CZY ADRES IP TO DANA OSOBOWA

CIEKAWOSTKI

GIODO-HOME

OCHRONA DANYCH OCZAMI KRYPTOS

14 czerwca 2016

0

918

ADRES IP

Czy Adres IP stanowi dane osobowe?

     Adres IP (ang. Internet Protocol) jest to wyrażone numerycznie oznaczenie nadawane interfejsowi sieciowemu, grupie interfejsów lub nawet całej sieci komputerowej w celu identyfikacji w ramach komunikacji sieciowej. Na pierwszy rzut oka zatem nie wydaje się być związany z określoną osobą fizyczną. Wbrew popularnemu przekonaniu adres IP nie musi nawet identyfikować w sieci konkretnego komputera. Może być wspólny dla wielu urządzeń, a nawet zmieniać się przy każdym łączeniu z internetem. Czy adres IP komputera to dana osobowa?

      Według opinii Generalnego Inspektora Ochrony Danych Osobowych adres IP komputera może być w pewnych przypadkach uznany za dane osobowe, gdy jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi. Wtedy należy uznać, że stanowi on daną osobową. Według szczegółowych wyjaśnień GIODO istnieją sytuacje, w których nie można przypisać adresu IP do konkretnej osoby (np. w niektórych kawiarniach internetowych), ale w sytuacji połączenia adresu IP z innymi danymi, adres IP może zostać uznany za daną osobową. W wielu przypadkach, nawet przy korzystaniu z komputera w kawiarence internetowej, wykorzystując dane zarejestrowane przez system nadzoru wizyjnego w zestawieniu z innymi danymi (np. dotyczących płatności przy użyciu karty kredytowej), możliwe jest zidentyfikowanie osoby korzystającej w danym czasie z danego komputera.

      Zgodnie z obowiązującym prawem dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Nie budzi wątpliwości, że do danych osobowych należą imię, nazwisko, data urodzenia czy numer PESEL. Reguluje to Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 roku (Dz.U. 1997, Nr 133, poz. 883 z późn. zmian.). Rzecz jednak dotyczyć może również adresów IP. Z tego założenia wychodzi Komisja Europejska, która w swoich zamiarach ma ujednolicenie prawa w tym zakresie. Zainteresowanie prawników numerami IP bierze się głównie stąd, że często stanowią one główny ślad pozostawiony w internecie przez anonimowych użytkowników, np. prezentujących wypowiedzi naruszające dobra osobiste innych osób. W takich sytuacjach podjęcie działań prawnych w celu ochrony dóbr osobistych wymaga identyfikacji autora obraźliwych wypowiedzi i tu pojawia się pytanie o możliwość kwalifikacji numerów IP jako danych osobowych, co ma znaczenie po pierwsze, dla przypisania pewnej aktywności w internecie konkretnej osobie, a po drugie, dla uzyskania informacji pozwalających na jednoznaczne zidentyfikowanie tej osoby.
Zgodnie ze zdroworozsądkowym poglądem podzielanym w orzecznictwie sądów – adres IP może być zaliczony do danych osobowych, ale pod warunkiem, że jest na dłuższy okres lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi – tylko w tym zakresie jest bowiem informacją umożliwiającą identyfikację konkretnej osoby fizycznej (tak przykładowo wyrok NSA z 19 maja 2011 r., I OSK 1079/10). Taka kwalifikacja oznacza, że adresy IP i związane z nimi informacje pozwalające na identyfikację użytkowników internetu mogą być przetwarzane przez odpowiednie podmioty (np. dostawców usług internetowych) tylko z zachowaniem wymogów określonych w przepisach o ochronie danych osobowych, w tym nie mogą być dowolnie udostępniane osobom trzecim.

   Spróbujmy uporządkować posiadaną wiedzę w zakresie IP i w świetle stanowiska GIODO. Danymi osobowymi są zatem takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak również na określenie jej tożsamości przy pewnym nakładzie kosztów, czasu lub działań. Opinia Grupy Roboczej ds. Ochrony Danych, powołanej przez Parlament Europejski i Radę Europejską (rozdz. III pkt 3 przykład 15) uznała literalnie adres IP za dane dotyczące osoby możliwej do zidentyfikowania, stwierdzając, że:

     Dostawcy usług internetowych oraz menedżerowie lokalnych sieci mogą, stosując rozsądne środki, zidentyfikować użytkowników internetu, którym przypisali adresy IP ponieważ systematycznie zapisują w plikach daty, czas trwania oraz dynamiczny adres IP (czyli ulegający zmianie po każdym zalogowaniu) przypisany danej osobie. To samo odnosi się do dostawców usług internetowych, którzy prowadzą rejestr (logbook) na serwerze HTTP Nie ma wątpliwości, że w takich przypadkach można mówić o danych osobowych, w rozumieniu art. 2 Dyrektywy

      W związku z powyższym należy uznać, że w przypadkach, gdy adres IP jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową. W praktyce możemy się spotkać jednak z sytuacjami, gdy jednoznaczne przypisanie adresu IP do konkretnej, zidentyfikowanej osoby nie jest praktycznie możliwe.  

  Sytuacja taka może wystąpić np. w kawiarenkach internetowych, gdzie komputery udostępniane są klientom bez odnotowywania ich danych identyfikacyjnych. Niemniej adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową. Szczególną uwagę należy przywiązywać do zbiorów obejmujących adresy IP w sytuacji, gdy dochodzi do łączenia podmiotów mogących być administratorami danych osobowych. Może się bowiem okazać, że podmiot, dotychczas niemogący łączyć adresu IP z innymi danymi identyfikacyjnymi, uzyskuje taką możliwość po połączeniu podmiotów. W tej sytuacji adresy IP zbierane dotychczas jako dane niemieszczące się w pojęciu danych osobowych, staną się nimi w związku z potencjalną możliwością uzupełnienia ich o dane identyfikacyjne.

Dla bezpieczeństwa danych osobowych, należy chronić adres IP jako daną osobową.

Program dla ABI 

Tagi:

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Copyright © 2016 Kryptos - All Rights Reserved