Czy adres IP jest daną osobową?

Zawartość

UWAGA – od 25 maja 2018 roku poniższa treść stanie się częściowo nieaktualna. 

Ostatnio Legal Geek, na jednym z for internetowych, zajął głos w dyskusji dotyczącej danych osobowych. Pojawił się tam ciekawy wątek dotyczący tego co jest daną osobową. Ponieważ wywołało to trochę kontrowersji to dziś opiszę Wam co w praktyce jest, a co może być daną osobową.

Najpierw trochę teorii, która pozwoli Wam zrozumieć nadrzędną zasadę pozwalającą ustalić co jest daną osobową.

Zgodnie z polskim i europejskim prawem dana osobowa, to każda informacja, która dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Bardzo ważny jest tutaj zwrot „możliwej do zidentyfikowania”.

Kim jest osoba możliwa do zidentyfikowania?

Osobą możliwą do zidentyfikowania jest taka osoba, którą można zidentyfikować bez wykorzystywania w tym celu nadmiernych środków lub ponoszenia nadmiernych kosztów. Z pewnością osobą możliwą do zidentyfikowania będzie osoba, której tożsamość można ustalić na podstawie publicznie dostępnych źródeł. Nawet jeśli w ten sposób nie uzyskamy 100% pewności, że chodzi akurat o tę osobę. Jeśli więc będziemy mówić o „założycielu spółki Apple” – z pewnością jest to osoba możliwa do zidentyfikowania. Ale osobą możliwą do zidentyfikowania będzie także użytkownik adresu e-mail: „jan@kowalski.pl” czy nawet „jan.kowalski@gmail.com”. Oczywiście wielu jest Janów Kowalskich, ale najprawdopodobniej tylko jeden Jan Kowalski posługuje się jednym z wymienionych adresów.

Co jest daną osobową?

Na to pytanie w zasadzie już znamy odpowiedź – każda informacja, która dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Teraz to zdekompilujmy.

Przede wszystkim – dana osobowa sama w sobie nie musi w żaden sposób identyfikować danej osoby fizycznej! Wystarczy, że jesteśmy ją w jakikolwiek sposób powiązać z osobą, którą możemy zidentyfikować. Możemy więc mieć komplet informacji, które indywidualnie nie mówią nam nic – ale jeśli je ze sobą zestawimy, to możemy ustalić kogo dotyczą.

Najprościej będzie to przedstawić na przykładzie:

Tworzycie aplikację dla sportowców. Użytkownik może tam podać imię, nazwisko, e-mail. Z pewnością będą to jego dane osobowe. Może również zdefiniować swoje ulubione sporty, podać numer buta czy wpisać wagę, wzrost i wiek lub miejscowość zamieszkania. W tej sytuacji to też będą dane osobowe!

Numer buta daną osobową? Jak najbardziej. Ponieważ ten numer buta, który przetwarzacie macie powiązany z konkretnym użytkownikiem. Co więcej – gdyby ten użytkownik nie wpisał imienia i nazwiska, ale wpisałby, że ma 2,3 metra wzrostu, waży 120kg i mieszka w wiosce, która liczy stu mieszkańców – to także byłyby dane osobowe. Dosyć łatwo „wyłowić” można takiego kolosa ze stu osobowej grupy.

Jeśli więc dysponujecie jakimikolwiek informacjami, pozwalającymi ustalić tożsamość osoby fizycznej, takimi jak np. imię, nazwisko, imienny adres e-mail, numer identyfikacyjny – to wszelkie inne informacje dotyczące tej osoby, będą jej danymi osobowymi. Nie ważne czy bezpośrednio z tych informacji wynika jej tożsamość.

Czy adres IP to dana osobowa?

To chyba najczęściej zadawane pytanie dotyczące danych osobowych w sieci. Odpowiedź na nie wbrew pozorom jest dosyć prosta. Jeśli obok adresu IP dysponujemy również innymi informacjami, które mogą prowadzić do zidentyfikowania danej osoby (np. e-mail, nazwisko, pseudonim) – to adres IP będzie daną osobową. Jeśli więc Wasz system komentarzy zbiera adresy IP, jak również zbiera adresy e-mail, nicki, pseudonimy lub podobne dane – to jesteście w stanie, przynajmniej w teorii, zidentyfikować osobę, która za komentarzem stoi. Jesteście więc w stanie przypisać – z dużą dozą prawdopodobieństwa – adres IP do pewnej osoby.

Natomiast jeśli mamy tylko adres IP, np. z systemu statystyk i na jego podstawie nie jesteśmy w stanie ustalić tożsamości użytkownika – to nie będzie to dana osobowa. Oczywiście – jeśli z innego źródła posiadacie adresy IP i możecie je powiązać z osobą fizyczną – to ten adres z systemu statystyk również stanie się daną osobową.

To jakie dane osobowe przetwarzacie w ramach Waszych usług i serwisów?

DORA, AI Act, NIS2, i PSR: Jak nowe regulacje zmienią branże FinTech i IT?

Chcesz wiedzieć, co te zmiany oznaczają dla Ciebie i Twojej firmy? Dołącz do naszego bezpłatnego webinaru.

Tomasz Klecor

Partner zarządzający
w kancelarii Legal Geek