Analizy

Adresy IP to dane osobowe

Ważny wyrok Trybunału Sprawiedliwości UE

Alert prawny (28/2016)

19 października 2016 r. w wyroku wydanym w sprawie C-582/14 Trybunał Sprawiedliwości Unii Europejskiej orzekł, że adresy IP mogą być danymi osobowymi. Wyrok ma zasadnicze znaczenie dla działalności dostawców usług internetowych w całej Unii Europejskiej.

Sprawa Breyera

Sprawa rozstrzygnięta przez Trybunał dotyczyła Patricka Breyera, członka Partii Piratów. Pan Breyer pozwał Republikę Niemiecką i domagał się zakazania rządowi niemieckiemu zbierania adresów IP użytkowników odwiedzających państwowe strony internetowe. Niemiecki Sąd Najwyższy powziął wątpliwość, czy adresy IP są danymi osobowymi i zwrócił się z pytaniem prejudycjalnym do Trybunału Sprawiedliwości UE.

Zgodnie z art. 2 lit a) dyrektywy nr 95/46/WE dane osobowe to dane „dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Taka sama definicja znajduje się w art. 6 ust. 1 polskiej ustawy o ochronie danych osobowych. W literaturze toczą się spory, czy „możliwość identyfikacji”, o której mowa w tej definicji, należy oceniać:

subiektywnie, tj. z uwzględnieniem tylko tych sposobów identyfikacji, do jakich dostęp ma aktualny administrator danych, czy też
obiektywnie – tj. z uwzględnieniem wszystkich potencjalnych sposobów identyfikacji, jakie są dostępne (także dla podmiotów trzecich).

Rząd niemiecki postulował przyjęcie teorii subiektywnej i podnosił, że adresy IP zbierane („logowane”) przez strony rządowe nie są danymi osobowymi, ponieważ na ich podstawie administrator strony internetowej nie może samodzielnie ustalić nazwiska czy też adresu właściciela określonego adresu IP. Takie dane są zwykle w wyłącznym posiadaniu dostawcy usługi dostępu do Internetu (ISP), a administrator strony internetowej nie ma do nich dostępu.

Trybunał przychylił się pośrednio do teorii subiektywnej, stwierdził jednak, że prawo niemieckie prawdopodobnie umożliwia administratorowi strony internetowej – w szczególności w przypadku ataku hakerskiego – zwrócenie się do odpowiednich organów, które mogą nakazać dostawcy dostępu do Internetu ujawnienie tożsamości właściciela danego adresu IP. Jednocześnie, zgodnie z motywem 26 dyrektywy 95/46/WE, przy ustalaniu, czy istnieje „możliwość identyfikacji”, należy brać pod uwagę „wszystkie środki, których podjęcie przez administratora lub jakąkolwiek osobę trzecią jest – racjonalnie rzecz biorąc – prawdopodobne” (fragment ten w polskiej wersji dyrektywy przetłumaczono nie całkiem poprawnie). Jeśli istnieją środki, których zastosowanie przez administratora w celu identyfikacji osoby kryjącej się za danym adresem IP jest racjonalnie prawdopodobne, adresy IP należy – zdaniem Trybunału – uznać za dane osobowe.

Dla kogo wyrok ma znaczenie?

Rozstrzygnięcie Trybunału ma pełne przełożenie na sytuację polskich przedsiębiorców, ponieważ także w Polsce istnieją środki prawne pozwalające ustalić, jaka osoba w określonej chwili korzystała z danego adresu IP (są one często wykorzystywane w postępowaniach karnych dotyczących naruszenia praw autorskich w Internecie). Orzeczenie dotyczyło co prawda dynamicznych adresów IP, jednakże – a minori ad maius – tym bardziej ma ono zastosowanie do adresów statycznych.

Wyrok ma znaczenie nie tylko dla usługodawców internetowych, ale także dla wielu innych przedsiębiorców, którzy mają własną stronę internetową. Zapisywanie adresów IP odwiedzających (np. w celu późniejszej identyfikacji osób odpowiedzialnych za włamania) jest bowiem obecnie standardową praktyką. Zbieranie adresów IP dotyczy często nawet tych osób, które nie logują się do serwisu, a jedynie go przeglądają.

Praktyczne skutki

Konsekwencją przyjęcia, że adresy IP stanowią dane osobowe, jest oczywiście objęcie ich wymogami z ustawy o ochronie danych osobowych. Administratorzy musza więc m.in. poinformować użytkowników, że zbierają takie dane, podać cel ich zbierania i wskazać znanych lub przewidywanych odbiorców danych. Mają także obowiązek zapewnienia użytkownikom dostępu do danych, które ich dotyczą.

Uniknięcie powyższych obowiązków może wymagać zmian sposobu gromadzenia adresów IP. Można w szczególności rozważyć nieodwracalną konwersję adresów IP na inny ciąg znaków (choć oczywiście może to ograniczyć możliwość zastosowania ich do niektórych celów), bądź zastosowanie innych środków uniemożliwiających identyfikację użytkownika.

Co na to RODO?

Stanowisko Trybunału pozostanie aktualne na gruncie nowego ogólnego rozporządzenia o ochronie danych osobowych, które wejdzie w życie w 2018 r. Zawiera ono bardzo zbliżoną (a w niektórych aspektach – nawet szerszą) definicję danych osobowych. Podkreślić należy jednak, iż nowe rozporządzenie przewiduje znacznie surowsze sankcje, w szczególności karę administracyjną w wysokości do 4% całkowitego rocznego światowego obrotu przedsiębiorcy lub do 20 mln euro (w zależności od tego, która z tych kwot jest wyższa).

Autorzy:

Jakub Łabuz

Radca prawny, Partner Associate, Fuzje i Przejęcia, Rynki Kapitałowe

jlabuz@deloittece.com

+48 734 468 493

Jakub jest radcą prawnym i Partner Associate w zespole fuzji i przejęć oraz rynków kapitałowych w kancelarii Deloitte Legal. Jest absolwentem Wydziału Prawa i Administracji Uniwersytetu Jagiellońskieg... Więcej

Audit & Assurance

Consulting

Doradztwo podatkowe

Zarządzanie ryzykiem

Doradztwo prawne

Deloitte Digital

AML i Compliance

Cloud Transformation

Doradztwo finansowe

Outsourcing finansowy i płacowo-kadrowy

Generatywna Sztuczna Inteligencja

Administracja i Sektor Publiczny

Deloitte Private

Dobra konsumenckie

Energia, Surowce i Przemysł

Life Sciences i ochrona zdrowia

Sektor finansowy

Technologie, media i telekomunikacja

Studenci i Absolwenci

Specjaliści

Alumni

Wydarzenia rekrutacyjne

Wyszukiwarka ofert pracy i praktyk