IP adresa – je to teda osobný údaj?

Spoza „veľkej mláky“ sa k nám pravidelne dostavajú názory odborníkov, ale aj laikov hovoriace, že IP adresa za žiadnych okolností nemôže byť považovaná za osobný údaj. Európa v tom však má už pomerne dlhú dobu jasno. Čierne na bielom to prišlo z Bruselu od Pracovnej skupiny podľa článku 29 (dvorného vykladača Smernice Európskeho parlamentu a Rady 95/46/EC z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a voľnom pohybe týchto údajov) a vo svojich stanoviskách to preberajú aj úrady na ochranu osobných údajov členských štátov (keďže ich predsedovia to čierne na bielom v pracovnej skupine schválili).

Ale k veci. Prečo vlastne niekto 4 čísla oddelené bodkami považuje za osobný údaj? Pracovná skupina uviedla, že „poskytovatelia prístupu na internet a správcovia miestnych sietí môžu pomocou primeraných prostriedkov identifikovať užívateľov internetu, ktorým pridelili IP adresy pretože zvyčajne systematicky „zaznamenávajú“ do súboru dátum, čas, trvanie a dynamickú IP adresu pridelenú užívateľovi internetu. To isté možno povedať o poskytovateľoch internetových služieb, ktorí vedú prevádzkový denník na serveri HTTP. V týchto prípadoch možno nepochybne hovoriť o osobných údajoch…“ – viď jej stanovisko z minulého roku.
V stanovisku sa ďalej píše, že „najmä v prípadoch, keď sa IP adresy spracúvajú na účely identifikácie užívateľov počítača (napríklad vlastníkmi autorských práv, ktorí chcú stíhať užívateľov počítača za porušenie práv duševného vlastníctva) kontrolór – tu ide o pojem, ktorý by mal byť u nás skôr prekladaný ako prevádzkovateľ aby korešpondoval s terminológiou nášho zákona o ochrane osobných údajov – očakáva, že budú k dispozícii „prostriedky, u ktorých je primeraná pravdepodobnosť, že sa využijú“ na identifikáciu osôb, napríklad prostredníctvom súdov, na ktoré sa obrátia (inak nemá zhromažďovanie informácií žiadny význam), a preto by sa informácie mali považovať za osobné údaje.

Osobitným prípadom by boli určité druhy IP adries, ktoré za určitých okolností skutočne neumožňujú identifikáciu užívateľa z rôznych technických a organizačných dôvodov. Jedným z príkladov by mohli byť IP adresy pridelené počítaču v internetovej kaviarni, kde sa nevyžaduje žiadna identifikácia zákazníkov. Mohlo by sa namietať, že údaje zhromaždené o využívaní počítača X počas určitého časového rámca neumožňujú identifikáciu užívateľa primeranými prostriedkami, a preto nie sú osobnými údajmi. Je však nutné uviesť, že poskytovatelia internetových služieb pravdepodobne nebudú vedieť, či príslušná IP adresa je alebo nie je adresou, ktorá umožňuje identifikáciu, a že spracujú údaje spojené s touto IP adresou rovnakým spôsobom, ako spracúvajú informácie spojené s IP adresami užívateľov, ktorí sú riadne zaregistrovaní a identifikovateľní. Takže pokiaľ poskytovateľ internetových služieb nemôže s absolútnou istotou rozlíšiť, či údaje zodpovedajú užívateľom, ktorí sa nedajú identifikovať, bude musieť pre istotu spracovať všetky informácie IP ako osobné údaje“.

Napísať to nejako inak by znamenalo vymýšľať teplú vodu – preto som to proste pastol. Táto línia sa vďaka stanovisku pracovnej skupiny tiahne celou EÚ a výklad orientovaný týmto smerom by si mali osvojiť všetky dozorné orgány na ochranu osobných údajov v členských štátoch EÚ. Takže dynamická či pevná, v mnohých prípadoch môže IP-čka viesť k tomu, komu bola pridelená.

7 thoughts on “IP adresa – je to teda osobný údaj?

  1. Ja si myslím, že pre „aktivistou“ za subsumovanie IP adresy pod ochranu osobných údajov to bude predstavovať ešte dlhý boj. Potvrdzuje to aj rozhodnutie nemeckého súdu, ktoré je v určitej kontradikcii.

    A German court has ruled that website operators are allowed to store the internet protocol (IP) addresses of their visitors without violating data protection legislation. Without additional information, IP addresses do not count as personal data, it said.
    The ruling said that an internet service provider (ISP) could not tell a third party who was using a particular IP address at a particular time without a legal basis. ISPs generally do not give out such information except when ordered to do so by a court.
    The only other way for a person’s identity to be determined by the IP address would be for the information to be transferred to a third party illegally, the court said.
    (viď http://www.out-law.com//default.aspx?page=9505)

    Ani právnici v UK celkom nesúhlasia s týmto nápadom EÚ (viď http://www.ico.gov.uk/upload/documents/library/data_protection/practical_application/collecting_personal_information_from_websites_v1.0.pdf) Z tohto stanoviska UK’s Information Commissioner v podstate aj vychádzal nemecký súd.

    Hlavný rozdiel (praktický) je v podstate v tom, že pracovná skupina podľa článku 29 žiada aby vyhľadávače pracovali s dynamickou IP (aj keď nenapĺňa samotne znaky osobného údaju) rovnako ako s statickou IP (ktorá ich napĺňa).
    Čo zas toto rozhodnutie nemeckého súdu a britské stanovisko odmietajú stým, čo je v podstate pastnuté hore.

  2. Máš pravdu, je to trochu rozhárané celé. Na jednej strane máme Pracovnú skupinu 29, a na druhej niektoré národné dozorné orgány či súdy. Stanovisko, na ktoré článok odkazoval vyprodukovala skupina v procese svojich rokovaní, ktoré sa určite konali aj za účasti Richarda Thomasa (šéf dozorného orgánu nad ochranou osobných údajov v UK) či niekoho z jeho tímu. A som presvedčený o tom, že svojou troškou do textu delegácia z ostrovov určite prispela.

    Nezdá sa mi však, že by bol nejaký tragický rozpor medzi stanoviskom Pracovnej skupiny 29 a odporúčaniami z UK. Thomasovci v otázke č. 4 hovoria o statických IP adresách ako o osobných údajoch. Stanovisko skupiny ide trochu hlbšie kým odporúčanie ostrovanov je skôr praktické.

    Aj v článku o súdnom rozhodnutí z Nemecka je viacero protirečení. V každom prípade je potrebné povedať, že takéto veci sa pomerne ťažko zovšeobecňujú. Keby došlo na Slovensku k lámaniu chleba, mal by som pocit, že aj naše súdy by boli skôr konzervatívne a nepúšťali by sa do na otvorené more ochrany IP adries ako osobných údajov.

    IP adresa bude na pretrase ešte dosť dlho. IPv6 umožní, aby každý device mal vlastnú IP-čku čo vnesie do tejto problematiky nový rozmer. Uvidíme však akým smerom sa to celé pohne…

  3. noooo, prinajmensom tvoj provider interetu vie na zaklade tych par cisel tvojej IP adresy vyhladat o tebe vsetko co potrebuje od fakturacnych udajov az po to ake stranky navstevujes pokial ty nerobis nejake specificke opatrenia

    rovnako aj policia moze s tvojou IP a udajmi tvojho providera narobit sarapatu aj ked pokial nezijes sam tak mozes zduchnut cez IN DUBIO PRO REO

    http://www.oou.sk/IP-adresa-ukazala-prstom-nie-vsak-jednoznacne

    IP adresa teda vie byt dost konkretna…

  4. http://www.sternberk.org/view.php?cisloclanku=2005110101

    V Praze dne 1. listopadu 2005
    CJ08469/05UOOU
    Vyřizuje: JUDr. Richard Tuscany

    Vážený pane inženýre,

    odpovídáme na Váš dotaz ze dne 24. října 2005 na použití „IP adresy“ ve vztahu k ochraně osobních údajů.

    TCP/IP (Transmission Control Protocol over Internet Protocol) adresu, s používaným názvem „IP adresa“, vždy představuje numerický nebo alfanumerický výraz, ze kterého nelze rekonstruovat údaj, který by umožňoval identifikaci uživatele této adresy. Toto číslo je přiděleno počítači, nikoliv konkrétní osobě. Na počítači s jedinou přidělenou pevnou, statickou IP adresou, může pracovat více osob. V případě dynamické IP adresy, která je přidělena náhodně z určitého souboru IP adres platí, že bude s největší pravděpodobností jiná při každém připojení počítače do sítě. Je zřejmé, že ve vztahu k IP adrese zcela chybí jednoznačně určený nebo určitelný subjekt a jako samostatný údaj tedy ani nemůže být IP adresa považována za osobní údaj ve smyslu ustanovení § 4 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon“). Rovněž v případě placené pevné IP adresy, která je v daném čase neměnná pro již konkrétního uživatele, není v IP adrese zakódováno nic z jeho osobních údajů. Ani zde, bez přiřazení dalších údajů, není možné na základě tohoto údaje subjekt identifikovat.

    Vzhledem k tomu, že IP adresu samu o sobě nelze, jak již řečeno, považovat za osobním údaj ve smyslu ustanovení § 4 písm. a) zákona, není podle § 3 odst. 1 dána ani jeho působnost. V případě zveřejnění IP adresy se tedy o žádné porušení zákona nejedná.

    Mimo uvedené máme zato, že „diskutér“ tím, že se do diskuse přihlásí, dá souhlas s jejími pravidly, a tudíž i ke zveřejnění nějaké své přezdívky a eventuelně i své IP adresy, pokud ji daný portál zveřejňuje. Některé portály vyžadují souhlas s pravidly přihlášení do diskuse. Je pak svobodným rozhodnutím daného subjektu, zda tato pravidla akceptuje a do diskuse se přihlásí.

    S pozdravem

    JUDr. Václav Bartík v. r.
    ředitel odboru legislativního a právního

Pridaj komentár