Status prawny adresów IP z punktu widzenia zasad ochrony danych osobowych. Cz. I.

Jeśli firma nie istnieje w Internecie, to w ogóle nie istnieje – głosi powszechnie przywoływany slogan i… trudno się z nim nie zgodzić. Banalne jest wręcz stwierdzenie, że obecnie nie da się prowadzić jakiejkolwiek działalności biznesowej bez względu na jej charakter, jak i rozmiar bez dysponowania własnymi stronami WWW, adresami e-mail, a także serwisem WAP. Sytuacja taka w oczywisty sposób zmusza menedżerów do uwzględnienia w trakcie budowania modeli biznesowych inwestycji w infrastrukturę IT, a także coraz bardziej wyrafinowane usługi internetowe oraz systemy zarządzania informacją elektroniczną.

Naturalna koncentracja na optymalizacji rozwiązania technologicznego pod kątem oczekiwań biznesowych bardzo często idzie jednak w parze z niedocenieniem lub wręcz ignorowaniem aspektu prawnego związanego z funkcjonowaniem systemów służących do zbierania, przetwarzania oraz udostępniania informacji drogą elektroniczną. To błąd, który może skutkować niebagatelnymi konsekwencjami w zakresie odpowiedzialności cywilnej, konsekwencjami o charakterze administracyjnym, jak i – skrajnych przypadkach – nawet odpowiedzialnością karną.

Oprócz coraz powszechniej identyfikowanych ograniczeń prawnych stawianych korzystaniu z przedmiotów praw własności intelektualnej do poszczególnych rodzajów informacji, jej zbiorów lub komponentów (autorskie prawa majątkowe, prawa własności przemysłowej, prawa do baz danych) oraz obowiązków związanych ze świadczeniem szeroko definiowanych przez prawo usług elektronicznych, nie mniej istotną rolę odgrywają regulacje prawne określające ramy i warunki legalnego przetwarzania informacji dotyczących osób fizycznych, tj. zasady przetwarzania danych osobowych.

Obserwując porównawczo wysiłki legislacyjne w tym obszarze jak również tendencje interpretacyjne dotyczące istniejących regulacji bezsprzecznie uznać należy, że region europejski ewidentnie przoduje we wzmacnianiu ochrony prawnej na tym polu, wyznaczając bardzo wysokie standardy ochrony prywatności, w tym danych osobowych. Konsekwencją takiego podejścia musi być oczywiście stawianie rygorystycznych wymagań i limitów dla swobodnego operowania informacją o charakterze indywidualnym.

Z uwagi na członkowstwo Polski w strukturach Unii Europejskiej rozwiązania takie automatycznie lub w bardzo krótkim czasie po ich przyjęciu stają się obowiązującym w Polsce prawem lub – z uwagi na obowiązek tzw. pro unijnej wykładni przepisów prawnych – w praktyce obowiązującą jego interpretacją.

Dużą rolę w niedocenianiu problemu ograniczeń w dysponowaniu informacją teamalną zbieraną od użytkowników przy wykorzystaniu sieci informatycznych odgrywa wciąż niestety pokutujące przekonanie, że do momentu w którym użytkownik nie zostanie poddany procedurze w ramach której dobrowolnie poda określone informacje dotyczące jego osoby (np. wypełni formularz rejestracyjny zawierający jego dane) dane „automatycznie” zbierane od niego w związku z korzystaniem z określonych zasobów informatycznych pozostają w pełni anonimowe, a skoro tak, nie pojawia się w takim przypadku problem ochrony prywatności, czy też bardziej szczegółowo problem przetwarzania danych osobowych.

Przekonanie to oparte jest na założeniu, że skoro powszechna komunikacja internetowa (np. publiczny dostęp do stron WWW) polega de facto na komunikacji komputera z komputerem, to w normalnych warunkach tożsamość użytkownika pozostaje „w ukryciu”, a administratorzy stron i serwisów WWW nie identyfikują informacji „pozostawianych” w ich zasobach przez użytkowników jako informacji dotyczących konkretnych osób.

Przekonanie to jest mitem niebezpiecznym dla obydwu stron komunikacji internetowej. Przy odrobinie wysiłku, wykorzystaniu nie koniecznie bardzo zaawansowanej wiedzy informatycznej oraz znajomości standardów zachowań użytkowników sieci, w wielu przypadkach można bowiem na podstawie takich niby-anonimowych danych ustalić nie tylko tożsamość osoby korzystającej z określonych zasobów sieci, lecz również jej zainteresowania, preferencje polityczne etc. Serwisy internetowe takie jak Google czy Yahoo gromadzą i przez dłuższy okres przechowują (do niedawna jeszcze przez okres do 2 lat od pozyskania) różnego rodzaju informacje dotyczące zachowań użytkowników sieci, w tym zapytań umieszczanych w wyszukiwarkach, odwiedzanych stron itp. czyniąc to przede wszystkim w celu optymalizacji i precyzyjnego kierunkowania działań reklamowych, stanowiących przecież zasadnicze źródło ich przychodów. Pojedyncza informacja jest z tego punktu pozbawiona większego znaczenia, wartość ma jedynie większa ich ilość – tym większą im większy jest zbiór informacji.

Ponadto w ramach tych informacji powinny znaleźć się też takie, które pozwolą w przyszłości szybko rozpoznać użytkownika i zdefiniować optymalny kontent, który powinien zobaczyć na swoim ekranie.

Zasadniczą informacją wiążącą poszczególne rejestrowane w sieci zachowania oraz umożliwiającą w przyszłości rozpoznanie użytkownika i zdefiniowanie charakterystycznych dla niego cech i zachowań w sieci są obecnie numery identyfikujące urządzenie używane w celu komunikacji internetowej, czyli tzw. adresy IP (ang. Internet Protocol Address), tj. „unikatowe numery przyporządkowane urządzeniom sieci komputerowych sieci komputerowych”.

Jak wiadomo, adresy IP mogą być stałe tj. niezmienne w każdym przypadku korzystania przez użytkownika z sieci za pomocą danego urządzenia, lub dynamiczne tj. w każdym przypadku inne (a przynajmniej potencjalnie). Te ostatnie najczęściej przydzielane są użytkownikom sieci przez dostawców usług internetowych z posiadanej przez nich puli. Możliwe jest również współużywanie jednego adresu IP przez kilku użytkowników w ramach sieci lokalnej. Adres IP (poza przypadkami celowego jego maskowania przez użytkownika) jest praktycznie zawsze „widziany” przez urządzenie, z którym łączy się użytkownik Internetu.

Powszechną praktyką na różnego rodzaju forach, listach dyskusyjnych, portalach, serwisach internetowych jest utrwalanie i przechowywanie przez administratorów adresów IP użytkowników łączących się z takimi miejscami w sieci, a w przypadku serwisów umożliwiających użytkownikowi udział w tworzeniu treści (contentu) strony WWW bywa, że i udostępnianie ich przez administratorów innym publicznym użytkownikom, najczęściej poprzez wyświetlanie adresu IP przy publikowanej przez użytkownika treści. Ponieważ za sieciową aktywnością urządzenia w sieci z reguły kryje się działalność konkretnego człowieka, niezaprzeczalnie niemal w każdym przypadku istnieje teoretyczna możliwość powiązania adresu IP z konkretną osobą przejawiającej aktywność w sieci.

Oczywiście, w zależności od tego, kto będzie dysponował taką informacją (adresiem IP), łatwiej lub trudniej będzie zidentyfikować taką osobę (bez problemu zrobi to np. dostawca dostępu Internetu, który zawarł umowę z użytkownikiem i przydzielił mu dany nr IP), co – jak spróbuję wyjaśnić – ma kluczowe znaczenie z puntu widzenia istnienia lub nie ochrony prawnej takich danych.

I tu właśnie pojawia się zasadnicze pytanie: czy adres IP może być prawnie chronioną daną osobową?

Odpowiedź na to pytanie ma fundamentalne znacznie dla oceny zakresu obowiązków jakie ciążą na menedżerze IT, choć jednocześnie jest to dopiero początek drogi do tego celu. Poniżej postaram się sformułować próbę odpowiedzi, opierając się zarówno na analizie obowiązujących w tej mierze przepisów prawnych, jak i krystalizującego się ostatnio wspólnotowego standardu ochrony danych osobowych w kontekście przechowywania i przetwarzania adresów IP.

Co to jest „dana osobowa”?

Ustawa z dnia z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w przepisie art. 6 definiuje pojęcie danych osobowych jako „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej„.

Pojęcie „osoby zidentyfikowanej” nie wymaga raczej interpretacji, problem pojawia się natomiast, kiedy staramy się ustalić kim jest „osoba możliwa do zidentyfikowania”.

Ustawodawca na gruncie przepisów ustawy (art. 6 ust. 2) wyjaśnia, jak należy rozumieć to pojęcie stanowiąc, że jest to „osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne”. Ponieważ jednak tak sformułowana definicja obejmowałaby praktycznie każdą informację dotyczącą jakiejś osoby, bo przecież przy nieograniczonych staraniach i nakładach niemal w każdym przypadku można „bezpośrednio lub pośrednio” określić tożsamość osoby, której informacja dotyczy, ustawodawca stawia jednocześnie definicyjną granicę tego pojęcia. Otóż zgodnie z art. 6 ust. 3 ustawy: „Informacji nie uważa się za umożliwiającą określenie tożsamości osoby [ergo nie uważa się też za daną osobową], jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań”.

Podsumowując: „dana osobowa” to:

• Informacja • Dotycząca osoby fizycznej • Której tożsamość jest znana lub, co najmniej, możliwa do bezpośredniego lub pośredniego ustalenia bez nadmiernych, kosztów czasu lub działań.

Jak w kontekście tej definicji prezentuje się adres IP?

Informacja

Łatwo stwierdzić, że numer IP niesie ze sobą pewną wartość informacyjną, a konkretnie mówi nam jak „nazywa się” w sieci urządzenie, którego użyto, aby przeprowadzić określone działania (umieścić wpis na forum, wpisać zapytanie do przeglądarki, kliknąć na określoną reklamę itp.) Z pewnością adres IP jest więc „informacją”, czyli spełnia pierwszą przesłankę definicyjną „danych osobowych”.

Osoba fizyczna czy urządzenie?

Odpowiedź na drugie pytanie, czy adres IP dotyczy osoby fizycznej nastręcza już pewne trudności. Można bowiem twierdzić, że dany numer IP ze swej istoty nie odnosi się do osoby, lecz do urządzenia, z którego mogą przecież korzystać różne osoby (taka wątpliwość zgłaszają J. Barta, P. Fajgielski i R. Markiewicz w: „Ochrona danych osobowych. Komentarz”, 2007).

Co więcej, w przypadku dynamicznych adresów IP przydzielanych „na bieżąco” przez ISP lub też korzystania z pojedynczego IP przez kilku użytkowników sieci lokalnej jest to wręcz regułą. Na tej podstawie możnaby więc argumentować, że adres IP już ze swej istoty nigdy nie powinien stanowić danej osobowej. Warto tutaj wskazać, że przedstawione stanowisko przez długi czas było podstawową argumentacją prezentowaną przez prawników Google w sporze z Komisją Europejską, która starała się wymóc na firmie konieczność traktowania adresów IP jako danych osobowych i respektowania związanych z tym ograniczeń prawnych.

Z drugiej jednak strony takie rozumowanie prowadziłoby do wykluczenia z zakresu tego pojęcia np. numerów telefonów komórkowych (także identyfikujących wyłącznie użytą kartę SIM), czyli informacje powszechnie (i chyba słusznie) uznawane jednak za dane osobowe. W efekcie przyjęcia takiego stanowiska prowadziłoby do bardzo daleko idącego i zdecydowanie niezgodnego z celem regulacji ustawowej zawężenia pojęcia „danych osobowych”.

Należy ponadto wskazać, że pojawiający się w sieci adres IP, niezależnie od tego czy jest on dynamiczny, stały, czy współużytkowany, zawsze (pomijając może tylko wciąż stosunkowo rzadkie przypadki w całości zautomatyzowanych działań poszczególnych urządzeń) jest rezultatem działania konkretnej osoby fizycznej, a w konsekwencji – jak wskazywałem wyżej – zawsze istnieje choćby teoretyczna możliwość powiązania IP z konkretną osobą fizyczną.

Patrząc w ten sposób, drugą przesłankę definicyjną „danych osobowych” należałoby więc jednak uznać za spełnioną.

Jak więc rozstrzygnąć przedstawioną wyżej kontrowersję?

Pomocna dla rozstrzygnięcia tego dylematu może okazać się treść słynnej już „Opinii 4/2007 w sprawie pojęcia danych osobowych”, przyjętej w dniu 20 czerwca 2007 przez oficjalny unijny organ doradczy powołany do interpretacji regulacji Dyrektywy: Grupę Roboczą Ds. Ochrony Danych Osobowych Powołanej Na Mocy Art. 29 (dalej zwaną : „Grupa art. 29″). Gremium to zdefiniowało swoisty test, którego wynikiem jest udzielenie odpowiedzi, czy dana informacja dotyczy osoby fizycznej czy też nie. W treści opinii stwierdzono bowiem, że „można przyjąć, że aby dane można było uznać za „dotyczące” osoby fizycznej powinien występować element „treść”, LUB element „cel” LUB element „skutek”.

Rozwijając to podejście Grupa art. 29, stwierdziła, że element „treść” występuje, gdy „informacja jest na temat pewnej osoby” (np. wyniki jej analiz medycznych). Z kolei element „cel” wystąpi, gdy „dane są lub mogą być wykorzystywane w celu oceny osoby, jej traktowania w określony sposób lub też wpływania na jej status lub zachowania”.

Przykładem takich danych, wskazanym przez Grupę 29 jest np. billing rozmów telefonicznych prowadzonych ze stacjonarnego telefonu firmowego, przypisanego do firmy (a więc nie osoby fizycznej), ale standardowo znajdującego się w godzinach pracy pod kontrolą danego pracownika. Z ostatnim przypadkiem („skutek”) zdaniem grupy art. 29 będziemy mieć natomiast do czynienia, gdy co prawda nie wystąpi żaden z dwóch wskazanych wyżej elementów, ale „użycie danych prawdopodobnie będzie miało wpływ na prawa i interesy danej osoby”.

Przykładem podawanym w tym kontekście przez Grupę art. 29 jest oparty o GPS system alokacji wolnych taksówek do zleceń klientów. Pomimo, że system przetwarza dane samochodów (nie występuje element „treść”), a jego celem nie jest ocena kierowców (nie występuje też element „cel”), to jednak dane przetwarzane przez system potencjalnie mogą posłużyć takim celom, gdyż zawierają informacje, czy samochód przemieszcza się, jaką trasą jedzie, z jaką prędkością etc., a więc łącznikiem jest element „skutek”.

Poddając zdefiniowanemu przez Grupę art. 29 testowi adresy IP, należałoby jak się wydaje uznać, że mimo, iż adresy IP nie dotyczą co prawda osób fizycznych ze względu element „treść” (identyfikują tylko urządzenie), to jednocześnie jednak dotyczą konkretnych osób z uwagi na element „cel” lub element „skutek”, w zależności od konkretnych okoliczności faktycznych.

Element „cel” wystąpiłby np. w kontekście adresów IP zbieranych w zawiązku z identyfikacją osób korzystających z forów internetowych, list dyskusyjnych, natomiast element „skutek” – w przypadku zbierania takich danych w innych celach, takich jak chociażby statystyki dotyczące „geograficznego” pochodzenia osób odwiedzających stronę WWW, odwiedzanych stron, klikniętych reklam.


Zobacz kolejny artykuł z tej serii