Prawo do ochrony

Dla oceny, czy adres IP należy traktować jak dane osobowe, ważna jest realna, istniejąca w danym czasie i w odniesieniu do konkretnego administratora możliwość powiązania go z konkretną osobą fizyczną.

Dla oceny, czy adres IP należy traktować jak dane osobowe, ważna jest realna, istniejąca w danym czasie i w odniesieniu do konkretnego administratora możliwość powiązania go z konkretną osobą fizyczną.

Kluczową okolicznością dla oceny, czy w przypadku adresu IP będziemy mieć do czynienia z danymi osobowymi, czy też nie, są możliwości dysponenta takich danych (np. osoby prowadzącej serwis internetowy) do identyfikacji osób, które IP się posłużyły. W szczególności chodzi o dysponowanie innymi informacjami, które można powiązać i przypisać do danego adresu IP (np. adresem e-mail, nazwą organizacji etc.). Oceniając „identyfikowalność” osoby, która posłużyła się danym adresem IP należy wziąć pod uwagę wszystkie sposoby, jakimi dysponent danych może się posłużyć w celu dokonania takiej identyfikacji. W tym kontekście mówi się w doktrynie o zjawisku „niepowtarzalnej kombinacji” czynników identyfikujących, a także o „subiektywizacji” pojęcia danych osobowych.

Oczywiście, nie wystarcza w tym przypadku czysto hipotetyczna możliwość odróżnienia. Jeżeli na przykład ustalenie tożsamości byłoby możliwe wyłącznie w rezultacie usterki technicznej lub naruszenia przez inną osobę obowiązku zachowania poufności - nie sposób mówić o istnieniu uprzedniej możliwości identyfikacji osoby. Podobnie należy ocenić sytuację, gdy ustalenie tożsamości byłoby co prawda możliwe, jednak pociągałoby za sobą bardzo wysokie koszty lub byłoby bardzo czasochłonne.

W praktyce, w wielu wypadkach nie będzie konieczne sięganie po nadzwyczajne środki czy koszty. Dla przykładu - dostawca Internetu (ISP), który zawarł umowę z osobą fizyczną (dysponuje jej nazwiskiem, adresem etc.) i przydziela jej stały IP lub zapewnia możliwość korzystania z adresu dynamicznego, może - wyłącznie na podstawie posiadanych przez siebie informacji - z dużym prawdopodobieństwem ustalić, kto korzystał z tego adresu w danym czasie. Dla tego podmiotu adres IP będzie więc daną osobową. Analogiczna sytuacja będzie miała miejsce w przypadku adresów IP użytkowników list dyskusyjnych lub innych usług internetowych, w ramach których dla skorzystania z usługi konieczne jest założenie profilu oraz podanie danych identyfikujących (np. serwisy aukcyjne). W takiej sytuacji adres IP użytkownika niezalogowanego nie będzie daną osobową, ale wraz z pierwszym zalogowaniem się go do profilu nastąpi jego powiązanie z odpowiednimi danymi identyfikującymi, w wyniku czego IP stanie się daną osobową.

Ocena możliwości identyfikacji osoby, a więc w konsekwencji uznania IP za „dane osobowe”, powinna być również analizowana w kontekście zmian technologicznych umożliwiających czy ułatwiających identyfikację użytkownika na podstawie adresu IP.

Bez nadmiernych starań

Zdaniem Grupy art. 29, nie bez znaczenia dla oceny, czy IP jest daną osobową, jest również cel, w jakim adresy IP są zbierane. Może zdarzyć się tak, że osoba zbierająca takie dane co prawda nie jest w stanie „w normalnym trybie” uzyskać innych informacji pozwalających na identyfikację, jednak zbiera takie informację właśnie w tym celu. Z takim zjawiskiem mamy do czynienia w przypadku monitoringu wideo miejsc publicznych, np. galerii handlowych. Utrwala się i przechowuje wizerunki osób, których tożsamości administrator sytemu nie jest w stanie ustalić. Jednak cel takich działań jest oczywisty - ewentualna późniejsza identyfikacja. Jeśli więc adresy IP gromadzone są w analogicznym celu - będą stanowiły dane osobowe.

Taka interpretacja może oczywiście stanowić potencjalnie sporny problem dla części administratorów serwisów, którzy zbierają dane o adresach IP celem identyfikacji użytkowników „w razie potrzeby”, nawet jeżeli inne posiadane lub dostępne w danej chwili administratorowi informacje w praktyce wykluczają możliwość identyfikacji.

Wydaje się, że prawidłowe podejście powinno być jednak analogiczne, jak w przypadku innych informacji, a ocena, czy adres IP stanowi, czy też nie, daną osobową, nie powinna być uzależniona od wyłącznie potencjalnej możliwości skojarzenia go w przyszłości z konkretną osobą, zwłaszcza w sytuacjach, gdy taka identyfikacja byłaby możliwa wyłącznie w przypadku wystąpienia dodatkowych okoliczności (np. podejrzenia popełnienia przestępstwa). Status adresu IP jako danej osobowej, czyli informacji możliwej do powiązania z konkretną osobą fizyczną, powinien raczej wynikać z aktualnych w danym czasie możliwości.

Przy dokonywaniu takiej oceny, przede wszystkim należałoby przeprowadzić test, czy administrator może w danej chwili wyłącznie własnymi staraniami (i to nie „nadmiernymi”, jak to stanowi ustawa), bez konieczności zaistnienia jakichkolwiek dodatkowych i niezależnych od niego okoliczności, ustalić tożsamość użytkownika posługującego się danymi IP. Jeżeli nie – nie ma powodu traktować takich informacji jak dane osobowe. Takie stanowisko wydaje się zgodne z zaprezentowaną na wstępie konstrukcją definicji danych osobowych, praktycznie identyczną na gruncie Dyrektywy 95/46/WE oraz polskiej ustawy o ochronie danych osobowych. Fundamentem tej definicji jest bowiem nie potencjalna, lecz realna, istniejąca w danym czasie i w odniesieniu do konkretnego administratora możliwość powiązania informacji z konkretną osobą fizyczną.

Biorąc pod uwagę, że w kwestii statusu prawnego adresów IP stanowisko Generalnego Inspektora Ochrony Danych Osobowych w znaczący sposób raczej nie będzie odbiegać od stanowiska europejskich organów doradczych, należy się chyba oswoić z myślą, że adresy IP w praktyce kontroli i decyzji GIODO będą jednak - przynajmniej w najbliższym czasie – w szerokim spektrum przypadków faktycznych traktowane jako dane osobowe.

W ostatniej części opracowania omówimy sytuacje, w których można przetwarzać dane osobowe, nie przejmując się ustawowymi ograniczeniami.

Michał Barta jest wspólnikiem w kancelarii radców prawnych Maruta i Wspólnicy ( http://www.maruta.pl ).