Adres IP użytkownika i nadany mu unikalny identyfikator nie zawsze stanowią dane osobowe

Czy adres IP użytkownika serwisu internetowego i unikalny ID nadany mu przez usługodawcę stanowią dane osobowe — ponieważ zostały przypisane i odnoszą się do konkretnego człowieka? Czy jednak uznanie tych parametrów za dane osobowe wymaga ustalenia, że przy ich użyciu możliwa jest identyfikacja konkretnej osoby fizycznej?  

wyrok WSA w Warszawie z 11 lipca 2022 r. (II SA/Wa 3993/21)
1) RODO nie rozstrzyga, czy same identyfikatory internetowe, takie jak adresy IP, czy identyfikatory plików cookies powinny zawsze być traktowane jako dane osobowe, czy jako jeden z czynników („śladów”), które mogą pozwolić na identyfikację osoby fizycznej. 
2) Zidentyfikowanie osoby fizycznej nie musi polegać na określeniu jej imienia i nazwiska. Konstatacja ta jest szczególnie istotna w środowisku cyfrowym, w którym identyfikacja sprowadza się do oznaczenia danego użytkownika w celu wywierania na niego określonego wpływu. Identyfikacja osoby nie wymaga zatem znajomości jej imienia lub nazwiska, wymaga natomiast znajomości pewnych unikalnych cech tej osoby, które odróżniają ją od innych.

Sprawa zaczęła się od skargi na nieprawidłowości w przetwarzaniu danych osobowych przez serwis internetowy, który miał — automatycznie, poprzez plii cookies, ale bez zgody użytkownika i przed zaakceptowaniem (a nawet przeczytaniem) polityki prywatności — udostępnić innym serwisom adres IP zakończenia sieci, część historii przeglądania internetu, a także „sztucznie nadany ID z cookies”.
Zdaniem usługodawcy podczas korzystania ze strony internetowej nie dochodzi do przetwarzania danych osobowych, ponieważ IP i „sztucznie nadany” identyfikator nie pozwalają zidentyfikować konkretnej osoby, zaś tak czy inaczej każdy internauta może tak skonfigurować przeglądarkę, by ciasteczka na jego urządzeniu się nie zapisywały.

PUODO stwierdził, że przypisane konkretnej osobie identyfikatory internetowe są danymi osobowymi (por. wyrok NSA z 19 maja 2011 r., I OSK 1079/10), a instalowanie plików na urządzeniu usługobiorcy wymaga wyraźnej i czynnej zgody użytkownika (por. „Zgoda na cookies też musi być „w stylu” RODO”, wyrok TSUE z 1 października 2019 r. (C-673/17). Oznacza to, że zgoda wyrażona poprzez brak zmiany ustawień przeglądarki ma charakter bierny i milczący, a więc nie odpowiada prawnym wymogom, zatem w wydanej decyzji nakazano m.in. usunięcie danych osobowych skarżącego i poinformowanie odbiorców o usunięciu tych danych, a także udzielono upomnienia za udostępnienie danych (ID i adresu IP) osobom trzecim.

motyw 30 rozporządzenia 679/2016 o ochronie danych osobowych
Osobom fizycznym mogą zostać przypisane identyfikatory internetowe — takie jak adresy IP, identyfikatory plików cookie — generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

art. 4 pkt 1 RODO

„dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

W skardze na tę decyzję serwis internetowy zwrócił uwagę, że wśród kompetencji PUODO brak jest uprawnienia do oceny zgodności działań z art. 173 pt, a w definicji danych osobowych mówi się także o osobie fizycznej „zidentyfikowanej lub możliwej do zidentyfikowania” — skoro zatem ustalenie tożsamości konkretnej osoby jest niemożliwe, to adres IP i nadany ID nie może być traktowany jako dane osobowe.

art. 173 ust. 1-2 ustawy prawo telekomunikacyjne
1. Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
a) celu przechowywania i uzyskiwania dostępu do tej informacji,
b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
2) abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.

2. Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

Wojewódzki Sąd Administracyjny zwrócił uwagę, że jeszcze „przed RODO” przyjęto w orzecznictwie, że unikatowy identyfikator internetowy (np. adres IP) może być uznany za dane osobowe, mimo tego, że co do zasady służy on do oznaczania urządzeń przyłączonych do sieci — jednak o tyle, o ile „jest na dłuższy okres czasu lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi” — ponieważ dopiero wówczas może pozwolić na identyfikację konkretnej osoby fizycznej (por. „Czy adres IP to dane osobowe?”). Rozróżnić zatem należy stałe (statyczne) adresy IP od adresów dynamicznych (zmienne), ponieważ tylko te pierwsze są przypisane konkretnemu zakończeniu sieci, a więc mogą posłużyć do zidentyfikowania tożsamości użytkownika, przez co mogą być traktowane jako dane osobowe.


Zdaniem WSA z niejasnych przyczyn PUODO „spłaszczył” tę wykładnię: cytując pogląd NSA pominął tę część uzasadnienia, w której powiedziano, iż „adres IP nie zawsze wobec tego może być traktowany jako dane osobowe” i nie poświęcając uwagi kwestii identyfikacji konkretnego człowieka w uzasadnieniu decyzji. Ba, pominięto także, iż RODO nie przesądza jednoznacznie czy adres IP użytkownika i nadany mu unikalny ID zawsze stanowi dane osobowe, czy jednak należy je postrzegać jako jeden z „zostawionych śladów” pozwalający na późniejszą identyfikację osoby fizycznej — zawsze zależy to od konkretnej sytuacji, zakresu zbieranych danych, etc.
Owszem, definicja danych osobowych odnosi się nie tylko do osoby zidentyfikowanej — przy czym owa identyfikacja nie wymaga znajomości imienia i nazwiska, całkowicie wystarczające jest rozróżnienie konkretnej osoby po jej unikalnych cechach, ale także do osoby możliwej do zidentyfikowania — przy czym ową hipotetyczną możliwość identyfikacji należy oceniać z uwzględnieniem „wszelkich rozsądnie prawdopodobnych sposobów”, które mogą być zastosowane (motyw 26 RODO). Wyklucza to aprioryczne uznanie każdego identyfikatora i wszystkich cookies — także tych, które nie pozwalają (biorąc pod uwagę koszty, czas i postęp technologiczny) na identyfikację konkretnej osoby fizycznej — za dane osobowe.

Biorąc zatem pod uwagę, że przypisany przez dostawcę internetu dynamiczny adres IP pozwala na zidentyfikowanie użytkownika, aczkolwiek co do zasady wyłącznie przez owego dostawcę — ale już nie w odniesieniu do np. wydawcy serwisu internetowego (por. wyrok TSUE z 19 października 2016 r., w/s Breyer, C-584/14) — PUODO powinien zbadać tę okoliczność, a nie arbitralnie przyjąć, że adres IP i nadany użytkownikowi ID zawsze będzie stanowił dane osobowe. Dopiero prawidłowe ustalenia pozwolą na wysnucie jakichkolwiek wniosków, w tym analizy czy jest to przypadek analogiczny do rozpatrywanego w wyroku TSUE z 29 lipca 2019 r. w sprawie Fashion ID / Facebook, C‑40/17).

(Na marginesie WSA stwierdził, iż wprawdzie kwestia stosowania przepisów prawa telekomunikacyjnego leży w gestii Urzędu Komunikacji Elektronicznej (art. 209 pt), PUODO jest uprawniony do weryfikacji prawidłowości przetwarzania danych „zaszytych” w plikach cookie, o tyle, o ile zakres tych informacji dotyka problematyki ochrony danych osobowych. Co oznacza, że jeśli się okaże, że w tym przypadku adres IP użytkownika i nadany mu unikalny ID okażą się danymi osobowymi, organ będzie mógł prowadzić postępowanie i wydać decyzję.)

Zamiast komentarza: to oczywiście rozsądny i wyważony głos; natomiast dla dorzucenia do pieca zwrócę uwagę, że ustawa o świadczeniu usług drogą elektroniczną nadal zalicza do danych eksploatacyjnych oznaczenia identyfikujące usługobiorcę nadawane na podstawie jego danych danych osobowych i oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca — i wyraźnie odróżnia je od danych osobowych. Więc bądź tu mądry i pisz wiersze, Grzegorzu Dyndało.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

20 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
20
0
komentarze są tam :-)x