Uznać należy, że praktyka taka powinna być zaniechana - oświadczył Generalny Inspektor Ochrony Danych Osobowych, zapowiadając w ubiegły piątek, że zajmie się tą sprawą z urzędu. Na celowniku GIODO znalazł się serwis blogowy Blox.pl należący do Agora SA. Michał Olszewski, koordynator grupy społecznościowej w Gazeta.pl, poinformował redakcję Dziennika Internautów, że ujawnianie adresów IP pomaga przeciwdziałać spamowi.

Kilka dni temu przedstawiliśmy również stanowisko radcy prawnego Rafała Ciska, który nie podziela opinii GIODO. Jego zdaniem adresy IP nie powinny być traktowane jak dane osobowe, ustalenie bowiem, kto kryje się za konkretnym numerem, wymagałoby nadmiernych kosztów, czasu lub działań. Burzliwa dyskusja dotycząca poczynań GIODO rozwinęła się też w serwisie Antyweb prowadzonym przez Grzegorza Marczaka.

Okiem innego prawnika

Temat poruszony został także na łamach Lege Artis przez prawnika Olgierda Rudaka, który uważa, że w niektórych sytuacjach adres IP może przyczynić się do łatwego ustalenia tożsamości użytkownika i wówczas należy go uznać za daną osobową podlegającą ochronie.

Sprawa jest prosta, jeśli użytkownik korzysta z dostawcy, u którego przydzielany jest dynamiczny IP. Sama wiedza, czy korzystałem z Play Online, PTK Centertel czy nawet warszawskiego łącza Netii, nie wystarcza do ustalenia tożsamości osoby - tłumaczy Rudak. - W zasadzie podobnie będzie w przypadku stałego adresu IP, ale nadanego tylko urządzeniu, które jest widoczne na zewnątrz, zaś poszczególni użytkownicy korzystają z internetu skryci za NAT-em.

Inaczej jest w przypadku osób, które łączą się z siecią, wykorzystując stałe łącze, w dodatku przy użyciu własnej infrastruktury albo serwera, któremu przypisana jest konkretna nazwa - istnieje wówczas możliwość zidentyfikowania użytkownika i to przy użyciu całkiem prostych narzędzi wbudowanych w każdy chyba komputer wyposażony w przeglądarkę i dostęp do internetu. Więcej szczegółów można znaleźć w artykule pt. Pokaż mi swój adres IP, a powiem Ci kim jesteś.

W wypowiedzi dla Dziennika Internautów Olgierd Rudak odniósł się także do opinii Rafała Ciska, który wspomniał o pewnej dodatkowej "furtce" dla przetwarzania danych osobowych - chodzi o art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, który umożliwia przetwarzanie takich danych, jeżeli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów serwisu. Według Ciska usprawiedliwionym celem może być walka ze spamem, o której mówił przedstawiciel Blox.pl.

Rzecz w tym, że nikt Bloksowi nie odmawia, w moim przekonaniu, prawa do przetwarzania tego IP (siłą rzeczy jest to przetwarzane, taki jest los serwera), natomiast kwestia dotyczy prezentacji adresu IP. Uważam, że nieuprawnione jest stawianie znaku równości między przetwarzaniem adresu IP a rzekomą zgodą na prezentację adresu IP użytkownika na stronie internetowej - powiedział Rudak.

Adresy IP z punktu widzenia komputerowych ekspertów

Na pytanie Dziennika Internautów dotyczące możliwości ustalenia, kim jest użytkownik posługujący się konkretnym adresem IP, odpowiedział niezależny konsultant ds. bezpieczeństwa Piotr Konieczny.

Adres IP w moim przekonaniu raz może posłużyć z dużym prawdopodobieństwem do łatwej i wręcz natychmiastowej identyfikacji danej osoby, a innym razem ustalenie tożsamości danej osoby po śladzie w postaci adresu IP będzie wręcz niemożliwe - napisał ekspert. - Ciężko mi oszacować, do którego "worka" wpada więcej spraw. Skłaniam się jednak do tego, że w większości przypadków namierzenie kogoś po adresie IP wymaga specjalnego działania i "nadmiernego czasu", ergo opierając się na definicji ustawy, adres IP w większości przypadków nie powinien być traktowany jako dana osobowa.

O wypowiedź w tej kwestii poprosiliśmy też Oskara Świdę z Katedry Systemów Informacyjnych i Sieci Komputerowych na Wydziale Informatyki Politechniki Białostockiej. Przyznał on, że sprawa rzeczywiście jest kontrowersyjna. W ubiegłym roku dyskutowano nad nią w Parlamencie Europejskim - Peter Schaar, unijny komisarz przewodniczący Grupie Roboczej ds. Ochrony Danych, oświadczył wówczas, że adresy IP powinny zostać uznane za dane osobowe, ponieważ pozwalają na identyfikację posługujących się nimi osób.

Kilka miesięcy później inne zdanie na ten temat wyraził francuski sąd apelacyjny, który oczyścił z zarzutów dwie osoby oskarżone o udostępnianie plików w internecie. Sąd uznał, że adresy IP podejrzanych nie są wystarczającym dowodem, na podstawie którego można by wymierzyć im karę.

Ogólnie rzecz biorąc, adres IP identyfikuje interfejs sieciowy urządzenia a nie osobę, ale taka informacja może pomóc w uzyskaniu dodatkowych danych. Pamiętajmy, że spora część osób korzysta z sieci w domu lub pracy (używając do tego celu zawsze tego samego stanowiska). Być może nie uda się od razu zidentyfikować imienia i nazwiska użytkownika, ale jakieś informacje jednak będą dostępne - napisał Oskar Świda, podając dwa przykłady.

1. Lokalizacja geograficzna użytkownika - można określić skąd (w sensie geograficznym) zostały wysłane dane, korzystając z popularnych mechanizmów tzw. GeoIP. Przykładem takiego serwisu może być www.geobytes.com/IpLocator.htm. Warto również obejrzeć stronę pod adresem whatismyipaddress.com.


2. Bazy danych organizacji zajmujących się rejestracją adresów i nazw (np. RIPE). Bazy te posiadają interfejsy pozwalające na przeszukiwanie przestrzeni adresowej. W takiej bazie znajdują się pełne dane jednostki rejestrującej (nazwa, adres, telefony, adresy e-mail). Rejestracja puli adresowej przez użytkownika prywatnego to sprawa rzadka, ale nie zmienia to samego faktu dostępności danych.

Nie potrafię jednoznacznie odpowiedzieć na pytanie "czy przeciętny użytkownik internetu może łatwo ustalić tożsamość osoby". Trudno zapewne zdefiniować "przeciętnego użytkownika", pojęcie "tożsamość osoby" też różnie można interpretować. Mogę natomiast wyrazić opinię, że użytkownik posiadający podstawową wiedzę w zakresie adresacji IP może w bardzo krótkim czasie uzyskać pewne informacje będące punktem zaczepienia do dalszej analizy. Kolejne działania i efekty, jakie osiągnie "drążąc temat", są już tylko zależne od jego determinacji - wyjaśnił ekspert od sieci komputerowych.

Policja: wszystko zależy od GIODO

Dziennik Internautów skontaktował się również z Komendą Główną Policji, pytając o opinię w sprawie ujawniania pełnych adresów IP. Odpowiadając na nasz e-mail, mł. asp. Agnieszka Hamelusz powołała się na artykuł opublikowany na stronach GIODO, omówiony wcześniej na łamach DI.

Sankcje związane z naruszeniem Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 nr 133 poz. 883) znajdują się w rozdziale 8 przywołanej ustawy - napisała przedstawicielka Policji, dodając, że na mocy tej ustawy organem uprawnionym do rozstrzygania poruszanych kwestii jest Generalny Inspektor Ochrony Danych Osobowych.