Nierówna walka: adres IP vs dane osobowe

  • Materiał zewnętrzny
opublikowano: 20-12-2021, 20:00

Definicja danych osobowych nie jest w Polsce nowa. Są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Katarzyna Ułasiuk, członek zarządu iSecure Sp. z o.o.

Natomiast możliwa do zidentyfikowania osoba fizyczna to taka, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię, numer identyfikacyjny, dane o lokalizacji czy identyfikator internetowy. I tu ważna kwestia - jak to jest z tym „identyfikatorem internetowym”, którym może być np. adres IP (Internet Protocol Address, numer nadawany urządzeniu, z którego korzysta użytkownik)? Czy zawsze i dla każdej firmy będą to automatycznie dane osobowe? Czy jednak może zależy to od tego, ile osób korzysta z urządzenia, czy stosuje rozwiązania typu VPN, czy korzysta z urządzenia regularnie, a w końcu (a może przede wszystkim), czy firma ma narzędzia do powiązania tego adresu IP z - uwaga, bardzo ważne - zidentyfikowanym użytkownikiem oraz posiada inne informacje o tym użytkowniku, które go identyfikują?

Moim zdaniem na takie pytanie nie można odpowiedzieć ani „zawsze tak” ani „w żadnym razie”. Adres IP pozyskiwany jest najczęściej poprzez instalowane pliki cookie. I tu przywołam stanowisko TSUE z wyroku w sprawie Planet49 GmbH, cytowane przez obrońców tezy, że adres IP (i szerzej – inne informacje pozyskiwane za pośrednictwem cookie) to zawsze i bez dyskusji dane osobowe: „instalowanie plików cookie, o których mowa w postępowaniu głównym, wiąże się z przetwarzaniem danych osobowych”. To zdanie należy jednak czytać w kontekście całego wyroku TSUE wydanego w konkretnym postępowaniu. Chodziło w nim o pliki cookie, które mogą być instalowane na urządzeniu uczestnika loterii promocyjnej. Te pliki zawierały numer przypisany do innych danych tego użytkownika, podawanych w formularzu rejestracji do loterii: imienia, nazwiska oraz adresu. W tym przypadku dochodziło więc do skojarzenia przypisanego identyfikatora z innymi personalnymi danymi użytkownika podawanymi w formularzu.

Rozstrzygając, czy identyfikatory internetowe, takie jak np. adres IP, stanowią dane osobowe, nie wolno pomijać okoliczności, gdy firma ma tylko te identyfikatory dotyczące użytkownika (sztucznie wygenerowany ID użytkownika, adres IP czy cookie ID), ale bez innych danych personalnych (e-mail, imię, płeć, itp.) lub bez możliwości powiązania ich z identyfikatorem. Może się wówczas okazać, że identyfikacja użytkownika nie jest możliwa, a bez niej nie ma mowy o danych osobowych.

Im więcej danych zbierają firmy, tym większe prawdopodobieństwo identyfikacji osoby fizycznej. Jeżeli dane z cookies prowadzą do identyfikacji takiej osoby, wtedy będą należały do danych osobowych. Nie możemy jednak zapomnieć o podstawowym kryterium - identyfikacji osoby, której należy dokonać w konkretnej firmie przez pryzmat przede wszystkim zakresu posiadanych informacji.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane