Czy adres IP to dane osobowe?

A teraz coś z nieco innej beczki. Kilka dni temu usłyszałem — kategorycznie wypowiedziane! bez cienia wątpliwości! — że adres IP to dane osobowe. Tako rzecze przecież GIODO.

No owszem, stosowna notka wisi od paru lat w serwisie GIODO.gov.pl, jednak — podobnie jak w przypadku wielu innych opinii dotyczących różnych dziedzin prawa — każdy czytający widzi co aktualnie chce zobaczyć. Stąd pytanie: czy adres IP komputera to dane osobowe jego użytkownika? budzi nieodmienne spory i kontrowersje.

art. 6 ustawy o ochronie danych osobowych
1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Jeśli zatem zapytacie mnie, odpowiem: tak, GIODO ma rację — adres IP może być traktowany jako dane osobowe — jednak nie zawsze, a sprawa wygląda chyba na bardziej skomplikowaną, niż dostrzega to regulator.

Z jednej strony faktycznie: skoro ustawa definiuje dane osobowe jako każdą informację, która mówi o konkretnym człowieku lub informację, dzięki której można zidentyfikować konkretnego człowieka — to wystarczy, że będę korzystał ze stałego publicznego adresu IP, a informacja ta zostanie zapamiętana i przemielona przez sieć, a wówczas każda kolejna aktywność będzie mogła być przypisana właśnie mnie…
…no właśnie: czy aby na pewno? Sceptycy przypominają, że to nie ludzie mają adresy IP, lecz urządzenia, które czasem są bardziej (sprytfon, komputer), a czasem mniej osobiste (ruter), zatem być może nie wolno jednak utożsamiać urządzenia z jego użytkownikiem? No tak, od razu przypomnę, że adresy zamieszkania tak naprawdę określają umiejscowienie budynków, a przecież jednak nikt nie będzie się upierał, że podając czyjś adres zamieszkania w rzeczywistości nie mówię o człowieku — lecz wyłącznie o budynku.

To co proste w przypadku zidentyfikowanej osoby — budując cyfrową personifikację konkretnego człowieka jako dane osobowe musimy traktować każdą dopisywaną rubrykę: numer kołnierzyka koszuli, model roweru, którym się porusza, etc. etc. — trudniej potraktować jako zasadę w przypadku kiedy mowa o osobie, której tożsamość dopiero chcemy ustalić. Pamiętajmy bowiem, że zgodnie z art. 6 ust. 3 UoŚUDE jakaś informacja o tyle może być traktowana jako pozwalająca na ustalenie czyjejś tożsamości, o ile może być po temu użyta bez nadmiernych kosztów, czasu lub działań. Cóż z tego zatem, że będę stale korzystał z własnego urządzenia o publicznym adresie (a jeszcze lepiej: będę abonentem usługi dostępu do sieci, któremu operator przydzieli taki adres), skoro przeciętny Polak nawet nie przypuszcza, że istnieje takie cuś jak publiczny adres IP, nie mówiąc o tym, że istnieją narzędzia pozwalające na ustalenie nazwiska abonenta?
(Ale jest przeciwny koniec kija: mój operator telekomunikacyjny jest przecież w stanie — bo ma taki obowiązek — odszyfrować nawet kiedyś tam przydzielony mi zmienny adres IP.)

No i jest jeszcze coś, co lubię w takich momentach przypominać: zgodnie z art. 18 ust. 5 pkt 2 UoŚUDE adres IP użytkownika takiej usługi należy do danych eksploatacyjnych, do których przetwarzania upoważniony jest z mocy samej ustawy. I owszem, nie oznacza to, że automatycznie staje się przez to nie-daną osobową — skoro dane osobowe to każda informacja, która pozwala na dokonanie identyfikacji, to w pewnych warunkach dane eksploatacyjne mogą być równocześnie danymi osobowymi — ale znów: tylko o tyle, o ile nie wymaga to nadmiernych kosztów, czasu lub działań.
A w przeciwnym razie nie będzie IP niczym innym, niż chce tego ustawa o świadczeniu usług drogą elektroniczną — jedną z wielu danych charakteryzujących sposób korzystania z usługi przez usługobiorcę, czyli adresem sieciowym pozwalającym na identyfikację zakończenia sieci (art. 2 pkt 52 ustawy prawo telekomunikacyjne).

PS Ten tekst ma zdecydowanie charakter publicystyczno-zaczepno-polemiczny i nie należy traktować go jako porady prawnej. Po prostu czułem potrzebę zripostowania beznamiętnie powtarzanej frazy „adres IP to dane osobowe”.

26 comments for “Czy adres IP to dane osobowe?

  1. mall
    21 kwietnia 2015 at 08:34

    Mam jakieś wrażenie, że to zdanie jest kluczowe:
    „Pamiętajmy bowiem, że zgodnie z art. 6 ust. 3 UoŚUDE jakaś informacja o
    tyle może być traktowana jako pozwalająca na ustalenie czyjejś
    tożsamości, o ile może być po temu użyta bez nadmiernych kosztów, czasu
    lub działań.”
    Zidentyfikowanie 1 osoby na podstawie jego zmiennego IP w połączeniu z tym, co może być zapisane w cookies, cookies z flasha czy może za pomocą identyfikacji z użyciem odcisku przeglądarki to koszt pomijalny. W dobie automatyzacji i niskich cen baz danych osobowych można pokusić się o wniosek, że ustalenie tożsamości nie generuje
    nadmiernych kosztów, czasu lub działań.
    Tyle moja intuicja ale ja się nie znam.

    • Paweł
      21 kwietnia 2015 at 08:48

      Zidentyfikowanie osoby siedzącej przed komputerem na podstawie tych danych, moim zdaniem, jest co najmniej trudne, jeśli nie niemożliwe. Nie wiem skąd założenie, że urządzenie = użytkownik.

    • 21 kwietnia 2015 at 08:57

      Rozumiem, że schemat byłby taki:
      – znam adres IP użytkownika U,
      – kupuję bazę użytkowników portalu XYZ.com.pl, z którego wiem, że w danej chwili Ch korzystał U,
      – przy okazji portal XYZ.com.pl udostępnia mi dane wygenerowane w ciastku,
      – porównuję znany zmienny IP z IP-kiem zapisanym w ciastku,
      – na tej podstawie mam rozpoznany np. adres poczty elektronicznej U?

      Nawet jeśli zagra to w 3/4 przypadków i z dokładnością 75%, to chyba nie jest to pomijalny koszt czy nakład sił. Pomijając, że trzeba wiedzieć gdzie uderzyć (co z tego, że np. sprawdziłbym sobie Twój adres IP — na przykład pozostawiony w serwisie Disqus — skoro nie wiem co jeszcze oglądałeś? A w szczególności nie wiem w jakich innych serwisach, które mogą mi sprzedać bazę, się porejestrowałeś?

      • mall
        21 kwietnia 2015 at 09:27

        Jednocześnie firma reklamowa czy inna firma udostępniająca funkcjonalność na stronie internetowej, która umożliwia zbieranie danych (twitter, disqus, facebook, google) ma dostęp do mocno rozbudowanego (a przez to wiarygodnego) profilu przy blisko zerowym koszcie i wysiłku. Więc adres IP nie będzie daną osobową dla przypadkowej osoby prywatnej ale będzie dla takiego korpo.

        • 21 kwietnia 2015 at 09:43

          Czyli mamy dobry przykład na poparcie tezy, że być może coś, co nazywało się „A” 7 lat temu, dziś niekoniecznie nadal jest „A”.

          (Kilka lat temu termin big-data pojawiałby się w Lege Artis wyłącznie w kontekście „Łowcy androidów”… pewnie w tym samym czasie, kiedy android oznaczał po prostu jakiegoś replikanta… ;-)

        • Wojtek K
          22 kwietnia 2015 at 12:36

          Też nie do końca bo używając facebooka z 5 miejsc mamy 5 adresów IP. Mamy konkretnego użytkownika. Czy wszystkie numery IP są jego danymi osobowymi skoro np. 3 z nich mogą zostać przydzielone innym osobom korzystającym z tego samego miejsca z tego samego serwisu?

    • ~
      21 kwietnia 2015 at 11:09

      Tylko że adres IP tego użyszkodnika jest zupełnie nieistotny.

      Jeśli dostaniesz goły adres IP w niczym Ci to nie pomoże. Masz abonenta i jego router.

      Z drugiej strony – jeśli bierzesz odcisk przeglądarki i ciasteczka, albo choćby adres IP za NAT-em – no to nie mówisz już o gołym adresie IP, tylko o całym pakiecie innych danych, samodzielnie identyfikujących użyszkodnika, z kwiatkiem do kożucha w postaci adresu IP. Inaczej – jak z gwoździa (IP) zgotować wieczerzę („wydedukać” dane osobowe). Jeśli usuniesz adres IP z tych danych, coś to zmieni? Nic.
      Adres IP tego użyszkodnika jest zupełnie nieistotny.

      • Paweł
        21 kwietnia 2015 at 12:00

        Jeśli z danego urządzenia korzysta więcej niż jedna osoba, to żadna z tych danych (ani ich zbiór) nie zidentyfikuje użytkownika, a li tylko owo urządzenie.

  2. Art
    21 kwietnia 2015 at 09:20

    Nie należy utożsamiać urządzenia (zwłaszcza routera) z użytkownikiem, ale z właścicielem (abonentem) już tak, na tej samej zasadzie co numer rejestracyjny samochodu.

    • 21 kwietnia 2015 at 09:45

      Tak, jasne, jednak np. z serwisu internetowego zwykle korzysta jego użytkownik (użytkownik końcowy rutera) — więc nawet jeśli adres IP identyfikuje nam abonenta usługi telekomunikacyjnej, to… gdzie tu miejsce na dane osobowe użytkownika?

      (Ja nie wyjaśniam, ja celowo mieszam — bo ten tekst, jak mało który, ma na celu wywołanie wyłącznie wątpliwości.)

      • Art
        21 kwietnia 2015 at 11:53

        Nie próbuję odpowiadać na pytanie czy adres IP wypełnia ustawową definicję danych osobowych. Chciałem tylko zauważyć, że adres IP jest analogiczny do numeru rejestracyjnego samochodu, który identyfikuje właściciela pojazdu, a nie jego użytkownika. Nie przeszkadza to jednak władzy do nakładania i egzekwowania kar za przekroczenie prędkości na podstawie zdjęcia z fotoradaru.

        • 21 kwietnia 2015 at 12:53

          Ale to dlatego, że jest taka ustawa ;-)

          Natomiast pogląd, że numer na tablicy to dane osobowe — pamiętamy wyskok GIODO ws. kamerek w autach — uważam za błędny (acz znów: dla wydziału transportu, dla policji, tak).

        • sjs
          22 kwietnia 2015 at 12:19

          Ale przecież, jak na razie, to właściciel pojazdu musi jednak potwierdzić, że to on prowadził, a nie ktoś inny, żeby dostać ten mandat.

          • 22 kwietnia 2015 at 12:28

            No ale jeśli nie wskaże, to jednak ponosi odpowiedzialność, TK przyklepał (P 27/13):

            http://trybunal.gov.pl/rozprawy/komunikaty-prasowe/komunikaty-po/art/6756-wskazanie-sprawcy-wykroczenia-drogowego/

            • sjs
              23 kwietnia 2015 at 07:19

              Ale odpowiada za to, że nie wskazał, a nie za wykroczenie drogowe.

              • Art
                23 kwietnia 2015 at 10:54

                Technicznie rzecz biorąc masz rację. Zauważ jednak, że taki obowiązek donosicielstwa można moralnie uzasadniać jedynie tym, że właściciel pojazdu odpowiada za użytkownika. Takie moralne uzasadnienie można potem kopiować do analogicznych sytuacji. W przypadku adresu IP też można na kilka sposobów próbować zmusić właściciela komputera, aby wskazał jego użytkownika. Zwłaszcza że naciski nie muszą być tylko ze strony państwa, mogą to być np. naciski ze strony społeczeństwa albo pracodawcy. Przykład wykorzystywania tablic rejestracyjnych przez internetowych detektywów znajdziesz na tej stronie: http://tablica-rejestracyjna.pl/

  3. sjs
    22 kwietnia 2015 at 12:24

    Podobna sytuacja jest z adresami mailowymi. Niby się mówi, że adres zawierający imię i nazwisko to już dane osobowe, ale np jan.kowalski@gmail.com to pewnie parę tysięcy osób mogło by mieć. Adres bronislaw.komorowski@prezydent.pl niby już wskazuje na bardzo konkretną osobę, ale nawet jeśli taki adres istnieje to prawdopodobieństwo, że prezydent używa go osobiście wcale nie jest stuprocentowe.

  4. Anonimowy
    26 kwietnia 2015 at 20:18

    Panie Olgierdzie! Nie wszystko co się słysz należy brać do siebie :)

    • 27 kwietnia 2015 at 08:51

      Panie Tomaszu (?) — nie biorę do siebie, traktuję jako dobry przyczynek do tekściku.

Dodaj komentarz