Zakwalifikowanie konkretnych informacji jako danych osobowych ma doniosłe skutki z punktu widzenia administratora tych danych. Ustawa o ochronie danych osobowych, nakłada bowiem szereg obowiązków związanych z przetwarzaniem danych osobowych osób fizycznych tj. zabezpieczenie tych danych, obowiązki informacyjne wobec osoby, której dotyczą czy obowiązek rejestracji zbiorów danych. Za ich naruszenie grozi odpowiedzialność administracyjna ze strony Generalnego Inspektora Danych Osobowych oraz odpowiedzialność karna. W pewnych przypadkach, za dane osobowe można uznać również adres IP (Internet Protocol Address) komputera, choć na tym tyle może pojawić się szereg wątpliwości.
Zgodnie z ustawową definicją danych osobowych, informacja musi spełniać następujące wymogi by móc uznać ją za dane osobowe: 1) może to być każda informacja, niezależnie od sposobu i formy jej wyrażenia, 2) musi odnosić się do osoby fizycznej, 3) musi istnieć możliwość powiązania tych informacji ze zidentyfikowaną lub możliwą do zidentyfikowania osobą, bez ponoszenia nadmiernych kosztów, nakładu czasu czy działań.
Zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna
Największe problemy mogą powstać na gruncie trzeciej przesłanki uznania informacji za należącą do katalogu danych osobowych tj. przydatność do zidentyfikowania osoby fizycznej, której dane dotyczą. Ustawa nie definiuje wprost pojęcia osoby zidentyfikowanej, lecz jedynie pojęcie osoby możliwej do zidentyfikowania - jest to osoba, której tożsamość można ustalić w sposób bezpośredni lub pośrednio bez nadmiernego nakładu kosztów, czasu oraz działań. Na tej podstawie można wysnuć wniosek, że osobą zidentyfikowaną jest osoba, której tożsamość jest znana administratorowi danych, bez konieczności podejmowania jakichkolwiek działań w celu ustalenia jej tożsamości. Każdy przypadek należy przy tym oceniać indywidualnie, z uwzględnieniem wszystkich okoliczności danej sprawy, a to czy dana informacja pozwala na identyfikację osoby oraz czy środki podjęte w tym celu są proporcjonalne, wynika przede wszystkim z kontekstu, w jakim informacja występuje.
Kwalifikacja adresu IP jako danych osobowych
Adres IP jest to unikatowy numer przyporządkowany urządzeniu będącemu w sieci informatycznej. Oznacza to, że w sposób bezpośredni pozwala jedynie na identyfikację urządzenia, a nie osoby fizycznej. Ta informacja sama w sobie – bez połączenia z innymi danymi – nie pozwala ustalić tożsamości osoby fizycznej, a co za tym idzie nie może zostać uznana za dane osobowe. Jeżeli jednak podmiot przetwarzający adres IP ma jednocześnie dostęp do innych danych identyfikujących konkretną osobę fizyczną, która korzystającą z tego urządzenia, to adres IP będzie mógł zostać uznany za daną osobową. Powyższe uwagi należy odnosić co do zasady tylko do tzw. stałych adresów IP.
Adres IP stały
Stały adres IP komputera, w przeciwieństwie do dynamicznego, nie zmienia się po każdym kolejnym przyłączeniu do sieci internetowej, ale pozostaje przypisany na stałe lub na pewien dłuższy okres do konkretnego urządzenia, a to urządzenie z kolei przypisane jest konkretnemu użytkownikowi. Biorąc pod uwagę kryterium nadmiernych kosztów, czasu oraz działań, należy przyjąć, że stały adres IP urządzenia należącego do konkretnej osoby fizycznej, dla dostawcy Internetu, który ten adres przyznał, będzie – co do zasady – stanowić dane osobowe, ponieważ dostawca jest również w posiadaniu innych informacji identyfikujących abonenta tj. imię, nazwisko, adres itp. Co zaś do podmiotów świadczących usługi w sieci internetowej tj. prowadzących forum lub stronę internetową, ocena spełnienia przez stały adres IP przesłanek dla uznania tej informacji za dane osobowe będzie musiała być zawsze dokonana indywidualnie, uwzględniając w szczególności to czy dysponent tych danych ma dostęp również do innych informacji identyfikujących użytkownika sieci lub potencjalne możliwości techniczne ich uzyskania. Podmiot prowadzący witrynę internetową, który zapisuje w plikach dane tj. adres IP oraz data i godzina przeglądania strony internetowej, może stosując różne środki, pośrednio zidentyfikować użytkowników Internetu. Według stanowiska Generalnego Inspektora Danych Osobowych (GIODO), stały adres IP może być uznany za dane osobowe, już w przypadku gdy istnieje nawet potencjalna możliwość identyfikacji użytkownika komputera. Taka sytuacja może mieć miejsce już wtedy, gdy administrator gromadząc dane jedynie przewiduje, że sposoby umożliwiające zidentyfikowanie właściciela IP mogą stać się dostępne (np. przez wykorzystanie drogi sądowej). Wydaje się jednak, że to stanowisko jest zbyt daleko idące, w szczególności mając na uwadze to, że zgodnie z ustawą o ochronie danych osobowych, zakwalifikowanie informacji jako danej osobowej, zależy od tego czy środki podjęte w celu zidentyfikowania osoby fizycznej, której dotyczy nie były nadmierne. Status posiadanych informacji na temat użytkownika może się jednak zmieniać, i tak w przypadku wejścia dysponenta w posiadanie dodatkowych danych, może się okazać, że pozwalają one na identyfikację osoby fizycznej i co za tym idzie stanowią dane osobowe.
Istnieją oczywiście pewne wyjątkowe sytuacje, w których bezpośrednie przypisanie stałego adresu IP do konkretnej osoby nie będzie możliwe. Możemy się z tym spotkać w przypadku korzystania z komputerów w kawiarenkach internetowych, w których nie jest wymagane podanie przez klientów danych identyfikacyjnych. Zazwyczaj jednak możliwe będzie ustalenie tożsamości osoby, która korzystała w określonym czasie z urządzenia podłączanego do sieci, w sposób pośredni, po zestawieniu z innymi danymi tj. dane karty kredytowej, przy pomocy której dokonano płatności czy monitoring video.
Należy dodać, że charakteru danych osobowych nie można przypisać tzw. współużytkowanym stałym numerom IP, które przyznawane są lokalnej sieci internetowej łączącej komputery na określonym obszarze takim jak np. szkoła, laboratorium, czy biuro (LAN – Local Area Network), ze względu na to, że nie jest możliwe ustalenie konkretnego użytkownika sieci bez nadmiernego nakładu kosztów, czasu oraz działań.
Adres IP dynamiczny
Dynamiczny adres może zmieniać się automatycznie w pewnych odstępach czasu (np. co 24 godziny) lub przy każdorazowym połączeniu się z Internetem. Pytanie o to czy tego typu adres IP może również stanowić daną osobową wobec podmiotu prowadzącego witrynę internetową i co za tym idzie czy są objęte ochroną przewidzianą dla takich danych, było przedmiotem rozstrzygnięcia Trybunału Sprawiedliwości Unii Europejskiej (wyrok z dnia 19.10.2016 r w sprawie C-582/14 Patrick Breyer / Republika Federalna Niemiec). TSUE stwierdził, że dynamiczny adres IP zarejestrowany przez podmiot prowadzący witrynę internetową stanowi dane osobowe, w sytuacji gdy dysponuje on środkami prawnymi umożliwiającymi zidentyfikowanie osoby odwiedzającej stronę internetową, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu dla tej osoby. Rozstrzygnięcie Trybunału poszerza w ten sposób zakres informacji, które mogą być uznane za dane osobowe.
Zwolnienie z obowiązków wynikających z ochrony danych osobowych
Zakwalifikowanie adres IP jako danych osobowych nie zawsze będzie pociągało za sobą uciążliwe obowiązki wynikające z ustawy o ochronie danych osobowych dla ich dysponentów. 1) Po pierwsze zwolniona z nich będzie osoba, która przetwarza dane wyłącznie w celach osobistych lub domowych, a więc na tzw. prywatny użytek. Przetwarzanie danych nie będzie mogło mieć wówczas komercyjnego charakteru. To wyłączenie można zastosować tylko do dysponentów danych, którzy są osobami fizycznymi. 2) Drugi wyjątek odnosi się do danych zbieranych i przetwarzanych doraźnie. To wyłącznie ma jednak charakter częściowy, gdyż administrator będzie zobowiązany do ich odpowiedniego zabezpieczenia. W sferze Internetu dotyczyć to będzie przede wszystkim plików tymczasowych. Dysponent takich informacji musi jednak pamiętać o tym, żeby niezwłocznie po ich wykorzystaniu je usunąć lub poddać anonimizacji. 3) Największe znaczenie praktyczne ma trzecie wyłączenie, które ma miejsce w przypadku zakwalifikowania prowadzenia serwisu internetowego jako prasowej działalności dziennikarskiej. Osoba prowadząca taki serwis będzie jednak nadal zobowiązana do zabezpieczenia przetwarzanych danych osobowych oraz przestrzegania obowiązków wynikających z innych ustaw tj. prawo prasowe czy ustawa o świadczeniu usług drogą elektroniczną.
Autor: Karina Wronka