Wszystkie teksty umieszczane na Linkedin lub naszych stronach internetowych są naszą opinią. Prosimy nie traktować ich jako porady prawnej w konkretnej sprawie, ponieważ konkretna sprawa zawsze wymaga indywidualnej analizy.
Należałoby obecnie zająć się omówieniem trzeciej z przesłanek ustawowych, które muszą być spełnione, by uznać dany adres IP za „daną osobową”. Przesłanką zdecydowanie najtrudniejszą do analizy, która ma ustalić, czy osoba której dotyczy informacja w postaci adresu IP jest „zidentyfikowana lub możliwa do zidentyfikowania”.
Jest oczywistym, że w kontekście adresów IP nie można przyjąć, iż osoba jest zidentyfikowana już poprzez sam adres IP, ale czy jest „możliwa do zidentyfikowania”?
Musimy tutaj pamiętać, że „możliwość identyfikacji” na gruncie zarówno Dyrektywy 95/46/WE Parlamentu Europejskiego oraz Rady z dnia 24 października 1995 r., jak i polskich przepisów o ochronie danych osobowych została w sposób prawnie wiążący zdefiniowana i nie można posługiwać się tutaj potocznym rozumieniem takiego sformułowania.
Zasadniczo podejście „Grupy art. 29″ wyrażone w treści powoływanej już Opinii, jest następujące: ocena wystąpienia trzeciej przesłanki ściśle zależeć będzie od kontekstu, w jakim konkretne dane będą funkcjonować. Jeżeli kontekst ten umożliwia dysponentowi identyfikację osoby – przesłanka jest spełniona. W trakcie analizy pojęcia „danych osobowych” Grupa art. 29 posłużyła się przykładem dobrze obrazującym względny charakter tej przesłanki, wskazując, że bardzo pospolite nazwisko z pewnością z reguły nie pozwala na ustalenie tożsamości danej osoby i wyodrębnienie jej z ogółu populacji danego kraju, najczęściej będzie jednak zupełnie wystarczające dla identyfikacji w klasie ucznia o takim nazwisku. Ta sama rodzajowo informacja może być więc raz traktowana jako „dana osobowa”, kiedy indziej może być pozbawiona tego statusu prawnego, a zależeć to będzie wyłącznie od tego ile i jakiego rodzaju inne informacje jej towarzyszą oraz jakimi możliwościami zebrania dodatkowych powiązanych z nią informacji dysponuje osoba, która weszła w jej posiadanie. W tym kontekście mówi się w doktrynie o zjawisku „niepowtarzalnej kombinacji” czynników identyfikujących, a także o „subiektywizacji” pojęcia danych osobowych.
Ponieważ ani unijne, ani polskie regulacje nie wyróżniają w jakikolwiek szczególny sposób danych związanych z komunikacją elektroniczną, w tym adresów IP, spośród ogółu informacji stanowiących lub raczej mogących stanowić dane osobowe, ta ogólna zasada powinna więc znaleźć pełne zastosowanie również na gruncie oceny prawnego statusu adresów IP.
W kontekście adresów IP, kluczową okolicznością dla oceny, czy będziemy mieć do czynienia z danymi osobowymi, czy też nie, są możliwości dysponenta takich danych (np. osoby prowadzącej serwis internetowy) do dokonywania identyfikacji osób, które takimi adresami się posłużyły, w szczególności dysponowanie innymi informacjami które można powiązać i przypisać do danego adresu IP (np. adresem e-mail, nazwą organizacji etc.). Oceniając „identyfikowalność” osoby, która posłużyła się danym adresem IP należy wziąć pod uwagę wszystkie sposoby, jakimi ich dysponent się posłużył w celu dokonania takiej identyfikacji.
Oczywiście nie wystarcza w tym przypadku czysto hipotetyczna możliwość odróżnienia.
Przykładowo, jeżeli ustalenie tożsamości byłoby możliwe lub nastąpiło wyłącznie w rezultacie usterki technicznej lub naruszenia przez inną osobę obowiązku zachowania poufności – nie sposób mówić o istnieniu uprzedniej możliwości identyfikacji osoby. Podobnie należy ocenić sytuację, gdy ustalenie tożsamości byłoby co prawda możliwe w „normalny sposób”, jednak pociągało za sobą bardzo wysokie koszty lub było bardzo czasochłonne.
W praktyce w wielu wypadkach nie będzie konieczne sięganie po nadzwyczajne środki czy koszty.
Dostawca Internetu (ISP), który zawarł umowę z konkretną osobą fizyczną (dysponuje jej nazwiskiem, adresem etc.) przydziela takiej osobie stały adres IP, lub nawet zapewnia możliwość korzystania z adresu dynamicznego, może – wyłącznie na podstawie posiadanych przez siebie informacji – z dużym prawdopodobieństwem ustalić, kto korzystał z takiego adresu w danym czasie. Dla tego podmiotu adres IP będzie więc daną osobową.
Analogiczna sytuacja będzie miała miejsce w przypadku adresów IP użytkowników list dyskusyjnych lub innych usług internetowych, w ramach których dla skorzystania z usługi konieczne jest założenie profilu oraz podanie danych identyfikujących (np. serwisy aukcyjne). W takich przypadkach może dojść do ciekawej sytuacji, w której adres IP użytkownika niezalogowanego nie będzie daną osobową, ale wraz z pierwszym zalogowaniem się go do profilu nastąpi jego powiązanie z odpowiednimi danym identyfikującymi, w wyniku czego IP stanie się daną osobową.
Ocena możliwości identyfikacji osoby, a więc w konsekwencji uznania IP za „dane osobowe” powinna być również dynamicznie analizowana w kontekście zmian technologicznych, w wyniku których identyfikacja użytkownika na podstawie adresu IP będzie możliwa lub w znacznym stopniu łatwiejsza (tańsza, mniej czasochłonna) niż wcześniej.
Wtedy informacje o adresach IP, które – dla danego dysponenta – nie były dotąd danymi osobowymi, mogą stać się nimi właśnie z tego powodu, pomimo że zakres informacji, którymi dysponuje danych podmiot nie ulegnie zmianie. Przedstawione powyżej podejście było i jest powszechnie prezentowane w ramach oceny innego rodzaju informacji jako potencjalnych danych osobowych. Zaprezentowanie go więc również przez europejska grupę doradczą w kontekście oceny adresów IP nie jest zaskoczeniem.
Zdaniem Grupy art. 29, nie bez znaczenia dla oceny czy IP jest daną osobową, jest również cel, w jakim adresy IP są zbierane.
Jak argumentuje się w treści powoływanej już Opinii 4/2007, może bowiem zdarzyć się tak, że osoba zbierająca takie dane co prawda nie posiada lub co do zasady nie jest w stanie „w normalnym trybie” uzyskać innych informacji pozwalających na identyfikację, jednak zbiera takie informacje właśnie w celu ew. późniejszej identyfikacji. Podawanym przykładem tego rodzaju działań jest: monitoring video miejsc publicznych, np. galerii handlowych, przejść podziemnych, dworców. W takim przypadku utrwalane i przechowywane są bowiem wizerunki oraz zachowania osób, których tożsamości administrator sytemu praktycznie nie jest w stanie ustalić. Jednak w opinii Grupy art. 29 w takich przypadkach, właśnie z uwagi na cel działań i poniekąd niezależnie od kontekstu informacyjnego (kombinacji czynników identyfikujących), zbierane dane należy jednak uznawać za dane osobowe.
Taka interpretacja może oczywiście stanowić potencjalnie spory problem dla administratorów serwisów internetowych (także takich, które nie wymagają imiennego logowania) nie traktujących archiwizowanych adresów IP jako danych osobowych, z uwagi na nie posiadanie przez nich innych danych lub sposobów umożliwiających identyfikację użytkowników.
Celem zbierania przez nich informacji o adresach IP (choćby nawet pobocznym) jest bowiem zachowanie danych umożliwiających identyfikację użytkowników „w razie potrzeby”, nawet jeżeli inne posiadane lub dostępne w danej chwili administratorowi informacje w praktyce wykluczają możliwość identyfikacji. W podobnym duchu, podzielając, jak się wydaje, podejście zaprezentowane przez Grupę art. 29 wypowiadał się początkowo na ten temat również Generalny Inspektor Ochrony Danych Osobowych.
Zdaniem GIODO, dane o adresach IP traktować należy jako dane osobowe nawet w sytuacji, gdy administrator jedynie „przewiduje, że sposoby jakimi można się posłużyć w celu zidentyfikowania osoby mogą się stać dostępne, na przykład w drodze sądowej”.
Jedyny wyjątek, jaki zauważa Grupa art. 29, a w ślad za nią GIODO w opublikowanej (28.07.2008 r.) oficjalnej wypowiedzi na stronach internetowych urzędu (www.giodo.gov.pl), to „z definicji anonimowe” adresy IP komputerów kafejek internetowych, co do zasady których nie powinno się traktować jako danych osobowych. Jednocześnie jednak Grupa art. 29 zaleca traktowanie takich danych przez administratorów systemów IT analogicznie jak danych osobowych wskazując, że adresy te dla przeciętnego administratora są praktycznie nie do odróżnienia od pozostałych, zasadniczo stanowiących prawnie chronione dane osobowe.
Stanowisko Grupy art. 29 w kwestii adresów IP jako danych osobowych na pierwszy rzut oka wydaje się być w pewnym stopniu wewnętrznie sprzeczne.
Z jednej strony bowiem, na poziomie ogólnym, Grupa 29 twierdzi, iż dla uznania informacji za daną osobową nie wystarczy wyłącznie hipotetyczna możliwość ustalenia tożsamości osoby, w odniesieniu do adresów IP de facto jednak przyjmując, że wystarcza. Trudno znaleźć uzasadnienie dla odmiennego traktowania adresów IP – z jednej strony i innego rodzaju danych osobowych – z drugiej.
Wydaje się, że prawidłowe podejście powinno być jednak analogiczne jak w przypadku innych informacji, a ocena, czy adres IP stanowi, czy też nie, daną osobową, nie powinna być uzależniona od wyłącznie potencjalnej możliwości skojarzenia go w przyszłości z konkretną osobą, zwłaszcza w sytuacjach, gdy taka identyfikacja byłaby możliwa wyłącznie w przypadku wystąpienia dodatkowych okoliczności (np. podejrzenia popełnienia przestępstwa). Status adresu IP jako danej osobowej, czyli informacji możliwej do powiązania z konkretną osobą fizyczną, powinien raczej wynikać wyłącznie z aktualnych w danym czasie możliwości, tj. dodatkowych informacji oraz sposobów identyfikacji dostępnych dysponentowi takich danych (administratora).
Wydaje się, że przy dokonywaniu takiej oceny przede wszystkim należałoby przeprowadzić test, czy administrator może w danej chwili wyłącznie własnymi staraniami (i to nie „nadmiernymi” jak to stanowi ustawa), bez konieczności zaistnienia jakichkolwiek dodatkowych i niezależnych od niego okoliczności, z dużym prawdopodobieństwem ustalić tożsamość użytkownika posługującego się danym IP. Jeżeli nie – nie należałoby moim zdaniem takich informacji traktować jako dane osobowe. Takie stanowisko wydaje się zgodne z zaprezentowaną na wstępie konstrukcją definicji danych osobowych, praktycznie identyczną na gruncie Dyrektywy 95/46/WE oraz polskiej ustawy o ochronie danych osobowych. Fundamentem tej definicji jest bowiem nie potencjalna, lecz realna, istniejąca w danym czasie i w odniesieniu do konkretnego administratora, możliwość powiązania informacji z konkretną osobą fizyczną.
Oczywiście, jak wskazywałem już nieco wyżej, „danoosobowy” status informacji jest dynamiczny i powinien podlegać weryfikacji wraz z pozyskiwaniem przez dysponenta dodatkowych informacji lub pojawienia się nowych sposobów identyfikacji użytkownika. Taka potencjalna przyszła zmiana statusu nie powinna być jednak antycypowana.
Biorąc pod uwagę, że w kwestii statusu prawnego adresów IP stanowisko GIODO w jakikolwiek znaczący sposób raczej nie będzie odbiegać od stanowiska europejskich organów doradczych, w konsekwencji należy się chyba oswoić z myślą, że adresy IP w praktyce kontroli i decyzji GIODO są – przynajmniej w obecnym czasie – w szerokim spektrum przypadków faktycznych traktowane jako dane osobowe.
Idąc o krok dalej warto spytać, czy uznanie adresów IP za dane osobowe zawsze pociągnie za sobą uciążliwe obowiązki ich dysponentów przewidziane Dyrektywą 95/46/WE oraz przepisami ustawy o ochronie danych osobowych, takie jak obowiązek rejestracji zbioru, obowiązek informowania osób których IP dotyczą, obowiązek odpowiedniego zabezpieczenia technicznego i organizacyjnego takich danych? Otóż nie. Są oto bowiem sytuacje, w których można przetwarzać dane osobowe nie przejmując się w ogóle lub w większości, ograniczeniami wynikającymi z tych regulacji prawnych. I to legalnie.
Nasza ustawa, tak jak i jej pierwowzór w postaci Dyrektywy 95/46/WE przewiduje istotne wyłączenia spod ochrony prawnej przewidzianej tymi aktami. Niektóre z nich mają charakter całkowity (to przypadki określone przepisami rozpoczynającymi się od słów „ustawy nie stosuje się do…”) inne – częściowy, ograniczając lub wyłączając w większości przewidziane ustawą obowiązki prawne administratora.
Zaczynając od tych pierwszych: ochrona danych osobowych ma zawsze charakter terytorialny (!). Różnice w tym zakresie występujące pomiędzy Starym Kontynentem a USA, czy Azją są bardzo istotne. Ba, nawet na gruncie europejskim, pomimo wspólnej bazy prawnej w postaci Dyrektyw, dane osobowe chronione są w każdym z państw w nieco inny sposób. Nie istnieje bowiem żadna „globalna” konwencja prawna w tym zakresie. Polskiej ustawie nie będzie podlegać co do zasady przetwarzanie danych osobowych przez osoby mające miejsce zamieszkania lub firmy z siedzibą poza terytorium Polski.
No dobrze, ale czy to znaczy że np. podmiot amerykański nie może być adresatem polskich regulacji prawnych?
Otóż to zależy. Będzie nim podlegał tylko o tyle, o ile będzie przetwarzał dane osobowe przy wykorzystaniu „środków technicznych” znajdujących się na terytorium danego państwa. Upraszczając, jeżeli w Polsce został zlokalizowany zostanie serwer lub baza danych, na których znajdą się dane osobowe to bez względu na to gdzie ich posiadacz ma siedzibę trzeba stosować się do polskich przepisów chroniących dane osobowe. I odwrotnie, podmiot zagraniczny, który za granicą zlokalizował swoje serwery z reguły nie będzie musiał przejmować się polską ustawą i to bez względu na to, że dostęp do takich danych będzie możliwy z Polski, a dane osobowe będą dotyczyć Polaków.
W kontekście adresów IP ma to istotne znaczenie, gdyż niezależnie od bardziej liberalnego amerykańskiego podejścia do ochrony danych osobowych, adresy IP nie są za oceanem traktowane jako dane osobowe. Kryterium to jest niestety dosyć niejednoznaczne, gdyż brak jest jednoznacznej definicji prawnej (nawet na gruncie interpretacji przepisów) pojęcia „środków technicznych”. Co więcej, z uwagi na dynamikę rozwoju technologii informatycznych a także globalną charakterystykę komunikacji internetowej, podjęcie próby stworzenia takiej definicji w odniesieniu do danych osobowych przetwarzanych w Sieci jest – na chwile obecną – zajęciem raczej „syzyfowym”.
Załóżmy jednak, że mieszkamy w Polsce, nie chcemy się wyprowadzać, a jednocześnie chcemy przetwarzać (a więc chociażby zbierać i przechowywać) dane osobowe.
Co wtedy ? Czy w takim przypadku już na pewno musimy stosować ustawę?
Otóż znów niekoniecznie. Administrator danych osobowych, (ale uwaga: tylko taki, który jest osobą fizyczną), może w niektórych sytuacjach powołać się na przepis art. 3a ust 1 pkt 1, wyłączający spod ustawy przetwarzanie danych „wyłącznie w celach osobistych lub domowych”.
No dobrze, ale jak to rozumieć?
Pomocniczo cel (użytek) osobisty próbuje się z reguły interpretować analogicznie do zakresu tzw. dozwolonego użytku osobistego w zakresie korzystania z chronionych prawem autorskim utworów (art. 23 ust. 2 pr. aut.). Zgodnie z tą regulacją „zakres własnego użytku osobistego obejmuje korzystanie z pojedynczych egzemplarzy utworów przez krąg osób pozostających w związku osobistym, w szczególności pokrewieństwa, powinowactwa lub stosunku towarzyskiego”. Od strony negatywnej zakres dozwolonego użytku osobistego limituje się z kolei komercyjnym charakterem działań, tj. odpowiednio korzystania z utworu lub – analogicznie – przetwarzania danych, co nota bene potwierdzają również wypowiedzi i interpretacje polskiego GIODO.
W dalszym ciągu pozostaje tutaj, zresztą podobnie jak na gruncie prawnoautorskim, spora doza niepewności gdzie kończy się przetwarzanie danych „w celach osobistych lub domowych”. Jak pokazują chociażby przykłady szalenie popularnych serwisów społecznościowych, oddzielenie sfery prywatnej od komercyjnej wielokrotnie jest bardzo trudne lub niemal niemożliwe.
Załóżmy, że jesteśmy polskim podmiotem, który zamierza prowadzić komercyjny (odpłatny lub finansowany z reklam) serwis internetowy.
Czy wtedy już zawsze podlegamy ustawie? Dalej niekoniecznie.
Pierwszym z przypadków, w których ustawa nie znajdzie zastosowania jest doraźne zbieranie i przetwarzanie danych w zbiorach, które powstały ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, pod warunkiem że po ich wykorzystaniu dane zostaną skasowane lub poddane anonimizacji (art. 2 ust. 3 ustawy).
Pomijając w tym miejscu dosyć specyficzny cel „dydaktyczny”, zastosowanie takiego wyłączenia w sferze Internetu przejawiać się będzie przede wszystkim w wyjęciu spod ochrony ustawowej danych osobowych (a więc danych identyfikujących użytkownika lub – przyjmijmy także – urządzenie, którym się posługuje), które są doraźnie utrwalane w systemie w związku z technologią realizacji transmisji danych takich jak logi serwerowe, czy pliki tymczasowe. W takich przypadkach administrator nie musi przejmować się faktem, iż wszedł w posiadanie danych osobowych (tak, tak to też dane osobowe), jednak musi dopilnować, aby dane takie usunąć, lub co najmniej zanonimizować niezwłocznie po ich wykorzystaniu.
W praktyce znaczenie takiego wyłączenia dla administratorów serwisów, głównie z uwagi na jego krótkotrwałość (obowiązek niezwłocznego usunięcia lub zanonimizowania posiadanych danych), jest więc raczej niewielkie.
Z drugiej strony nawet szczególnie ostrożni administratorzy nie muszą się obawiać, że dane osobowe przekazywane przez komputer użytkownika łączącego się z serwisem w związku z wykonywanym połączeniem – przez czas jego trwania, a nawet w jakiś czas po jego zakończeniu – trzeba będzie traktować jako dane osobowe których przetwarzanie podlega ustawie. Ponieważ omawiane wyłączenie ma charakter częściowy, musimy jednak pamiętać o zabezpieczeniu danych w sposób przewidziany ustawą i rozporządzeniami wykonawczymi.
Znacznie bardziej użyteczne w praktyce może okazać się wyłącznie spod przepisów ustawy przetwarzania danych osobowych w ramach prasowej działalności dziennikarskiej (art. 3a ust.2 Ustawy). Dla Internetu ma to o tyle istotne znacznie, że serwisy internetowe, a przynajmniej niektóre ich rodzaje, coraz częściej są kwalifikowane jako „prasa” w rozumieniu ustawy – Prawo prasowe, jak choćby w słynnym Postanowieniu Sądu Najwyższego z dnia 26 lipca 2007 r. – sygn. akt IV KK 174/07 (https://www.sn.pl/orzecznictwo/uzasadnienia/ik/IV-KK-0174_07.pdf ).
Przypomnijmy, że zgodnie z polskim prawem prasowym prasa to „publikacje periodyczne, które nie tworzą zamkniętej, jednorodnej całości, ukazujące się nie rzadziej niż raz do roku, opatrzone stałym tytułem albo nazwą, numerem bieżącym i datą, a w szczególności: dzienniki i czasopisma, serwisy agencyjne, stałe przekazy teleksowe, biuletyny, programy radiowe i telewizyjne oraz kroniki filmowe; prasą są także wszelkie istniejące i powstające w wyniku postępu technicznego środki masowego przekazywania, w tym także rozgłośnie oraz tele- i radiowęzły zakładowe, upowszechniające publikacje periodyczne za pomocą druku, wizji, fonii lub innej techniki rozpowszechniania (…)”. Skoro więc na bieżąco aktualizowany (częściej niż raz do roku), publicznie dostępny, ogólny lub tak czy inaczej sprofilowany serwis internetowy, vortal informacyjny, internetowy informator regionalny lub nawet blog, może być uznany za „prasę”, to i przetwarzanie przez system (a właściwie jego administratora) danych osobowych udostępnianych przez użytkowników może podlegać wyłączeniu spod regulacji ustawy z powołaniem się na przepis art. 3a ust. 2 ustawy.
W konsekwencji zarówno dane „osobowych źródeł” informacji lub materiałów zamieszczanych w ramach serwisu takie jak imię nazwisko, adres e-mail, czy nawet adres IP, jak i dane osobowe osób, których takie informacje lub materiały dotyczą mogą być przetwarzane bez konieczności stosowania się do przepisów ustawy. Oczywiście nie zwalnia to administratora z obowiązku respektowania innych, znajdujących zastosowanie regulacji prawa prasowego (obowiązek weryfikacji prawdziwości informacji, niepublikowania danych źródeł informacji, które zastrzegły anonimowość, publikacji sprostowań, komunikatów urzędowych lub orzeczeń sądowych etc.), ustawy o świadczeniu usług drogą elektroniczną (swoją drogą w tym kontekście ciekawy jest stosunek przepisów tej ustawy do prawa prasowego), a także innych regulacji o charakterze ogólnym takich jak cywilne lub karne przepisy chroniące dobra osobiste lub zasady uczciwej konkurencji.
Ponadto pamiętać należy, że omawiane wyłączenie spod ustawy dotyczy przetwarzania danych osobowych wyłącznie w ramach „prasowej działalności dziennikarskiej”. Podobnie jak poprzednie, również i to wyłączenie nie zwalnia administratora z obowiązków związanych z zabezpieczeniem danych osobowych w sposób przewidziany polskim prawem ochrony danych osobowych.
Kształtujące się „europejskie” podejście do ochrony adresów IP (znajdującego odzwierciedlenie chociażby w publicznych i szeroko komentowanych w sieci wypowiedziach Petera Scharra, byłego unijnego komisarza ds. ochrony prywatności i dawnego przewodniczącego Grupy art. 29) staje się już dziś niemałym problemem dla kolosów Internetu takich jak, Google Yahoo czy Microsoft, prowadzących swoje interesy na terytorium Unii.
Nie bez znaczenia jest tu również fakt, że amerykański system ochrony danych osobowych jest mniej restrykcyjny i zdecydowanie mniej sformalizowany niż europejski. Amerykański rodowód (siedziba) tych firm nie chroni ich jednak w żaden sposób, gdyż prowadząc działalność także na terytorium Unii zobowiązane są podporządkować się obowiązującym na jej terytorium regulacjom prawnym.
Tu też ze szczególną wyrazistością, głownie z uwagi na wskazane wyżej rozbieżności pomiędzy systemami prawnymi UE i USA ujawnia się pewien paradoks prawny polegający na zderzeniu globalnego wymiaru Internetu z lokalnymi, częstokroć bardzo różniącymi się od siebie regulacjami poszczególnych państw lub ich grup. Odmienności te, z tych czy innych przyczyn nieuwzględnione na etapie budowania ukierunkowanych „biznesowo” rozwiązań internetowych, doprowadziły do w efekcie do tego, że praktyki w zakresie utrwalania i przechowywania adresów IP stosowane przez wszystkie wskazane wyżej korporacje internetowe są przedmiotem szczegółowych badań ze strony Grupy art. 29.
A czasu jest coraz mniej, gdyż, jak stwierdził Marc Rotenberg, przewodzący Electronic Privacy Information Center (EPIC) – „Idziemy już w stronę IPv6, gdzie sprawa identyfikacji osób po adresie IP będzie jeszcze bardziej krytyczna”.