Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Czy adres IP to informacja zawierająca dane osobowe?

Adres IP posiada każde urządzenie „podpięte” do sieci komputerowej. Wyróżniamy adresy IP – „stałe” i „dynamiczne”. W doktrynie podnosi się, że „stały” adres IP jest daną osobową, ponieważ możemy w sposób dość jednoznaczny określić użytkownika takiego łącza, pytania pojawiały się w sytuacji czy jest możliwość identyfikacji użytkownika korzystającego z tzw. „dynamicznego” adresu IP?

Stanowisko GIODO (całe stanowisko:  http://www.giodo.gov.pl/319/id_art/2258/j/pl/)

Adres IP może być w pewnych przypadkach uznany za dane osobowe.

Opinia Grupy Roboczej ds. Ochrony Danych (rozdz. III pkt 3 przykład 15) uznała literalnie adres IP za dane dotyczące osoby możliwej do zidentyfikowania.

adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.”

Wyrok TSUE (Breyer v. Republika Federalna Niemiec – (C-582/14))

Istotne znaczenie ma Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 19 października 2016 roku  (C-582/14 – Patrick Breyer  v Bundesrepublik Deutschland) w sprawie przetwarzania przez usługodawcę adresu IP usługobiorcy po zakończeniu korzystania z usługi.

W wyroku tym TSUE orzekł, że dane w postaci dynamicznego IP stanowią dane osobowe, o ile administrator serwisu dysponuje środkami prawnymi umożliwiającymi zidentyfikowanie użytkownika, a to poprzez informacje posiadane przez dostawcę Internetu.

Co było przedmiotem sprawy?

Federalny Trybunał Sprawiedliwości pytał czy „dynamiczne” adresy IP powinny być traktowane jako dane osobowe w stosunku podmiotu prowadzącego daną witrynę i czy w związku z tym przysługuje im ochrona przewidziana dla danych osobowych?

Drugie z pytań dotyczyło art. 7 dyrektywy 95/46/WE i poruszało kwestię czy przepis ten uniemożliwia wprowadzenie przepisu prawa krajowego, zgodnie z którym usługodawca może gromadzić
i wykorzystywać dane osobowe użytkownika bez jego zgody. Warunkiem była konieczność umożliwienia i zafakturowania konkretnego skorzystania z mediów online przez danego użytkownika.
Jednocześnie cel polegający na zapewnieniu ogólnego funkcjonowania mediów online nie uzasadniał korzystania z tych danych po zakończeniu danej sesji [przeglądania danej strony].


Co rozważał Trybunał Sprawiedliwości Unii Europejskiej?

TSUE analizowało kto jest administratorem danych – czy wyłącznie dostawca usług dostępu do Internetu, czy też dostawca udostępnianych publicznie usług medialnych online, który sam nie dysponuje dodatkowymi informacjami identyfikującymi podmiot danych.

Trybunał uznał, że sam fakt, że dane te nie znajdują się w posiadaniu jednego usługodawcy, nie wyklucza, że dynamiczny adres IP może być uznany za dane osobowe. By to zweryfikować potrzebne jest połączenie tych informacji (z informacjami dostawcy usług internetowych) i dopiero wtedy uzyskamy (bądź nie) faktyczną identyfikację osoby, której dane dotyczą.

Co ważne Trybunał zauważył, że nie ma możliwości identyfikacji konkretnej osoby, jeżeli np. istnieją prawne ograniczenia w tym zakresie ze względu na zakaz przekazywania przez dostawcę Internetu dodatkowych informacji umożliwiających identyfikację do dostawcy usług medialnych online.

Pomimo takiego zakazu, istnieją środki prawne, które umożliwiają zainteresowanemu dostawcy zwrócenie się do odpowiedniego organu, który może podjąć działania w celu uzyskania informacji od dostawcy Internetu. Regulacje niemieckie przewidują taką możliwość (w przypadku „cyberataku”), należy pamiętać że przetwarzanie takich danych jest dopuszczalne ze względu na uzasadniony interes administratora serwisu lub innych osób.

Wnioski

Trzeba uznać, że wspomniany wyrok jest istotny ze względu na fakt potencjalnego pozyskania dodatkowych informacji o danej osobie. TSUE uznał, że jeżeli dostawca udostępnianych publicznie usług online ma nawet potencjalną możliwość pozyskania dodatkowych informacji, które są w posiadaniu dostawcy usług internetowych, „dynamiczny” adres IP stanowi daną osobową. Co ważne nawet w przypadku konieczności wszczęcia postępowań, które będą miały na celu dopiero uzyskanie danych umożliwiających ustalenie tożsamości osoby fizycznej, nie dojdzie do uznania sytuacji nadmierności czasu lub działań.

Mimo takiego orzeczenia pojawiają się głosy mówiące o tym, że w praktyce sama znajomość adresu IP, który pojawi się np. podczas wizyty na blogu, nawet po uzyskaniu informacji od firmy hostingowej, nie spowoduje spełnienia wymogów określonych w artykule 6 ustawy o ochronie danych osobowych i możliwości zidentyfikowania danych osobowych konkretnego użytkownika – osoby fizycznej, który w danej chwili odwiedziła taki serwis.

Z drugiej strony trzeba pamiętać, że stanowisko zawarte w wyroku, dotyczące adresu IP jako danych osobowych pojawiało się już m.in. w Opinii Grupy Roboczej i stanowisku GIODO, więc jest to jedynie potwierdzenie tego co praktycy mówili już od jakiegoś czasu. Zapewne wyrok ten ułatwi występowanie do odpowiednich organów, w celu pozyskania informacji od firm hostingowych (dotyczących m.in. adresu IP), przy założeniu istnienia środków prawnych, które na to pozwolą.

Źródła prawa:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922)
  • Stanowisko GIODO (link: http://www.giodo.gov.pl/319/id_art/2258/j/pl/)
  • Wyrok Trybunału Sprawiedliwości Unii Europejskiej Breyer v. Republika Federalna Niemiec (C-582/14)]

Powiązane artykuły

Ochrona danych osobowych po…. chińsku
Ochrona danych osobowych w Rosji od „А” do „Я”
Czym są dane osobowe wg RODO?

Zostaw odpowiedź