzenie „podpięte” do sieci komputerowej. Wyróżniamy adresy IP – „stałe” i „dynamiczne”. W doktrynie podnosi się, że „stały” adres IP jest daną osobową, ponieważ możemy w sposób dość jednoznaczny określić użytkownika takiego łącza, pytania pojawiały się w sytuacji czy jest możliwość identyfikacji użytkownika korzystającego z tzw. „dynamicznego” adresu IP?
Stanowisko GIODO (całe stanowisko: http://www.giodo.gov.pl/319/id_art/2258/j/pl/)
Adres IP może być w pewnych przypadkach uznany za dane osobowe.
Opinia Grupy Roboczej ds. Ochrony Danych (rozdz. III pkt 3 przykład 15) uznała literalnie adres IP za dane dotyczące osoby możliwej do zidentyfikowania.
Wyrok TSUE (Breyer v. Republika Federalna Niemiec – (C-582/14))
Istotne znaczenie ma Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 19 października 2016 roku (C-582/14 – Patrick Breyer v Bundesrepublik Deutschland) w sprawie przetwarzania przez usługodawcę adresu IP usługobiorcy po zakończeniu korzystania z usługi.
W wyroku tym TSUE orzekł, że dane w postaci dynamicznego IP stanowią dane osobowe, o ile administrator serwisu dysponuje środkami prawnymi umożliwiającymi zidentyfikowanie użytkownika, a to poprzez informacje posiadane przez dostawcę Internetu.
Co było przedmiotem sprawy?
Federalny Trybunał Sprawiedliwości pytał czy „dynamiczne” adresy IP powinny być traktowane jako dane osobowe w stosunku podmiotu prowadzącego daną witrynę i czy w związku z tym przysługuje im ochrona przewidziana dla danych osobowych?
Drugie z pytań dotyczyło art. 7 dyrektywy 95/46/WE i poruszało kwestię czy przepis ten uniemożliwia wprowadzenie przepisu prawa krajowego, zgodnie z którym usługodawca może gromadzić
i wykorzystywać dane osobowe użytkownika bez jego zgody. Warunkiem była konieczność umożliwienia i zafakturowania konkretnego skorzystania z mediów online przez danego użytkownika.
Jednocześnie cel polegający na zapewnieniu ogólnego funkcjonowania mediów online nie uzasadniał korzystania z tych danych po zakończeniu danej sesji [przeglądania danej strony].
Co rozważał Trybunał Sprawiedliwości Unii Europejskiej?
TSUE analizowało kto jest administratorem danych – czy wyłącznie dostawca usług dostępu do Internetu, czy też dostawca udostępnianych publicznie usług medialnych online, który sam nie dysponuje dodatkowymi informacjami identyfikującymi podmiot danych.
Trybunał uznał, że sam fakt, że dane te nie znajdują się w posiadaniu jednego usługodawcy, nie wyklucza, że dynamiczny adres IP może być uznany za dane osobowe. By to zweryfikować potrzebne jest połączenie tych informacji (z informacjami dostawcy usług internetowych) i dopiero wtedy uzyskamy (bądź nie) faktyczną identyfikację osoby, której dane dotyczą.
Co ważne Trybunał zauważył, że nie ma możliwości identyfikacji konkretnej osoby, jeżeli np. istnieją prawne ograniczenia w tym zakresie ze względu na zakaz przekazywania przez dostawcę Internetu dodatkowych informacji umożliwiających identyfikację do dostawcy usług medialnych online.
Pomimo takiego zakazu, istnieją środki prawne, które umożliwiają zainteresowanemu dostawcy zwrócenie się do odpowiedniego organu, który może podjąć działania w celu uzyskania informacji od dostawcy Internetu. Regulacje niemieckie przewidują taką możliwość (w przypadku „cyberataku”), należy pamiętać że przetwarzanie takich danych jest dopuszczalne ze względu na uzasadniony interes administratora serwisu lub innych osób.
Wnioski
Trzeba uznać, że wspomniany wyrok jest istotny ze względu na fakt potencjalnego pozyskania dodatkowych informacji o danej osobie. TSUE uznał, że jeżeli dostawca udostępnianych publicznie usług online ma nawet potencjalną możliwość pozyskania dodatkowych informacji, które są w posiadaniu dostawcy usług internetowych, „dynamiczny” adres IP stanowi daną osobową. Co ważne nawet w przypadku konieczności wszczęcia postępowań, które będą miały na celu dopiero uzyskanie danych umożliwiających ustalenie tożsamości osoby fizycznej, nie dojdzie do uznania sytuacji nadmierności czasu lub działań.
Mimo takiego orzeczenia pojawiają się głosy mówiące o tym, że w praktyce sama znajomość adresu IP, który pojawi się np. podczas wizyty na blogu, nawet po uzyskaniu informacji od firmy hostingowej, nie spowoduje spełnienia wymogów określonych w artykule 6 ustawy o ochronie danych osobowych i możliwości zidentyfikowania danych osobowych konkretnego użytkownika – osoby fizycznej, który w danej chwili odwiedziła taki serwis.
Z drugiej strony trzeba pamiętać, że stanowisko zawarte w wyroku, dotyczące adresu IP jako danych osobowych pojawiało się już m.in. w Opinii Grupy Roboczej i stanowisku GIODO, więc jest to jedynie potwierdzenie tego co praktycy mówili już od jakiegoś czasu. Zapewne wyrok ten ułatwi występowanie do odpowiednich organów, w celu pozyskania informacji od firm hostingowych (dotyczących m.in. adresu IP), przy założeniu istnienia środków prawnych, które na to pozwolą.
Źródła prawa:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922)
- Stanowisko GIODO (link: http://www.giodo.gov.pl/319/id_art/2258/j/pl/)
- Wyrok Trybunału Sprawiedliwości Unii Europejskiej Breyer v. Republika Federalna Niemiec (C-582/14)]
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.