Adresy IP – czy są to dane osobowe?

Adres IP to numer przyporządkowany konkretnemu urządzeniu korzystającemu z sieci komputerowych. Na podstawie numeru IP można zidentyfikować konkretny komputer lub inne urządzenie końcowe.

Art. 4 RODO wskazuje iż: dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Uproszczając powyższą definicje danymi osobowymi są informacje o osobie którą można zidentyfikować na ich podstawie. Identyfikacja musi być możliwa w kontekście dostępnych środków i niewymagająca nadmiernego wysiłku.

Czy adresy IP są danymi osobowymi? Ten temat rodzi wiele kontrowersji. Co do zasady IP umożliwia zidentyfikowanie urządzenia, a nie konkretnego użytkownika. Urządzenia elektroniczne nie są rejestrowane w żadnej bazie danych. Komputer czy smartphone nie musi być użytkowany przez jego właściciela. Może zostać przecież użyczony lub mieć wielu użytkowników. Dlatego wydawać by się mogło, ze trudnym jest zidentyfikowanie danej osoby po samym adresie IP.

W wyroku z dnia 19 maja 2011 r., sygn. akt I OSK 1079/10 Naczelny Sąd Administracyjny orzekł, że w przypadku gdy urządzenie przez dłuższy czas należy do jednego właściciela, uznaje się, że adres IP to dane osobowe. Drugą przesłanką na którą wskazał NSA jest przypisanie jednego i niezmiennego adresu IP temu urządzeniu. Natomiast jeśli choć jedna z tych przesłanek nie zostanie spełniona, nie będzie można mówić o adresie IP w kontekście danych osobowych.

Trybunał Sprawiedliwości Unii Europejskiej, również badał zagadnienie Adresu IP jako danych osobowych. W wyroku z 19.10.2016 r., C-582/14, Patrick Breyer v. Bundesrepublik Deutschland (CURIA), Trybunał orzekł, że Adresy IP, mające charakter dynamiczny (przyznawane użytkownikowi nie na stałe, a na czas trwania danej sesji połączenia internetowego), mogą posłużyć za dane osobowe w rozumieniu ustawy o ochronie danych osobowych.

Wobec tego pomimo przypisania adresu IP konkretnemu urządzeniu, a nie konkretnemu użytkownikowi, Sądy kwalifikują adres IP jako dane osobowe, które pośrednio umożliwiają zidentyfikowanie osób fizycznych.

Podsumowując, uznawanie adresu IP za dane osobowe może być zależne od okoliczności. Jednakże jeśli zbierasz adresy IP powinieneś uznawać je za dane osobowe. Najbezpieczniej jest zakwalifikować wszystkie adresy IP, które przetwarzamy jako dane osobowe. Należy wówczas spełnić obowiązki jakie nakłada na administratora takich danych ogólne rozporządzenie o ochronie danych osobowych. Spełnienie tych obowiązków nie jest tak uciążliwe jak kary, które mogą spotkać osobę przetwarzającą adresy IP uznawane za dane osobowe.

 

Autorzy:

adw. Krzysztof Lamparski

Jakub Skibiński