Na temat tego, czy adres IP to dana osobowa czy nie, powstało kilka teorii. I tak, możemy usłyszeć, że bezapelacyjnie jest to informacja która wpisuje się w definicje danych osobowych. Jest jeszcze taki punkt zapatrywania, że to zależy. Są też i takie głosy, że ciężko uznać go jako informację, która bezpośrednio, a nawet pośrednio identyfikuje konkretnego człowieka. Więc, jak to jest? Postaramy się znaleźć odpowiedź w dzisiejszym artykule.
Czym jest adres IP?
Zaczniemy dosyć banalnie, ale nie bez powodu. Czym jest adres IP (raczej) już wszyscy wiemy. Żeby jednak łatwiej ocenić, czy jest to dana osobowa, czy nie, konieczne jest przywołanie jego „definicji”. Zatem, jest to to numer identyfikacyjny komputera lub serwera w sieci. Może być on stały lub zmienny. Nie jest „numerem rejestracyjnym” komputera – nie identyfikuje jednoznacznie fizycznego urządzenia, bowiem może się dowolnie często zmieniać jak również kilka urządzeń może dzielić jeden publiczny adres IP. Ustalenie adresu IP użytkownika, dla którego następowała transmisja w danym czasie to zatem niełatwy orzech do zgryzienia – może on nastąpić na podstawie historycznych zapisów systemowych. Co więcej, jest to po prostu ciąg liczb.
Co na to RODO?
Wydaje się, że RODO poszło (chyba) za daleko. A być może jego interpretacja. Art. 4 pkt. 1 rozporządzenia wymienia bowiem jako jedną z informacji „wpisujących” się w dane osobowe właśnie adres IP. Wczytując się nieco dokładniej w ten przepis można jednak zauważyć, że zawarta w nim definicja danych osobowych wymienia przecież przykłady informacji które mogą stanowić dane osobowe. SAM numer ciężko uznać za danę osobową. Obrazując to metodą porównawczą – nikt nie ma wątpliwości, że samo imię nie jest daną osobową (co do zasady). Dlaczego zatem tyle problemów nastręcza sam adres IP? Zdaje się, że nieco oliwy do ognia dolewa motyw 30 RODO, z którego wynika, że „osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób”.
I tak, na tej podstawie pojawiły się głosy że adres IP zawsze jest daną osobową. Według nas jest to jednak wniosek na wyrost. Mając sam adres IP, bez dużego wysiłku nie możemy przecież zidentyfikować konkretnego użytkownika. Oczywiście, istnieje taka możliwość, ale często jest ona nieosiągalna, a wręcz niewykorzystywana przez właścicieli stron z prostej przyczyny – nie mają oni celu w ustalaniu tożsamości użytkownika. I w tym miejscu warto zacytować fragment 26 motywu RODO który wyraźnie mówi, że „aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji”.
Jaki stąd wniosek?
Sam adres IP nie zawsze jest daną osobową, bo przecież sam ciąg liczb nie pozwala nam (tak łatwo) na ustalenie tożsamości osoby. Może nią być, jednak zdaje się, że tylko w powiązaniu z innymi danymi, tj. w sytuacji gdy zestawienie danych pozwala nam na identyfikację konkretnej osoby.
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.
