W związku z zeszłoroczną reformą prawa ochrony danych osobowych na nowo można spojrzeć na kwestię ustalenia czy adres IP stanowi daną osobową.
Adresy IP wykorzystuje się w celach analiz socjologicznych, demograficznych, marketingowych i innych. Niektóre banki wykorzystują te dane przy weryfikacji dostępu do usług dla swoich klientów.
Czym jest adres IP?
Komputery i inne urządzenia są połączone z Internetem za pośrednictwem identyfikatora nazywanego Internet Protocol (IP), co umożliwia im komunikację.
Instytucja zarządzająca Internetem w zakresie nadawania nazw i numerów ICANN (Internetowa Korporacja ds. Nadawania Nazw i Numerów) z siedzibą w Kalifornii upoważnia regionalne podmioty podlegające IANA, czyli the Internet Assigned Numbers Authority do nadawania nazw i numerów. IANA dokonuje przydziału bloków z adresami dla jednego z pięciu regionów rejestrowych, tj. Regional Internet Registries (RIPE w Europie). Następnie te regionalne instytucje udostępniają adresy IP dostawcom usług i organizacjom.
Standard IPv4 i IPv6
Najpopularniejszym typem adresów IP jest ciąg 4 liczb, co stanowi standard IPv4 (obejmuje już 4,4 mld adresów). Coraz bardziej popularnym staje się standard IPv6, który składa się z ośmiu grup po cztery liczby w każdej z nich.
Statyczny i dynamiczny adres IP
Jeśli użytkownik połączy się z Internetem, to otrzymuje adres IP statyczny lub dynamiczny. Niektórzy dostawcy usług stosują adresy statyczne, a inni za każdym razem przy połączeniu nadają inny adres IP danemu urządzeniu. Można sprawdzić adres IP komputera klikając tutaj. A po ponownym połączeniu się z Internetem można stwierdzić, czy dany adres IP jest statyczny czy nie.
Kiedy dane są danymi osobowymi?
Muszą zostać spełnione 3 przesłanki, aby można było uznać, że dane są danymi osobowymi:
musi to być informacja – wszelkiego rodzaju,
musi dotyczyć osoby fizycznej, czyli nie może dotyczyć np. spółki czy zwierzęcia,
osoba fizyczna, której dotyczy musi zostać zidentyfikowana lub możliwa do zidentyfikowania.
RODO o adresach IP
Ostatecznie RODO przesądziło, że adres IP może zostać uznany za daną osobową. Dotyczy to również dynamicznych adresów IP. “RODO” mówi, że :
„Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików Cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory (…). Może to skutkować zostawieniem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania osób.”
Adresy IP w orzecznictwie sądów
Po raz pierwszy w wyroku Trybunału Sprawiedliwości UE z 24.11.2011 r. w sprawie Scarlet Extended SA v. SABAM, C-70/10, która dotyczyła sporu z dostawcą Internetu adres IP został zakwalifikowany jako dane osobowe.
Następnie Trybunał Sprawiedliwości UE w dniu 19 października 2016 roku wydał wyrok w sprawie C-582/14 (Patrick Breyer v Bundesrepublik Deutschland), gdzie wskazał, że dynamiczny adres IP ma cechy informacji o charakterze osobowym, ponieważ możliwa jest identyfikacja osoby fizycznej na jego podstawie. Trybunał uznał jednak, że dane w postaci dynamicznego IP stanowią dane osobowe, o ile administrator serwisu dysponuje środkami prawnymi umożliwiającymi zidentyfikowanie użytkownika, a to poprzez informacje posiadane przez dostawcę Internetu.
RODO ostatecznie rozstrzygnęło wątpliwości krajowych i unijnych sądów.
Bez znaczenia jest to, czy dane są prawdziwe czy nie.
Adres IP per se. Jak wydawcy prasy, właściciele portali internetowych mogą ustrzec się przed przykrymi konsekwencjami, o których mówi RODO?
Wydaje się, że najlepszym wyjściem jest traktowanie wszystkich adresów IP (również tych występujących samodzielnie, czyli “per se”) jako dane osobowe i stosowanie odpowiedniej ochrony.
Innym wyjściem pozostaje anonimizacja adresów IP przy ich gromadzeniu i przetwarzaniu. Adresy IP mogą być gromadzone i przetwarzane na różne sposoby (np. poprzez Google Analytics).
W świetle obowiązujących przepisów bezpiecznym rozwiązaniem dla każdego, kto gromadzi i przetwarza adresy IP będzie traktowanie wszystkich adresów IP jako dane osobowe.
Stan na dzień: 16 stycznia 2019 roku
Orzecznictwo:
Wyrok TSUE z 24.11.2011 r., (Scarlet Extended SA v. SABAM, C-70/10).
Wyrok TSUE z 19.10.2016 r., (Breyer v. Republika Federalna Niemiec, C-582/14).
Foto: pixabay.com
Comments