Czy adres IP to dane osobowe?

A teraz coś z nieco innej beczki. Kilka dni temu usłyszałem — kategorycznie wypowiedziane! bez cienia wątpliwości! — że adres IP to dane osobowe. Tako rzecze przecież GIODO.

No owszem, stosowna notka wisi od paru lat w serwisie GIODO.gov.pl, jednak — podobnie jak w przypadku wielu innych opinii dotyczących różnych dziedzin prawa — każdy czytający widzi co aktualnie chce zobaczyć. Stąd pytanie: czy adres IP komputera to dane osobowe jego użytkownika? budzi nieodmienne spory i kontrowersje.

art. 6 ustawy o ochronie danych osobowych
1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Jeśli zatem zapytacie mnie, odpowiem: tak, GIODO ma rację — adres IP może być traktowany jako dane osobowe — jednak nie zawsze, a sprawa wygląda chyba na bardziej skomplikowaną, niż dostrzega to regulator.

Z jednej strony faktycznie: skoro ustawa definiuje dane osobowe jako każdą informację, która mówi o konkretnym człowieku lub informację, dzięki której można zidentyfikować konkretnego człowieka — to wystarczy, że będę korzystał ze stałego publicznego adresu IP, a informacja ta zostanie zapamiętana i przemielona przez sieć, a wówczas każda kolejna aktywność będzie mogła być przypisana właśnie mnie…
…no właśnie: czy aby na pewno? Sceptycy przypominają, że to nie ludzie mają adresy IP, lecz urządzenia, które czasem są bardziej (sprytfon, komputer), a czasem mniej osobiste (ruter), zatem być może nie wolno jednak utożsamiać urządzenia z jego użytkownikiem? No tak, od razu przypomnę, że adresy zamieszkania tak naprawdę określają umiejscowienie budynków, a przecież jednak nikt nie będzie się upierał, że podając czyjś adres zamieszkania w rzeczywistości nie mówię o człowieku — lecz wyłącznie o budynku.

To co proste w przypadku zidentyfikowanej osoby — budując cyfrową personifikację konkretnego człowieka jako dane osobowe musimy traktować każdą dopisywaną rubrykę: numer kołnierzyka koszuli, model roweru, którym się porusza, etc. etc. — trudniej potraktować jako zasadę w przypadku kiedy mowa o osobie, której tożsamość dopiero chcemy ustalić. Pamiętajmy bowiem, że zgodnie z art. 6 ust. 3 UoŚUDE jakaś informacja o tyle może być traktowana jako pozwalająca na ustalenie czyjejś tożsamości, o ile może być po temu użyta bez nadmiernych kosztów, czasu lub działań. Cóż z tego zatem, że będę stale korzystał z własnego urządzenia o publicznym adresie (a jeszcze lepiej: będę abonentem usługi dostępu do sieci, któremu operator przydzieli taki adres), skoro przeciętny Polak nawet nie przypuszcza, że istnieje takie cuś jak publiczny adres IP, nie mówiąc o tym, że istnieją narzędzia pozwalające na ustalenie nazwiska abonenta?
(Ale jest przeciwny koniec kija: mój operator telekomunikacyjny jest przecież w stanie — bo ma taki obowiązek — odszyfrować nawet kiedyś tam przydzielony mi zmienny adres IP.)

No i jest jeszcze coś, co lubię w takich momentach przypominać: zgodnie z art. 18 ust. 5 pkt 2 UoŚUDE adres IP użytkownika takiej usługi należy do danych eksploatacyjnych, do których przetwarzania upoważniony jest z mocy samej ustawy. I owszem, nie oznacza to, że automatycznie staje się przez to nie-daną osobową — skoro dane osobowe to każda informacja, która pozwala na dokonanie identyfikacji, to w pewnych warunkach dane eksploatacyjne mogą być równocześnie danymi osobowymi — ale znów: tylko o tyle, o ile nie wymaga to nadmiernych kosztów, czasu lub działań.
A w przeciwnym razie nie będzie IP niczym innym, niż chce tego ustawa o świadczeniu usług drogą elektroniczną — jedną z wielu danych charakteryzujących sposób korzystania z usługi przez usługobiorcę, czyli adresem sieciowym pozwalającym na identyfikację zakończenia sieci (art. 2 pkt 52 ustawy prawo telekomunikacyjne).

PS Ten tekst ma zdecydowanie charakter publicystyczno-zaczepno-polemiczny i nie należy traktować go jako porady prawnej. Po prostu czułem potrzebę zripostowania beznamiętnie powtarzanej frazy „adres IP to dane osobowe”.

  • mall

    Mam jakieś wrażenie, że to zdanie jest kluczowe:
    „Pamiętajmy bowiem, że zgodnie z art. 6 ust. 3 UoŚUDE jakaś informacja o
    tyle może być traktowana jako pozwalająca na ustalenie czyjejś
    tożsamości, o ile może być po temu użyta bez nadmiernych kosztów, czasu
    lub działań.”
    Zidentyfikowanie 1 osoby na podstawie jego zmiennego IP w połączeniu z tym, co może być zapisane w cookies, cookies z flasha czy może za pomocą identyfikacji z użyciem odcisku przeglądarki to koszt pomijalny. W dobie automatyzacji i niskich cen baz danych osobowych można pokusić się o wniosek, że ustalenie tożsamości nie generuje
    nadmiernych kosztów, czasu lub działań.
    Tyle moja intuicja ale ja się nie znam.

  • Paweł

    Zidentyfikowanie osoby siedzącej przed komputerem na podstawie tych danych, moim zdaniem, jest co najmniej trudne, jeśli nie niemożliwe. Nie wiem skąd założenie, że urządzenie = użytkownik.

  • Rozumiem, że schemat byłby taki:
    – znam adres IP użytkownika U,
    – kupuję bazę użytkowników portalu XYZ.com.pl, z którego wiem, że w danej chwili Ch korzystał U,
    – przy okazji portal XYZ.com.pl udostępnia mi dane wygenerowane w ciastku,
    – porównuję znany zmienny IP z IP-kiem zapisanym w ciastku,
    – na tej podstawie mam rozpoznany np. adres poczty elektronicznej U?

    Nawet jeśli zagra to w 3/4 przypadków i z dokładnością 75%, to chyba nie jest to pomijalny koszt czy nakład sił. Pomijając, że trzeba wiedzieć gdzie uderzyć (co z tego, że np. sprawdziłbym sobie Twój adres IP — na przykład pozostawiony w serwisie Disqus — skoro nie wiem co jeszcze oglądałeś? A w szczególności nie wiem w jakich innych serwisach, które mogą mi sprzedać bazę, się porejestrowałeś?

  • Art

    Nie należy utożsamiać urządzenia (zwłaszcza routera) z użytkownikiem, ale z właścicielem (abonentem) już tak, na tej samej zasadzie co numer rejestracyjny samochodu.

  • mall

    Jednocześnie firma reklamowa czy inna firma udostępniająca funkcjonalność na stronie internetowej, która umożliwia zbieranie danych (twitter, disqus, facebook, google) ma dostęp do mocno rozbudowanego (a przez to wiarygodnego) profilu przy blisko zerowym koszcie i wysiłku. Więc adres IP nie będzie daną osobową dla przypadkowej osoby prywatnej ale będzie dla takiego korpo.

  • Czyli mamy dobry przykład na poparcie tezy, że być może coś, co nazywało się „A” 7 lat temu, dziś niekoniecznie nadal jest „A”.

    (Kilka lat temu termin big-data pojawiałby się w Lege Artis wyłącznie w kontekście „Łowcy androidów”… pewnie w tym samym czasie, kiedy android oznaczał po prostu jakiegoś replikanta… ;-)

  • Tak, jasne, jednak np. z serwisu internetowego zwykle korzysta jego użytkownik (użytkownik końcowy rutera) — więc nawet jeśli adres IP identyfikuje nam abonenta usługi telekomunikacyjnej, to… gdzie tu miejsce na dane osobowe użytkownika?

    (Ja nie wyjaśniam, ja celowo mieszam — bo ten tekst, jak mało który, ma na celu wywołanie wyłącznie wątpliwości.)

  • ~

    Tylko że adres IP tego użyszkodnika jest zupełnie nieistotny.

    Jeśli dostaniesz goły adres IP w niczym Ci to nie pomoże. Masz abonenta i jego router.

    Z drugiej strony – jeśli bierzesz odcisk przeglądarki i ciasteczka, albo choćby adres IP za NAT-em – no to nie mówisz już o gołym adresie IP, tylko o całym pakiecie innych danych, samodzielnie identyfikujących użyszkodnika, z kwiatkiem do kożucha w postaci adresu IP. Inaczej – jak z gwoździa (IP) zgotować wieczerzę („wydedukać” dane osobowe). Jeśli usuniesz adres IP z tych danych, coś to zmieni? Nic.
    Adres IP tego użyszkodnika jest zupełnie nieistotny.

  • Art

    Nie próbuję odpowiadać na pytanie czy adres IP wypełnia ustawową definicję danych osobowych. Chciałem tylko zauważyć, że adres IP jest analogiczny do numeru rejestracyjnego samochodu, który identyfikuje właściciela pojazdu, a nie jego użytkownika. Nie przeszkadza to jednak władzy do nakładania i egzekwowania kar za przekroczenie prędkości na podstawie zdjęcia z fotoradaru.

  • Paweł

    Jeśli z danego urządzenia korzysta więcej niż jedna osoba, to żadna z tych danych (ani ich zbiór) nie zidentyfikuje użytkownika, a li tylko owo urządzenie.

  • Ale to dlatego, że jest taka ustawa ;-)

    Natomiast pogląd, że numer na tablicy to dane osobowe — pamiętamy wyskok GIODO ws. kamerek w autach — uważam za błędny (acz znów: dla wydziału transportu, dla policji, tak).

  • sjs

    Ale przecież, jak na razie, to właściciel pojazdu musi jednak potwierdzić, że to on prowadził, a nie ktoś inny, żeby dostać ten mandat.

  • sjs

    Podobna sytuacja jest z adresami mailowymi. Niby się mówi, że adres zawierający imię i nazwisko to już dane osobowe, ale np jan.kowalski@gmail.com to pewnie parę tysięcy osób mogło by mieć. Adres bronislaw.komorowski@prezydent.pl niby już wskazuje na bardzo konkretną osobę, ale nawet jeśli taki adres istnieje to prawdopodobieństwo, że prezydent używa go osobiście wcale nie jest stuprocentowe.

  • No ale jeśli nie wskaże, to jednak ponosi odpowiedzialność, TK przyklepał (P 27/13):

    http://trybunal.gov.pl/rozprawy/komunikaty-prasowe/komunikaty-po/art/6756-wskazanie-sprawcy-wykroczenia-drogowego/

  • Oczywiście, zresztą można w ogóle budować 101 scenariuszy, bo i „Misiek” to może być nazwisko, a nawet przysłowiowa Dupa.pl złożeniem inicjału i nazwiska (Danuta Upa).

  • Wojtek K

    Też nie do końca bo używając facebooka z 5 miejsc mamy 5 adresów IP. Mamy konkretnego użytkownika. Czy wszystkie numery IP są jego danymi osobowymi skoro np. 3 z nich mogą zostać przydzielone innym osobom korzystającym z tego samego miejsca z tego samego serwisu?

  • sjs

    Ale odpowiada za to, że nie wskazał, a nie za wykroczenie drogowe.

  • Art

    Technicznie rzecz biorąc masz rację. Zauważ jednak, że taki obowiązek donosicielstwa można moralnie uzasadniać jedynie tym, że właściciel pojazdu odpowiada za użytkownika. Takie moralne uzasadnienie można potem kopiować do analogicznych sytuacji. W przypadku adresu IP też można na kilka sposobów próbować zmusić właściciela komputera, aby wskazał jego użytkownika. Zwłaszcza że naciski nie muszą być tylko ze strony państwa, mogą to być np. naciski ze strony społeczeństwa albo pracodawcy. Przykład wykorzystywania tablic rejestracyjnych przez internetowych detektywów znajdziesz na tej stronie: http://tablica-rejestracyjna.pl/

  • Anonimowy

    Panie Olgierdzie! Nie wszystko co się słysz należy brać do siebie :)

  • Panie Tomaszu (?) — nie biorę do siebie, traktuję jako dobry przyczynek do tekściku.

  • sjs
  • Wydaje mi się, że stare :)

  • sjs

    Jakby Disqus nie był zbyt sprytny to zobaczyłbyś link z opisem, że to dzisiejsza Panorama. Może teraz wyświetli dobrze: http://tinyurl.com/o7rs47d

  • sjs

    Jakby Disqus nie był zbyt sprytny to zobaczyłbyś link z opisem, że to dzisiejsza Panorama. Może teraz wyświetli dobrze: tinyurl com/o7rs47d (przed com trzeba wstawić kropkę)

  • Mówiąc „stare” miałem na myśli „stary numer” — przecież dokładnie w ten sam sposób pracę w TVP „załatwił” sobie Paweł Miter. Numer z podmianką nadawcy jest stary jak usługa email :)

    Nb. o Miterze piszą dziś tak: http://www.wirtualnemedia.pl/artykul/pawel-miter-wzial-pieniadze-od-amber-gold-za-prowokacje-to-forma-nacisku

  • A w ogóle to już widzę jak Disqus robi się sprytny: jeśli podajesz odnośnik, to w tej samej linijce co poprzedni tekst.

    Jeśli będzie poprzedzone enter-enter, to Disqus próbuje wstawić grafikę z tamtej strony. To jakiś bug, którego wcześniej nie było.