Zgodnie z art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 ustawy). Danymi osobowymi są zatem takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak również na określenie jej tożsamości przy pewnym nakładzie kosztów, czasu lub działań. Opinia Grupy Roboczej ds. Ochrony Danych, powołanej przez Parlament Europejski i Radę Europejską (rozdz. III pkt 3 przykład 15) uznała literalnie adres IP za dane dotyczące osoby możliwej do zidentyfikowania, stwierdzając, że: „dostawcy usług internetowych oraz menedżerowie lokalnych sieci mogą, stosując rozsądne środki, zidentyfikować użytkowników internetu, którym przypisali adresy ip ponieważ systematycznie zapisują w plikach daty, czas trwania oraz dynamiczny adres IP (czyli ulegający zmianie po każdym zalogowaniu) przypisany danej osobie. To samo odnosi się do dostawców usług internetowych, którzy prowadzą rejestr (logbook) na serwerze HTTP Nie ma wątpliwości, że w takich przypadkach można mówić o danych osobowych, w rozumieniu art. 2 Dyrektywy”.
W związku z powyższym należy uznać, że w przypadkach, gdy adres IP jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową. W praktyce możemy się spotkać jednak z sytuacjami, gdy jednoznaczne przypisanie adresu IP do konkretnej, zidentyfikowanej osoby nie jest praktycznie możliwe. Sytuacja taka może wystąpić np. w kawiarenkach internetowych, gdzie komputery udostępniane są klientom bez odnotowywania ich danych identyfikacyjnych. Są to jednak sytuacje wyjątkowe. W wielu przypadkach, nawet przy korzystaniu z komputera w kawiarence internetowej, wykorzystując dane zarejestrowane przez system nadzoru wizyjnego w zestawieniu z innymi danymi (np. dotyczących płatności przy użyciu karty kredytowej), możliwe jest zidentyfikowanie osoby korzystającej w danym czasie z danego komputera. Ponieważ definicja danych osobowych sformułowana w art. 2 Dyrektywy 2002/58/WE pokrywa się z definicją podaną w ustawie o ochronie danych osobowych (art. 6 ustawy), adresy IP można uznać za dane osobowe. Podstawa prawna Art. 6 ust. 1 ustawy z 29 sierpnia o ochronie danych osobowych Dyrektywa 94/46/WE Parlamentu Europejskiego.
Niemniej adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.
Szczególną uwagę należy przywiązywać do zbiorów obejmujących adresy IP w sytuacji, gdy dochodzi do łączenia podmiotów mogących być administratorami danych osobowych. Może się bowiem okazać, że podmiot, dotychczas niemogący łączyć adresu IP z innymi danymi identyfikacyjnymi, uzyskuje taką możliwość po połączeniu podmiotów. W tej sytuacji adresy IP zbierane dotychczas jako dane niemieszczące się w pojęciu danych osobowych, staną się nimi w związku z potencjalną możliwością uzupełnienia ich o dane identyfikacyjne.
Ok, pytanie do autora – jak myślisz co będzie dalej?
Dalej będzie ciągłe poszerzanie definicji danych osobowych. Już teraz pewne działania, które wydaja się nam niegroźne stanowią naruszenie ochrony danych osobowych. Wrzucasz na Youtube film gdzie można zobaczyć numer rejestracyjny pojazdu, jego właściciel może się zgłosić do Ciebie z pozwem o naruszenie danych osobowych 🙂