W celu stwierdzenia, czy daną osobę można zidentyfikować, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu jej ustalenia.
Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie Breyer vs. Republika Federalna Niemiec z 19 października 2016 r. (C-582/14) wzbudził duże zainteresowanie. Przedmiotem tego postępowania było roszczenie obywatela Niemiec o zaprzestanie przechowywania dynamicznych adresów IP sesji, gromadzonych w związku z przeglądaniem publicznie dostępnych stron internetowych prowadzonych przez służby federalne. Istotą rozstrzygnięcia było uznanie przez Trybunał, że dla dostawcy treści internetowych, dynamiczny adres IP przypisany użytkownikowi w danej sesji, może stanowić daną osobową w przypadku, gdy taki dostawca dysponuje środkami prawnymi umożliwiającymi uzyskanie dodatkowych informacji od dostawcy usługi dostępu do sieci pozwalających na jednoznaczną identyfikację tego użytkownika
Możliwości identyfikacji
W wyroku jednym z kluczowych zagadnień jest kwestia pojęcia możliwej do zidentyfikowania osoby fizycznej. W świetle definicji w art. 2 pkt a) dyrektywy nr 95/46/WE z 24.10.1995 r. (Dyrektywa), jest to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio. Identycznym sformułowaniem posługuje się polska ustawa o ochronie danych osobowych (u.o.d.o.) w jej art. 4 ust. 1.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) o ochronie danych nr 2016/679 (RODO), które wejdzie w życie 25 maja 2018 r. posługuje się zbliżoną definicją. Jest to osoba, którą można bezpośrednio lub pośrednio zidentyfikować. przy czym w definicji RODO wskazuje się dodatkowo, że może chodzić o identyfikację m.in. przy wykorzystaniu identyfikatora internetowego. Dodatkowo warto wspomnieć, że Dyrektywa, w jej motywie 26, przewiduje, że w celu ustalenia, czy daną osobę można zidentyfikować, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby. Z kolei zgodnie z motywem 26 RODO – aby stwierdzić, czy osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.
Trybunał stwierdził, że dynamiczny adres IP może stanowić dane osobowe nie tylko wtedy, gdy dostawca usług medialnych jest w stanie bezpośrednio zidentyfikować osobę, której dane dotyczą. Ma to miejsce również, gdy dysponuje on środkami prawnymi umożliwiającymi mu taką identyfikację pośrednio (tj. dzięki dodatkowym informacjom od dostawcy dostępu do Internetu). Uzasadnienie zbieżne jest z wnioskami przedstawionymi w tej sprawie w opinii rzecznika generalnego M. Camposa Sancheza-Bordony.
Koszt odgrywa ważną rolę
Rzecznik wskazał dodatkowo, że trudno mówić o możliwości identyfikacji osoby fizycznej, gdy kontakt z osobami trzecimi dysponującymi dodatkowymi informacjami pozwalającymi na identyfikację byłby bardzo kosztowny w kategoriach ludzkich oraz gospodarczych czy też praktycznie niewykonalny albo zakazany prawem (akapit 68 opinii). Jednak, gdy możliwy i prawnie dopuszczalny jest kontakt z dostawcą usługi internetowej, który w określonych okolicznościach jest uprawniony do udostępnienia danych, pozwalających na identyfikację osoby fizycznej, dynamiczny adres IP, zgodnie z motywem 26 dyrektywy 95/46, może stać się z punktu widzenia dostawcy treści danymi osobowymi.
Warto odwołać się również do przepisów prawa polskiego. Zgodnie z art. 6 ust. 3 u.o.d.o., informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Przepis ten interpretuje się m.in., poprzez odniesienie do stopnia trudności ustalenia tożsamości danej osoby. Nie można nie zauważyć, że uzyskanie informacji o dynamicznym numerze IP może wiązać się dla przeciętnego zainteresowanego z pewnym wysiłkiem organizacyjnym (tj. koniecznością wszczęcia odpowiedniego postępowania). Jednak w świetle wyroku ws. Breyer i opinii Rzecznika „pośrednie" uzyskiwanie informacji, jako takie nie wydaje się stanowić działania „nadmiernego", a w konsekwencji, jako takie, nie będzie samoistną przeszkodą uznania dynamicznego adresu IP za daną osobową.
Inspektor myśli podobnie
GIODO również prezentował podobne podejście co do charakteru pośredniej możliwości identyfikacji konkretnej osoby fizycznej. Przykładowo (w decyzji nr GI-DIS-K-411/22/07 z 22 stycznia 2008 roku) GIODO przyjął – w odniesieniu do numeru telefonu – że takie informacje (numer telefonu osoby) dają możliwość określenia tożsamości tych osób np. poprzez bezpośredni kontakt z respondentem. Z tego wynika, że GIODO może uznać nawet potencjalną, pośrednią możliwość połączenia ze sobą informacji dla stwierdzenia, że dana informacja stanowi daną osobową; również przed podjęciem przez dysponenta informacji jakichkolwiek działań.
W kontekście omawianej problematyki warto zauważyć, że dotychczasowe decyzje GIODO oraz wyroki sądowe dotyczące adresów IP, odnosiły się zasadniczo do statycznego adresu IP (a zatem adresu IP przypisanego do konkretnego urządzenia). Jednocześnie należy mieć na uwadze, że podstawą stawianych tez było przyjęcie przez GIODO oraz sądy, że wystarczające dla klasyfikacji informacji jako danej osobowej jest istnienie pośredniej możliwości identyfikacji osoby fizycznej, poprzez odwołanie się do zasobów informacyjnych innego podmiotu.
Warto przywołać zwłaszcza decyzję GIODO z 19 kwietnia 2013 r. (nr DOLiS/DEC- 451/13/24342, 24343), w której organ wskazał, że pozyskanie tej danej (numeru IP komputera0 pozwoli skarżącemu na ustalenie innych danych tej osoby, tak aby możliwe było skierowanie przeciwko niej spraw do sądu z tytułu naruszenia. Należy także zauważyć, że stanowisko GIODO z reguły podzielały także sądy. W wyroku WSA w Warszawie z 3 lutego 2010 r., II SA/Wa 1598/09 wskazano, że (...) z uwagi na to, że każdy komputer zostawia w Internecie ślad – adres IP, za pomocą którego można ustalić komputer, z którego dokonano wpisu, stwarza to możliwość pośredniego ustalenia tożsamości osoby, która dokonała tego wpisu" (ten pogląd został później powtórzony przez GIODO np. w decyzji nr DOLiS/DEC-1013/10 z 13 sierpnia 2010 r. oraz decyzji nr DOLiS/DEC-474/13/25642,25645 z 24 kwietnia 2013 r.). Warto także przywołać wyrok NSA o sygn. I OSK 1079/10 z 19 maja 2011 r., w którym wskazano, że wszędzie tam, gdzie numer IP pozwala pośrednio na identyfikację konkretnej osoby fizycznej powinien on być uznany za dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych.
Konieczność zaadaptowania
Wydaje się, że podejście zaprezentowane przez TSUE zostanie zaadaptowane przez polskie organy w odniesieniu do dynamicznych adresów IP. Na gruncie prawa polskiego dopuszcza się bowiem (legalne) żądanie udostępnienia danych osobowych w odpowiednich trybach (pod warunkiem wykazania określonych w przepisach przesłanek). Takie działanie wobec dotychczasowej praktyki sądów oraz GIODO (tutaj) jak i w świetle wyroku ws. Breyer nie zostanie zapewne uznane za „nadmierne".
Dynamiczny adres IP stanowi dane osobowe
Joanna Matczuk, partner Zespół IP SMM Legal; Małgorzata Kurowska, associate Zespół IP SMM Legal:
Należy zauważyć, że wyrok TSUE niekoniecznie będzie prowadzić do zmian w obecnym statusie szeroko rozumianych dostawców usług medialnych (w tym blogerów), czy też przesądzać o automatycznym nałożeniu na nich dodatkowych obowiązków.
W stanowisku GIODO z 15 listopada 2016 r., odnoszącym się do wyroku ws. Breyer (dostępnym na giodo.gov.pl), GIODO przypomniał, że przykładowo osoby fizyczne przetwarzające dane na użytek osobisty – a zatem nie w celu komercyjnym lub zawodowym – nie są objęte regulacjami u.o.d.o.
Zbieranie dynamicznych adresów IP nie przesądza też automatycznie o obowiązku zgłaszania zbiorów danych osobowych. Każdy przypadek wymagać będzie indywidualnej oceny. Oczywiście, czy i w jaki sposób omawiane orzeczenie faktycznie wpłynie na status podmiotów prowadzających w Internecie działalność komercyjną – dopiero się okaże.
Trybunał Sprawiedliwości Unii Europejskiej uznał, że jeżeli dostawca udostępnianych publicznie usług online ma nawet potencjalną możliwość pozyskania dodatkowych informacji, które są w posiadaniu dostawcy usług internetowych, „dynamiczny” adres IP stanowi daną osobową. Zapewne wyrok ten ułatwi występowanie do odpowiednich organów, w celu pozyskania informacji od firm hostingowych (dotyczących m.in. adresu IP), przy założeniu istnienia środków prawnych, które na to pozwolą.
Artykuł: Joanna Matczuk, Małgorzata Kurowska, www.rp.pl/Firma
Dodaj komentarz