Data protection | Ochrona danych osobowych

Czy według RODO adres IP jest daną osobową? Adres IP per se i jego anonimizacja

digital-marketing-1433427_1280

W związku z zeszłoroczną reformą prawa ochrony danych osobowych na nowo można spojrzeć na kwestię ustalenia czy adres IP stanowi daną osobową.

Adresy IP wykorzystuje się w celach analiz socjologicznych, demograficznych, marketingowych i innych. Niektóre banki wykorzystują te dane przy weryfikacji dostępu do usług dla swoich klientów.

Czym jest adres IP?

Komputery i inne urządzenia są połączone z Internetem za pośrednictwem identyfikatora nazywanego Internet Protocol (IP), co umożliwia im komunikację.

Instytucja zarządzająca Internetem w zakresie nadawania nazw i numerów ICANN (Internetowa Korporacja ds. Nadawania Nazw i Numerów) z siedzibą w Kalifornii upoważnia regionalne podmioty podlegające IANA, czyli the Internet Assigned Numbers Authority do nadawania nazw i numerów. IANA dokonuje przydziału bloków z adresami dla jednego z pięciu regionów rejestrowych, tj. Regional Internet Registries (RIPE w Europie). Następnie te regionalne instytucje udostępniają adresy IP dostawcom usług i organizacjom.

Standard IPv4 i IPv6

Najpopularniejszym typem adresów IP jest ciąg 4 liczb, co stanowi standard IPv4 (obejmuje już 4,4 mld adresów). Coraz bardziej popularnym staje się standard IPv6, który składa się z ośmiu grup po cztery liczby w każdej z nich.

Statyczny i dynamiczny adres IP

Jeśli użytkownik połączy się z Internetem, to otrzymuje adres IP statyczny lub dynamiczny. Niektórzy dostawcy usług stosują adresy statyczne, a inni za każdym razem przy połączeniu nadają inny adres IP danemu urządzeniu. Można sprawdzić adres IP  komputera klikając tutaj. A po ponownym połączeniu się z Internetem można stwierdzić, czy dany adres IP jest statyczny czy nie.

Kiedy dane są danymi osobowymi?

Muszą zostać spełnione 3 przesłanki, aby można było uznać, że dane są danymi osobowymi:

  • musi to być informacja – wszelkiego rodzaju,
  • musi dotyczyć osoby fizycznej, czyli nie może dotyczyć np. spółki czy zwierzęcia,
  • osoba fizyczna, której dotyczy musi zostać zidentyfikowana lub możliwa do zidentyfikowania.

RODO o adresach IP

Ostatecznie RODO przesądziło, że adres IP może zostać uznany za daną osobową. Dotyczy to również dynamicznych adresów IP. „RODO” mówi, że :

„Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików Cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory (…).

Może to skutkować zostawieniem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania osób.”

Adresy IP w orzecznictwie sądów

Po raz pierwszy w wyroku Trybunału Sprawiedliwości UE z 24.11.2011 r. w sprawie Scarlet Extended SA v. SABAM, C-70/10, która dotyczyła sporu z dostawcą Internetu adres IP został zakwalifikowany jako dane osobowe.

Następnie Trybunał Sprawiedliwości UE w dniu 19 października 2016 roku wydał wyrok w sprawie C-582/14 (Patrick Breyer  v Bundesrepublik Deutschland), gdzie wskazał, że dynamiczny adres IP ma cechy informacji o charakterze osobowym, ponieważ możliwa jest identyfikacja osoby fizycznej na jego podstawie. Trybunał uznał jednak, że dane w postaci dynamicznego IP stanowią dane osobowe, o ile administrator serwisu dysponuje środkami prawnymi umożliwiającymi zidentyfikowanie użytkownika, a to poprzez informacje posiadane przez dostawcę Internetu.

RODO ostatecznie rozstrzygnęło wątpliwości krajowych i unijnych sądów.

Bez znaczenia jest to, czy dane są prawdziwe czy nie.

Adres IP per se. Jak wydawcy prasy, właściciele portali internetowych mogą ustrzec się przed przykrymi konsekwencjami, o których mówi RODO?

Wydaje się, że najlepszym wyjściem jest traktowanie wszystkich adresów IP (również tych występujących samodzielnie, czyli „per se”) jako dane osobowe i stosowanie odpowiedniej ochrony.

Innym wyjściem pozostaje anonimizacja adresów IP przy ich gromadzeniu i przetwarzaniu. Adresy IP mogą być gromadzone i przetwarzane na różne sposoby (np. poprzez Google Analytics).

W świetle obowiązujących przepisów bezpiecznym rozwiązaniem dla każdego, kto gromadzi i przetwarza adresy IP będzie traktowanie wszystkich adresów IP jako dane osobowe.

Stan na dzień: 16 stycznia 2019 roku

Orzecznictwo:

  1. Wyrok TSUE z 24.11.2011 r., (Scarlet Extended SA  v. SABAM, C-70/10).
  2. Wyrok TSUE z 19.10.2016 r., (Breyer v. Republika Federalna Niemiec, C-582/14).

Foto: pixabay.com

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s