Dynamiczny adres IP a dane osobowe

Beata Marek Ochrona danych osobowych, Prawo 7 Comments

19 października 2016r., czyli całkiem niedawno, Europejski Trybunał Sprawiedliwości w sprawie C‑582/14 ostatecznie przesądził, że bezsporne jest, że dynamiczne adresy IP można uznać w pewnych okolicznościach za dane osobowe. Czy to jest nowość? Nie. Aczkolwiek pojawia się wiele pytań i rozbieżnych opinii więc postanowiłam także przedstawić Ci mój komentarz.

Co to są dane osobowe?

Przypomnijmy, że

dane osobowe
to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoby, której dane dotyczą/ podmiotu danych). Osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość.

Adres IP jako dane osobowe?

W określonych okolicznościach można uznać adres IP za dane osobowe. Wielokrotnie wypowiadał się w tej sprawie m.in. polski GIODO. Tutaj znajdziesz jeden z takich oficjalnych komunikatów. Wynika z niego jasno, że adres IP będzie uznawany jako dane osobowe wtedy, gdy podmiot przetwarzający adres IP będzie miał jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Co ważne do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.

Podobny ton przyjął niemiecki sąd apelacyjny i wskazał, ze dynamiczny adres IP w połączeniu z datą sesji, do której się on odnosi, stanowi, w sytuacji gdy dany użytkownik strony internetowej ujawnił swoją tożsamość w trakcie tej sesji, dane osobowe, ponieważ dostawca tej strony może zidentyfikować tego użytkownika poprzez zestawienie jego np. nazwiska z adresem IP jego urządzenia.

Jednakże jednocześnie dodał, że jeśli użytkownik nie podaje swojej tożsamości w trakcie przeglądania strony to jedynie operator jako dostawca dostępu do Internetu może powiązać adres IP z zidentyfikowanym abonentem.

Wydaje się logiczne. I logiczne w pełni jest.

Jest tu jednak coś co chciałabym dokładniej wyjaśnić.

Czy każdy dostawca usług zbierając adres IP przetwarza dane osobowe?

W mojej ocenie odpowiedź jest prosta. Nie możemy automatycznie udzielić odpowiedzi twierdzącej, a wręcz założyć można odpowiedź negatywną.

Dlaczego?

Trybunał wskazał wyraźnie, że dane obejmujące dynamiczny adres IP  oraz datę i godzinę przeglądania strony internetowej, zarejestrowane przez dostawcę usług medialnych online, nie umożliwiają same w sobie temu dostawcy możliwości zidentyfikowania użytkownika, który przeglądał tę stronę internetową w trakcie danej sesji. A to dostawca dostępu do Internetu dysponuje dodatkowymi informacjami, które w połączeniu z tym adresem IP umożliwiają identyfikację danego abonenta. Identyfikacji dokonać zatem może operator. To jest jasne.

Istotne dla dostawcy usług jest zatem ustalenie czy istnieje możliwość połączenia dynamicznego adresu IP z owymi dodatkowymi informacjami będącymi w posiadaniu tego dostawcy dostępu do Internetu. I jak podkreślono to ma być możliwość racjonalna do osiągnięcia, wykonalna w praktyce, nie związana z nadmiernym nakładem czasu, kosztów i pracy ludzkiej, tak że ryzyko identyfikacji wydaje się w rzeczywistości znikome.

To jest bardzo istotna część tego orzeczenia, którą warto przeczytać kilka razy.

Otóż, w mojej ocenie nie można wszystkich dostawców i każdej sytuacji traktować w taki sam sposób jakoby zawsze zbierając adresy IP przetwarzali dane osobowe.

Przykład.

Otóż jeśli dojdzie do naruszenia prawa bo np. X pomówi Y na forum to dostawca usług medialnych może przekazać adres IP policji. Dostawca jednak nie jest stroną w sprawie i dostępu do tych danych nie będzie miał. Nie będzie miał takiej możliwości. Podobnie jeśli zwróci się sam z siebie do operatora to operator nie udostępni mu danych osobowych. W tym wypadku adres IP nie posłuży nawet pośrednio do ustalenia tożsamości przez dostawcę usług.

Co innego jeżeli dostawca będzie pokrzywdzonym. Wtedy przekaże policji materiał jaki zabezpieczył (np. logi i informacje dotyczące włamania) i nijako przez swój udział w sprawie wejdzie w posiadanie informacji kto jest abonentem czyli zidentyfikuje osobę fizyczną za pomocą policji, a ona za pomocą operatora. O ile oczywiście w ogóle się to uda.

I to jest ważne. Otóż nie można założyć z góry, że policji uda się otrzymać informację od każdego operatora na świecie kto jest zarejestrowanym abonentem, do którego jest przypisany stały adres IP czy też w danym czasie korzystał z dynamicznego adresu IP wskazywanego przez dostawcę usług. Postępowanie może zostać także umorzone choćby w wyniku braku ustalenia tożsamości tego abonenta. Identyfikacja zatem nie zostanie osiągnięta, ale były środki prawne umożliwiające jej ustalenie, z których skorzystał dostawca.

Do czego zmierzam?

Chodzi mi o to, że w mojej ocenie jednak nie można zakładać z góry takiego podejścia, że zbierając logi zawsze dostawca usługi będzie dążył do możliwości identyfikacji osób, które kryją się za adresami IP. W większości przypadków nie będzie tego robił. Może zdarzyć się jeden przypadek na milion gdy odnotuje naruszenie i tylko będzie zależało mu na identyfikacji sprawcy. Czy to oznacza, że będzie starał się zidentyfikować pozostałe adresy IP? Oczywiście, że nie. Bo nie ma takiego racjonalnego uzasadnienia. Będzie tylko starał się uzyskać dostęp do informacji za pomocą policji,  kto kryje się za danym adresem IP gdy dojdzie do naruszenia. Mówimy tu zatem o bardzo konkretnej sytuacji stąd w mojej ocenie tylko w takich przypadkach możemy mówić o przetwarzaniu adresów IP jak danych osobowych.

Wyrok interpretowałabym zatem wąsko. Sąd wskazał, że prawo niemieckie, podobnie jak i polskie, nie pozwala operatorowi przekazywać bezpośrednio dostawcy usług medialnych online dodatkowych informacji koniecznych do identyfikacji osoby, której dane dotyczą, z zastrzeżeniem, że istnieją środki prawne umożliwiające dostawcy usług medialnych online zwrócenie się do właściwego organu, aby podjął on konieczne działania w celu uzyskania tych informacji od operatora.

W świetle całości powyższych rozważań dynamiczny adres IP zarejestrowany przez dostawcę usług medialnych online przy okazji przeglądania przez daną osobę strony internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego dostawcy dane osobowe tylko w sytuacji gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby, której dane dotyczą (w tym wypadku chodzi o abonenta), a takimi będzie dysponował dopiero jak dojdzie do wystąpienia okoliczności, które umożliwią mu skierowanie postępowania na drogę sądową. Do tego czasu nie możemy postawić znaku równości pomiędzy adresem IP i danymi osobowymi dla dostawcy usług medialnych, który jednocześnie nie przetwarza innych danych obok adresu IP, które pozwalałby na identyfikację.

Co z wydawcą internetowej prasy czy bloga?

Jeżeli adres IP przetwarzasz jako usługodawca np. przy komentarzach i nie prosisz tam o podanie np. e-maila czy innych dodatkowych danych, które mogłyby identyfikować osobę to jak najbardziej w przypadku odnotowania naruszenia prawa możesz, wstępując na drogę sądową, poprosić o udostępnienie danych abonenta za pośrednictwem odpowiedniego organu. I w tym wypadku będą to dla Ciebie dane osobowe, ale tylko w tym przypadku gdy masz środki prawne by ustalić tożsamość osoby posługującej się danym adresem IP.

Co jednak z blogiem? Pamiętajmy oczywiście, że jeśli blog ma wymiar osobisty/domowy to nie stosujemy przepisów o ochronie danych do takich osób prowadzących prywatne blogi. Nie ma zatem np. obowiązku zgłoszenia zbiorów danych jak ostatnio sugerowały niektóre media. Nie zgadzam się z takim podejściem.

Natomiast co w sytuacji gdy mamy na portalu możliwość komentowania w ramach aplikacji do komentowania typu facebook czy disqus? Tutaj w zasadzie dostawca usługi medialnej nawet nie będzie miał możliwości zapoznania się z adresem IP. Dostawca usługi do komentowania będzie takie dane gromadził w swoich logach. Dopiero w konkretnym przypadku gdy dojdzie do naruszenia będzie można racjonalnie mówić o możliwości uzyskania przez Ciebie adresu IP i później spróbowania ustalenia tożsamości abonenta za pośrednictwem policji.

A co jeżeli w ramach strony korzystasz z Google Analytics i tam usługa Google rejestruje adresy IP? Jeśli te dane nie są Ci potrzebne to możesz skorzystać z funkcji _anonymizelp w bibliotece JavaScript oraz funkcji ga(‘set’, ‘anonymizeIp’, true) w bibliotece analytics.js.

A co jeśli masz programy zabezpieczające, które rejestrują intruzów i zbierają adresy IP po to by np. czasowo blokować aktywność tym adresom? W takim przypadku pamiętajmy, że jeśli odnotujesz naruszenie prawa będziesz mógł skorzystać z danych, które wygenerują programy zabezpieczające, w tym będziesz mógł posłużyć się adresami IP i będziesz mógł wystąpić jako pokrzywdzony kierując sprawę na drogę sądową, a operator będzie mógł udostępnić dane policji/proukraturze, a w konsekwencji także i Ty będziesz mieć możliwość dostępu do nich jako pokrzywdzony działaniem intruza. W takim dopiero przypadku będziesz dysponował środkami prawnymi umożliwiającymi Ci zidentyfikowanie osoby.

Jaki z tego wniosek?

Jeśli w obrębie usługi, którą świadczysz zbierasz adresy IP zastanów się po co to robisz i czy jest to konieczne. Jeśli uznasz, że jest to potrzebne to prawdopodobnie dlatego, że mówiąc wprost chcesz mieć możliwość identyfikacji kto dopuścił się określonego działania, tj. komu można przypisać ewentualną odpowiedzialność i albo te dane przekażesz podmiotowi, który poprosi o ich udostępnienie, tj. policji albo sam te dane przekażesz policji występując jako pokrzywdzony.

Pamiętajmy jednak, że tylko w tym drugim przypadku dojdzie do sytuacji gdzie będziesz dysponował  środkami prawnymi umożliwiającymi Ci racjonalnie rzecz biorąc zidentyfikowanie osoby czyli w tym konkretnym przypadku będziesz mógł stwierdzić, że adres IP pozwala na ustalenie tożsamości osoby (stwarza potencjalną możliwość uzyskania informacji kto jest abonentem). I to potwierdza literalna wykładnia i wąska interpretacja orzeczenia w postępowaniu Patrick Breyer vs. Bundesrepublik Deutschland.

Interesuje Cię ten temat?

Podziel się linkiem w social media. A jeśli masz pytania napisz komentarz albo

Wyślij wiadomość

Autor grafiki promującej wpis: