Czy adres IP stanowi dane osobowe?


Ten problem wraca co jakiś czas przy okazji internetowych rozmów. Istniał on w czasach poprzedniej Ustawy o ochronie danych osobowych i istnieje dzisiaj w czasach RODO. Skąd w ogóle bierze się to pytanie? W kontekście RODO można je zadać po lekturze definicji danych osobowych oraz Motywu 30:

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Art. 4 pkt 1) RODO

Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Motyw 30 RODO

Zanim przedstawię cytaty z wyroku Trybunału Sprawiedliwości UE, które wiele wyjaśniają, przedstawię moją wypowiedź z jednej z internetowych dyskusji w której mniej prawniczym żargonem argumentowałem czemu adres IP w przytłaczającej większości wypadków nie stanowi danych osobowych:

[A]dres IP jest adresem urządzenia a nie użytkownika. Jeżeli jakiś użytkownik „przychodzi z pewnego adresu IP”, to ten adres IP może być adresem każdego z sieciowych urządzeń pośredniczących. W przypadku adresu IP widzianego z perspektywy Internetu niemalże na 100% będzie to adres jakiegoś routera obsługującego setki lub tysiące użytkowników. Dotarcie do konkretnego komputera wymaga nakazów sądowych wobec operatorów internetowych, który odczytują dalsze dane z tego routera podając kolejny adres IP, który być może prowadzi do czyjegoś urządzenia a być może… do kolejnego routera, i do kolejnego routera, i do kolejnego.

Praktycznym przykładem tego, że IP nie stanowi danych osobowych, jest to, że Policja czasami zawzięcie namierza różnego rodzaju złoczyńców (ostatnio modna jest „mowa nienawiści”, groźby przez Internet) aż do konkretnego komputera w konkretnym budynku i… sprawa jest umarzana. Dlaczego? W danym budynku może pracować 10 osób albo mieszkać 5 osobowa rodzina, wszyscy korzystają z tego samego komputera i nikt się nie przyznaje. Mogliby wtedy zadziałać, gdyby mieszkał tam jakiś samotnik, który miałby komputer ORAZ router domowy zabezpieczony tak, że tylko ona sam mógłby się tam zalogować.

Przywołałeś przykład sieci w jednym pokoju. Ten przykład jest o tyle korzystny dla Twojej tezy, że ludzie w jednym pokoju, gdy są podłączeniu do jednej sieci, będą prawdopodobnie widzieć swoje „bezpośrednie IP”, nie będzie widać urządzeń pośredniczących. W dalszym ciągu jednak żadna z osób, gdyby jej przedstawić numer IP, nie potrafiłaby powiedzieć, do którego urządzenia ono należy ani tym samym do jakiej osoby. Dodatkowo że końcowi użytkownicy zazwyczaj mają zmienne IP.

Wobec tego kiedy adres IP ma możliwość być danymi osobowymi? W połączeniu z dodatkowymi informacjami – najlepiej z loginem czy adresem e-mail użytym w którymś momencie podczas korzystania z Internetu. Wówczas adres IP rozszerza możliwości śledzenia działań danej osoby, aczkolwiek i tak jest w tym zupełnie kiepski. Stąd rozwijają się techniki tzw. internetowego fingerprintingu, które próbują skonstruować w sposób matematyczny unikalny numer identyfikacyjny użytkownika biorąc pod uwagę właściwości karty graficznej, rozdzielczości monitora i wiele, wiele innych informacji, które uzyskać można na temat internauty. Dużym problemem dla podmiotów śledzących jest śledzenie pracowników firm, bo Ci przeważnie nie tylko mają wspólny adres IP, ale zazwyczaj też identyczne komputery (firma zakupuje np. 200 sztuk identycznych w ramach przetargu). Nawet na to jednak znajduje się sposoby, np. wykorzystując błędy w protokole WebRTC do przechwycenia dodatkowych wewnętrznych adresów IP.


Teraz kilka cytatów z wyroku TSUE z dnia 19 października 2016 r. w sprawie C‑582/14. Sprawa dotyczyła zbierania adresów IP w logach serwerowych.

Trybunał uznał zasadniczo, że adresy IP użytkowników Internetu stanowią chronione dane osobowe, jako że pozwalają na precyzyjną identyfikację tych użytkowników. Niemniej powyższe twierdzenie Trybunału odnosiło się do przypadku, w którym gromadzenie i identyfikacja adresów IP użytkowników Internetu są dokonywane przez dostawców dostępu do Internetu.

Czyli adresy IP same w sobie są danymi osobowymi, gdy są przetwarzane przez operatorów telekomunikacyjnych. Wynika to z tego, że mają oni możliwości dochodzenia tożsamości użytkowników, której nie ma nikt inny. Dla nikogo innego nie są one danymi osobowymi same w sobie.

bezsporne jest, iż dynamiczny adres IP nie stanowi informacji odnoszącej się do „zidentyfikowanej osoby fizycznej”, jako że taki adres nie ujawnia bezpośrednio tożsamości osoby fizycznej będącej właścicielem komputera, z którego była przeglądana strona internetowa, ani tożsamości innej osoby, która mogłaby korzystać z tego komputera.

Czyli dynamiczny adres IP sam w sobie nie stanowi danych osobowych.

Należy jednak ustalić, czy możliwość połączenia dynamicznego adresu IP z owymi dodatkowymi informacjami będącymi w posiadaniu tego dostawcy dostępu do Internetu stanowi sposób, który może, racjonalnie rzecz biorąc, zostać zastosowany w celu zidentyfikowania osoby, której dane dotyczą.

Czyli adresy IP mogą stać się danymi osobowymi jeżeli ten, kto je przetwarza, dysponuje dodatkowymi informacjami.

dynamiczny adres IP zarejestrowany przez dostawcę usług medialnych online przy okazji przeglądania przez daną osobę strony internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego dostawcy dane osobowe w rozumieniu tego przepisu, w sytuacji gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby, której dane dotyczą, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu dla tej osoby.

To jest bardzo interesująca wypowiedź. Dotyczy ona sytuacji takiej, w której „dostawca usług medialnych” (np. serwis internetowy) może w świetle prawa zwrócić się do operatora telekomunikacyjnego (np. Netia, Orange etc.) o uzyskanie dodatkowych informacji o danym adresie IP celem np. wszczęcia postępowania karnego. Jeżeli takie coś jest możliwe prawnie w danym kraju, to wówczas można mówić o tym, że adres IP – nawet dynamiczny – stanowi dane osobowe.

Czy w Polsce w takim razie jest to możliwe? Wedle mojej obecnej wiedzy: nie. Operator może współpracować w tej sprawie np. z Policją, ale nie ze zwykłym „dostawcą usług”. Innymi słowy, dynamiczny adres IP nie jest wtedy daną osobową.

Co jednak w przypadku adresów IP pochodzących spoza Polski? Jeżeli byłyby kraje, z których operatorzy udzielaliby takich informacji wobec ludzi, których obsługują, wówczas naturalnie mielibyśmy dane osobowe.

Rozmaite uzupełniające rozważania na ten temat znalazłem też tutaj i polecam:

Dla kompletności wspomnę tutaj jeszcze o interpretacji GIODO zza czasów poprzedniej ustawy:

adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.