adresy IP RODO

Czy adresy IP to dane osobowe według RODO?

Dzisiaj, bez owijania w bawełnę, przejdę do odpowiedzi na pytanie czy adresy IP to też dane osobowe i co na ten temat mówi RODO.

Wyjdę od tego, skąd to pytanie się w ogóle wzięło. Ano wzięło się z definicji danych osobowych zapisanej w art. 4 pkt 1 RODO.

Żeby cokolwiek uznać za dane osobowe muszą zostać spełnione, łącznie, 3 elementy:

 

  • Musi to być informacja – wszelkiego rodzaju,
  • Musi dotyczyć osoby fizycznej, czyli Ciebie, mnie, człowieka (a nie np. spółki),
  • Ta osoba fizyczna musi być zidentyfikowana lub możliwa do zidentyfikowania.

 

Jak można zidentyfikować osobę?

Na podstawie jakiegoś identyfikatora np. imienia, nazwiska, adresu zamieszkania, lokalizacji, identyfikatora internetowego, jakiegoś numeru identyfikacyjnego lub też za pomocą jakiegoś znaku szczególnego np. bardzo charakterystyczny tatuaż, pieprzyk, blizna itd.

Może to też być płeć, kolor oczu, waga, wzrost, czynniki fizyczne, ale również informacje dotyczące poglądów czy przekonań tej osoby!

No wszystko, jak widać 😉

Nie jest  możliwe określenie zamkniętej listy informacji o cechach identyfikujących osobę!

A jeśli ktoś podaje dane nieprawdziwe?

Co ciekawe, nie ma znaczenia, czy informacja o osobie jest prawdziwa, czy  nie, obiektywna, czy subiektywna. Ważne, że bezpośrednio lub pośrednio identyfikuję tę osobę.

Czy są jeszcze jakieś inne czynniki identyfikujące?

Inne czynniki, o jakich wspomina RODO, które mogą wskazać na tożsamość osoby fizycznej to zachowania ekonomiczne, społeczne, zawodowe, kulturowe, psychiczne, genetyczne.

Jeśli informacja ma związek z daną osobą fizyczną i pozwala ją zidentyfikować to jest to dana osobowa.

Czy adresy IP to dane osobowe?

RODO w Motywie 30 mówi, że :

„Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików Cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory (…).

Może to skutkować zostawieniem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania osób.”

Wyraźnie jest mowa w RODO o adresie IP.

A co na to sądy?

No właśnie od sądów to wyszło… Adres IP został zakwalifikowany jako dane osobowe w wyroku Trybunału Sprawiedliwości UE z 24.11.2011 r., C-70/10 w sporze z dostawcą Internetu.

Inny wyrok

Kolejny wyrok Trybunału Sprawiedliwości, C-582/14, który ciągle zachowuje aktualność przesądził, że dynamiczny adres IP ma cechy informacji o charakterze osobowym, ponieważ jest możliwa identyfikacja jakiejś osoby fizycznej na jego podstawie.

Nie ma znaczenia fakt, że jeśli administrator rzeczywiście będzie miał zamiar ustalić tożsamość takiej osoby to musi podjąć dodatkowe kroki i zastosować dodatkowe środki, żeby w ogóle się tego dowiedzieć.

Bo wiadomo, że samo przeczytanie numeru IP jeszcze niewiele może nam powiedzieć…

Podsumowując

Adresy IP użytkowników Internetu to dane osobowe i nie wygląda na to, żeby cokolwiek mogło to zmienić.

Oznacza to, że należy je chronić w sposób odpowiedni, w stosunku do ryzyka naruszenia. Pamiętaj więc o odpowiedniej dokumentacji!

 

Jeśli nie masz czasu ani wiedzy, żeby stworzyć dokumenty RODO samodzielnie, zobacz Pakiet RODO dla Małych Firm! Konkretne instrukcje, komentarze i wskazówki, które poprowadzą Cię krok po kroku w dostosowaniu dokumentacji do Twojej działalności!

 

Daj znać w komentarzu, co o tym adresie IP jako danych osobowych myślisz:)

Jeśli chcesz wiedzieć, czy jakakolwiek dokumentacja w firmie jest w ogóle potrzebna,to odsyłąm Cię do tego artykułu.

DOKUMENTACJA RODO W FIRMIE – CZY JEST OBOWIĄZKOWA?

 

Wszystkiego legalnego!

Ilona Przetacznik – Managerka Umów & RODO

 

Stan prawny na dzień 21.06.2018

 

Cześć! Nazywam się Ilona Przetacznik i jestem radcą prawnym. Pokazuję małym przedsiębiorcom na co zwrócić uwagę podpisując umowę oraz wskazuję legalną stronę biznesów online.