Szukaj

avatar

Zmienne IP to wciąż dane osobowe

Sylweriusz B. Królak 2016-10-24

Zmienne IP to wciąż dane osobowe

Sylweriusz B. Królak

 

19 października 2016 roku Trybunał Sprawiedliwości Unii Europejskiej wydał orzeczenie w trybie prejudycjalnym, w odpowiedzi na pytanie złożone przez Bundesgerichtshof (niemiecki Federalny Trybunał Sprawiedliwości) o to, czy dynamiczne adresy IP należy traktować, jako dane osobowe w rozumieniu dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Niemiecki Trybunał pytał, czy w sytuacji, gdy adres IP, który usługodawca rejestruje w związku z wejściem na jego stronę internetową, stanowi dla niego dane osobowe, już wtedy, gdy dostawca Internetu (strona trzecia) dysponuje dodatkową wiedzą wymaganą do identyfikacji danej osoby. Miał ponadto, w związku z powyższą kwestią wątpliwość, czy przepisy krajowe dopuszczające gromadzenie i wykorzystywanie danych osobowych użytkownika bez jego zgody – gdy jest to konieczne do umożliwienia i zafakturowania korzystania z usług internetowych przez danego użytkownika – są zgodne z kryteriami legalności przetwarzania danych osobowych, określonych w artykule 7 wyżej wymienionej dyrektywy.

Kwestia ta wydawać się może wyjątkowo mało interesująca dla przeciętnego obywatela – abstrakcyjne zagadnienie, opisane językiem prawniczym i okraszone terminologią techniczną nie jest tematem na pierwsze strony gazet. Mimo wszystko jest ono warte uwagi, ponieważ dotyczy materii, która powinna interesować nie tylko prawników i informatyków a każdego użytkownika Internetu i dostarczyciela usług teleinformatycznych.

Jak wiadomo, danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania natomiast, jest ta, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Stały adres IP, czyli unikatowy numer przyporządkowany urządzeniom w sieciach komputerowych, wydaje się w tym kontekście szczególnie interesującym przypadkiem, gdyż jest to numer, który identyfikuje urządzenie, lub nawet całą ich sieć, lecz nie osobę fizyczną.

Mimo tego, powszechnie, również na gruncie prawa polskiego (np. Wyrok Naczelnego Sądu Administracyjnego z dnia 19 maja 2011 r. dot. charakteru danych osobowych numeru IP, I OSK 1079/10), uważany jest za dane osobowe m.in. dla dostawcy usług internetowych w przypadku, gdy z łatwością może zidentyfikować osobę fizyczną, której ten numer przyznał. Jest to kwestia już dość dobrze rozpoznana i w wyżej opisanym duchu wypowiadał się na jej temat Trybunał Sprawiedliwości Unii Europejskiej choćby w sprawie C-70/10, w której wyraźnie stwierdził, że adresy te stanowią chronione dane osobowe, jako że pozwalają na precyzyjną identyfikację tych użytkowników.

Problem podniesiony jednak w omawianej sprawie C‑582/14 Patrick Breyer przeciwko Republice Federalnej Niemiec jest materią nową dla TSUE i kwestią w ogóle do tej pory słabo rozpoznaną w orzecznictwie. Nie dotyczy bowiem zbierania i identyfikacji stałych adresów IP przez dostawcę dostępu do sieci, lecz zbierania trudniejszych, ale możliwych do połączenia z osobą fizyczną dynamicznych adresów IP i to nie tylko przez dostawcę dostępu do Internetu, ale również dostawcę treści.

Takim podmiotem jest przykładowo administrator serwerów, na których zlokalizowane są strony internetowe. Standardową praktyką wśród nich jest zapisywanie tzw. logów, czyli plików, zawierających swego rodzaju rejestry zdarzeń z chronologicznym zapisem informacji o nich. Zawierają one między innymi adresy IP urządzeń, które nawiązywały połączenie z serwerem i pozwalają, tworzyć choćby statystyki ich wykorzystania, umożliwiają wykrywanie nieprawidłowości w systemie, a także próby włamania do niego.

Dostawcy dostępu do Internetu przyznają swoim klientom przy każdym połączeniu z Internetem tymczasowe – innymi słowy – dynamiczne adresy IP i zmieniają je przy każdym późniejszym połączeniu. Spółki te prowadzą rejestr, w którym widnieje informacja, jaki adres IP został przyznany w danej chwili określonemu urządzeniu.

Jak zostało powiedziane wcześniej, również właściciele stron internetowych, do których uzyskuje się dostęp za pomocą dynamicznych adresów IP, prowadzą zazwyczaj rejestry, w których widnieją m.in. informacje o stronach, jakie były wyświetlane, a także o tym kiedy to nastąpiło i przy użyciu jakiego dynamicznego adresu IP. Z technicznego punktu widzenia po zakończeniu połączenia internetowego użytkownika rejestry te mogą być przechowywane bez ograniczeń czasowych.

Dynamiczny adres IP nie wystarcza wprawdzie sam w sobie do tego, aby usługodawca zidentyfikował użytkownika swojej strony internetowej, jednak jest to możliwe, łącząc ten adres z innymi danymi znajdującymi się w rękach dostawcy dostępu do sieci.

Patrick Breyer, który skierował przeciwko Republice Federalnej Niemiec powództwo o zaniechanie rejestracji adresów IP, zwracał uwagę, że liczne niemieckie instytucje publiczne prowadzą ogólnodostępne portale internetowe, na których udostępniają aktualne informacje. Aby chronić się przed atakami i umożliwić ściganie na drodze prawnej podmiotów, które dopuściły się takich ataków, w przypadku większości tych portali każde wejście na stronę jest rejestrowane w pliku logów. Po zakończeniu danej sesji w danych tych przechowuje się nazwę konsultowanych danych lub strony, pojęcia wpisane w polach wyszukiwania, dzień i godzinę konsultacji, ilość przesłanych danych, informację, czy konsultacja się powiodła oraz adres IP komputera, za pomocą którego przeglądano określone dane lub strony. Breyer domagał się, by nałożyć na Republikę Federalną Niemiec obowiązek zaniechania rejestrowania – lub zlecania rejestrowania przez osoby trzecie – adresu IP systemu nadrzędnego swego komputera, o ile rejestracja tego adresu nie jest konieczna do przywrócenia dostępności telemediów w przypadku awarii.

Sprawa przeszła przez dwie instancje i po wniesieniu rewizji przez obie strony sporu, trafiła przed Federalny Trybunał Sprawiedliwości, który zadał wcześniej przytoczone pytania, dotyczące rejestracji adresów IP. Trybunał po zapoznaniu się ze sprawą orzekł, że dynamiczny adres protokołu internetowego zarejestrowany przez dostawcę usług medialnych online przy okazji przeglądania przez daną osobę strony internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego dostawcy dane osobowe w rozumieniu tego przepisu, w sytuacji gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby, której dane dotyczą, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu dla tej osoby.

Oznacza to w praktyce, że gdy istnieją środki prawne pozwalające dostawcy usług internetowych o zwrócenie się do odpowiednich służb o ustalenie u dostawcy dostępu do sieci personaliów osoby identyfikującej się konkretnym numerem IP, należy traktować go wtedy, jako dane osobowe ze wszelkimi tego konsekwencjami.

Trybunał stwierdził ponadto, że Dyrektywa o Ochronie Danych Osobowych wymaga ważenia  interesu usługodawcy, a więc celu polegającego na zagwarantowaniu ogólnej funkcjonalności mediów online, z interesem lub podstawowymi prawami i wolnościami jego użytkowników.

Należy pamiętać jednak przy tym, że interes gospodarczy, zawsze musi ustępować prawom i wolnościom obywateli, takim jak ochrona ich prywatności, czy tożsamości informacyjnej. Z tej też przyczyny zarówno usługodawcy operujący w Unii Europejskiej, jak i jej obywatele, powinni zwracać uwagę na to, czy polityka prywatności dostarczanych lub używanych usług realizuje te standardy.