Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

W ubiegłym tygodniu Dziennik Internautów przedstawił stanowisko GIODO - wynika z niego, że adres IP należy traktować jak dane osobowe, jeśli jest on na stałe lub na dłuższy okres przypisany do konkretnego urządzenia, którym z kolei posługuje się konkretny użytkownik. Poprosiliśmy o opinię w tej sprawie radcę prawnego Rafała Ciska. Nie zgadza się on ze stanowiskiem GIODO.

Generalny Inspektor Ochrony Danych Osobowych postanowił, że z urzędu zajmie się sprawą podawania pełnych adresów IP w przypadku umieszczania komentarzy przez niezarejestrowanych lub niezalogowanych użytkowników w serwisie blogowym Blox.pl, który należy do Agora SA. Jego zdaniem praktyka taka powinna być zaniechana. Michał Olszewski, koordynator grupy społecznościowej w Gazeta.pl, wyjaśnił, że podawanie IP ma na celu m.in. przeciwdziałanie spamowi.

Na uwagę zasługuje fakt, że nie tylko Blox.pl stosuje niezalecaną przez GIODO praktykę. Jak słusznie zauważyli Czytelnicy Dziennika Internautów, dzieje się tak również na stronach należących do spółki IDG, podobne działania można zaobserwować w innym serwisie blogowym - Blog pl, a nawet w Wikipedii, która publikuje IP wszystkich niezalogowanych autorów haseł.

Rafał CisekRafał Cisek - radca prawny, współpracownik Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej (CBKE), twórca serwisu prawa nowych technologii NoweMedia.org.pl - przygotował dla Dziennika Internautów obszerną opinię na temat zaistniałej sytuacji. Publikujemy ją w całości.

***

Pozwolę sobie nie zgodzić się, ze stanowiskiem, iż jeżeli adres IP jest na stałe lub na dłuższy okres przypisany do konkretnego urządzenia, którym z kolei posługuje się konkretny użytkownik, traktować go należy jak dane osobowe. Trwałość przypisania adresu IP w żaden sposób nie może decydować o tym, czy będzie on daną osobową, czy nie. Ośmielę się twierdzić, iż jest dokładnie odwrotnie, niż chce przedstawicielka GIODO. Wydaje się bowiem regułą fakt, iż adres IP nie stanowi danej osobowej.

Dane osobowe definiuje art. 6 ustawy o ochronie danych osobowych. Co prawda, uznaje on za dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przy czym osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, jednak zastrzega w ustępie 3, że informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. A tak będzie - jak się wydaje - zazwyczaj.

Przyjmując, że pojęcie danych osobowych obejmuje także informacje, które tylko w połączeniu z danymi spoza zbioru umożliwiają identyfikację danej osoby, należy rozstrzygnąć, kiedy - z perspektywy kwalifikowania informacji jako danych osobowych - możliwe jest ustalenie tożsamości osoby, której dotyczy pewna informacja, innymi słowy: kiedy informacja pozwala określić tożsamość osoby. Posłużmy się przykładem spoza sfery internetu. Czy danymi osobowymi są informacje, że samochody o określonych, podanych numerach rejestracyjnych zostały uszkodzone w wypadkach drogowych? Same te informacje nie wskazują na żadną oznaczoną osobę, niemniej otwierają możliwość ustalenia tożsamości osoby, z którą informacja jest związana. W szczególności zaś, sprawdzając odpowiednią ewidencję pojazdów, jesteśmy w stanie ustalić właściciela auta - po jego numerze rejestracyjnym. Czy jednak to on właśnie kierował pojazdem podczas kolizji? A może pożyczył komuś (np. żonie) auto lub zostało mu ono akurat skradzione? Zauważmy, iż analogiczna jest sytuacja z adresami IP.

Kontynuując to rozumowanie, dojdziemy do wniosku, iż w zasadzie każda wiadomość o jakimś zdarzeniu, o jakiejś sytuacji z udziałem człowieka, może zostać uznana za wiadomość zindywidualizowaną, gdyż - co najmniej teoretycznie - zawsze istnieje możliwość określenia tożsamości tego człowieka.

Dlatego właśnie ustawodawca w 2001 r. znowelizował pierwotne brzmienie ustawy, wprowadzając wskazówkę, iż informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Informacje, które bez nadzwyczajnego wysiłku, bez nieproporcjonalnie dużych nakładów dają się "powiązać" z określoną osobą - zwłaszcza przy wykorzystaniu łatwo osiągalnych, powszechnie dostępnych źródeł - zasługują na zaliczenie ich do kategorii danych osobowych. Dotyczy to czasem nawet samego opisania zachowań czy cech charakteru w rodzaju wieloletni prezes spółki X.

Nie zasługują natomiast na taką kwalifikację informacje, których "powiązanie" z oznaczoną osobą wymaga nieproporcjonalnie dużego nakładu czasu, pracy czy kosztów. Przy tego rodzaju podejściu trzeba by stwierdzić, iż z reguły nie mają statusu danych osobowych informacje odnoszone na przykład do numerów rejestracyjnych samochodów (takie poglądy panują w doktrynie).

Podobnie będzie z adresami IP. Tyle że w ogóle zdobycie fizycznego adresu (w sensie miejsca), pod jakim znajduje się komputer o danym IP, jest zazwyczaj trudniejsze. A jak już nawet namierzymy tego hosta, to i tak pozostanie pytanie, kto konkretnie w danej chwili z niego korzystał.

Nie słyszałem jeszcze, żeby jakikolwiek dostawca usług telekomunikacyjnych udostępnił dane o lokalizacji hosta osobie prywatnej, bo ta o nie po prostu poprosiła. Zazwyczaj dostawcy usług udostępniają takie dane wyłącznie sądom i organom ścigania (bo z kolei imię, nazwisko, adres zamieszkania danego abonenta są danymi osobowymi). Co więcej, w przypadku braku stałego IP, ustalenie numeru abonenta telekomunikacyjnego (numeru telefonu), z którym związana jest usługa dostępu do internetu stwarza dodatkowe trudności i wymusza dodatkowy nakład pracy (analiza logów).

Ponadto, o czym już wspomniałem, nawet znajomość adresu domu, mieszkania lub lokalu, w którym znajduje się dany komputer o danym adresie IP, a nawet znajomość imienia i nazwiska abonenta usługi telekomunikacyjnej nie oznacza sensownej możliwości zidentyfikowania użytkownika, który rzeczywiście korzystał z danej witryny internetowej i "zostawił" na niej ten adres IP. Wystarczy, żeby w domostwie mieszkała więcej niż jedna osoba. Jeżeli użytkownik przy publikowaniu swego posta bez rejestracji nie podpisał się np. pod nim choćby imieniem (lub nie wpisał go choćby "niezobowiązująco" w pole nick) i post jest oznaczony jako Anonymous z podaniem pełnego nawet adresu IP, to i tak nie jesteśmy w stanie ustalić, a nawet uprawdopodobnić, który właściwie z domowników wchodził na stronę.

Dlatego stwierdzenie, że sytuacje, w których danych IP z kawiarenek nie można uznać za dane osobowe są "sytuacjami wyjątkowymi", bo konkretne osoby da się przecież teoretycznie ustalić po analizie monitoringu, jest absurdalne. Zazwyczaj jest dokładnie odwrotnie, bo przeważnie ustalenie osoby poprzez adres IP będzie wymagało nadmiernych nakładów.

Jeżeli zaś chodzi o stanowisko administratorów Blox.pl, to warto wspomnieć o pewnej dodatkowej "furtce" dla przetwarzania danych osobowych, jaką daje przepis art. 23 ust. 1 pkt 5 wspomnianej już ustawy. Zgodnie z nim można przetwarzać dane osobowe, jeżeli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Niewątpliwie takimi usprawiedliwionymi celami będą ochrona przed spamem, bezpieczeństwo. Oczywiście ta uwaga dotyczy sytuacji, gdybyśmy jakieś konkretne adresy IP uznali za dane osobowe. Z reguły jednak adresy IP danymi osobowymi nie będą, więc nie ma mowy o żadnym przetwarzaniu tych danych.

***

Ze stanowiskiem GIODO i odpowiedzią Blox.pl można zapoznać się w artykule pt. GIODO przyjrzy się serwisowi Blox.pl. Inne opinie na ten temat zostały przedstawione w artykule pt. Ujawnianie adresów IP na stronach - zdania są podzielone.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca

              *              

Źródło: DI24.pl