Kedy je IP adresa považovaná za osobný údaj

V minulosti sa viedli značné diskusie o tom, či je IP adresu možné podradiť pod právny pojem osobný údaj. Aktuálny rozsudok Európskeho súdneho dvora do tejto diskusie vniesol nové svetlo, ktoré v kontexte schválenia GDPR vytvára nové a jasnejšie kontúry pre aplikačnú prax.

STEINIGER | law firm 05. 12. 2016 8 min.

Čo je IP adresa z pohľadu ochrany osobných údajov?

Tejto otázke som sa venoval ešte v roku 2012 ako člen pracovnej skupiny na Ministerstve financií SR. S ohľadom na vtedajšie názory pracovnej skupiny WP 29[1] sme sa vtedy dohodli na nasledovnom:

„IP adresy možno z hľadiska ochrany osobných údajov označiť za údaje týkajúce sa identifikovateľnej osoby.

Poskytovatelia prístupu na internet a správcovia miestnych sietí môžu pomocou primeraných prostriedkov identifikovať používateľov internetu, ktorým pridelili IP adresy pretože zvyčajne systematicky „zaznamenávajú“ do súboru dátum, čas, trvanie a dynamickú IP adresu pridelenú používateľovi internetu. To isté možno povedať o poskytovateľoch internetových služieb, ktorí vedú prevádzkový denník na serveri HTTP.

Najmä v prípadoch, keď sa IP adresy spracúvajú na účely identifikácie používateľov počítača (napr. vlastníkmi autorských práv, ktorí chcú stíhať užívateľov počítača za porušenie práv duševného vlastníctva) je možné očakávať, že budú k dispozícii prostriedky, u ktorých je primeraná pravdepodobnosť, že sa využijú na identifikáciu osôb, napr. prostredníctvom súdov, na ktoré sa obrátia (inak nemá zhromažďovanie informácií žiadny význam), a preto by sa takéto informácie mali považovať za osobné údaje.

Osobitným prípadom by boli určité druhy IP adries, ktoré za určitých okolností skutočne neumožňujú identifikáciu používateľa z rôznych technických a organizačných dôvodov. Jedným z príkladov by mohli byť IP adresy pridelené počítaču v internetovej kaviarni, kde sa nevyžaduje žiadna identifikácia zákazníkov. Mohlo by sa namietať, že údaje zhromaždené o využívaní počítača X počas určitého časového rámca neumožňujú identifikáciu používateľa primeranými prostriedkami, a preto nie sú osobnými údajmi. Je však nutné uviesť, že poskytovatelia internetových služieb pravdepodobne nebudú vedieť, či príslušná IP adresa je alebo nie je adresou, ktorá umožňuje identifikáciu a preto spracujú údaje spojené s touto IP adresou rovnakým spôsobom, akým spracúvajú informácie spojené s IP adresami používateľov, ktorí sú riadne zaregistrovaní a identifikovateľní. Pokiaľ poskytovateľ internetových služieb nemôže s absolútnou istotou rozlíšiť, či údaje zodpovedajú používateľom, ktorí sa nedajú identifikovať, bude preto musieť pre istotu spracovať všetky informácie o IP adrese ako osobné údaje.[2]

Vyššie uvedený prístup sa zhoduje s aktuálnymi závermi Európskeho súdneho dvora, ktoré boli sformulované v súvisiacom rozsudku vo veci C-582/14 Patrik Breyer vs Nemecká spolková republika zo dňa 19. 10. 2016.

Rovnako z úvodných ustanovení GDPR[3] vyplýva, že nová regulácia ochrany osobných údajov bude považovať digitálne identifikátory (ako napríklad IP adresu) za osobné údaje: „Fyzickým osobám môžu byť pridelené online identifikátory, ktoré poskytujú ich prístroje, aplikácie, nástroje a protokoly, ako napríklad IP adresa, cookies, alebo iné identifikátory, ako napríklad štítky na rádiofrekvenčnú identifikáciu. Tieto môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov môžu použiť na vytvorenie profilov fyzických osôb a na ich identifikáciu.[4]

Aj samotná ustálená definícia pojmu IP adresa v rámci nášho „soft law“ predpokladá identifikáciu subjektu pre TCP/IP siete na základe používania registrovaných IP adries vylučujúcich duplicitu.[5]

Vo všeobecnosti možno IP adresu definovať ako unikátny identifikátor zariadenia pripojeného do internetu alebo lokálnej siete. IP adresa umožňuje systémom rozpoznať iné systémy prepojené cez internetový protokol.[6] Pre lepšiu zrozumiteľnosť tohto článku je potrebné vysvetliť pojmy a rozdiely medzi statickou IP adresou a dynamickou IP adresou.

Statická IP adresa je adresa trvalo priradená ku konkrétnemu zariadeniu zo strany poskytovateľa internetového pripojenia, a to počas celej doby trvania súvisiaceho zmluvného vzťahu, pričom sa nemení, ani keď reštartujete počítač. Statická IP adresa sa zvyčajne priraďuje k serverom, na ktorých sa hostujú webové stránky, poskytuje maily, databázy a FTP služby.[7]

Dynamická IP adresa je automaticky priradená k Vášmu zariadeniu zo strany poskytovateľa internetového pripojenia v podstate zakaždým, keď sa počítač alebo router nanovo zapne s využitím DHCP protokolu (Dynamic Host Configuration Protocol). Ten je ovládateľný a zo strany administrátora umožňuje priamu alebo nepriamu identifikáciu zariadenia, čo môže viesť k identifikácii užívateľa zariadenia. Dynamická IP adresa sa mení pri každom pripojení k sieti poskytovateľa pripojenia do internetu.[8]

Na účely tohto článku nie je podstatné rozlišovať IPv4 a IPv6, alebo verejnú a neverejnú IP adresu.

Kedy sa stáva IP adresa osobným údajom?

Na túto otázku je v kontexte prístupu GDPR a záverov z rozsudkov Európskeho súdneho dvora vo veciach C-70/10[9] C-582/14[10] možné odpovedať podľa nášho názoru nasledovne:

  • IP adresa je osobným údajom, ak ju spracúva poskytovateľ internetového pripojenia spoločne s identifikáciou (osobnými údajmi) koncového užívateľa internetového pripojenia;
  • statické IP adresy využívané fyzickými osobami - jednotlivcami je potrebné považovať za chránené osobné údaje;
  • dynamická IP adresa, ktorú poskytovateľ online služieb uchováva v súvislosti s prehliadaním obsahu jeho webového sídla zo strany dotknutej osoby, predstavuje pre takéhoto poskytovateľa služby (prevádzkovateľa) osobný údaj, ak má k dispozícii právne prostriedky, na základe ktorých dokáže identifikovať dotknutú osobu, a to aj vďaka ďalším informáciám, ktorými disponuje poskytovateľ internetového pripojenia dotknutej osoby (napr. prevádzkovateľ webu uchováva v rámci logovacích záznamov prevádzkový http/https denník);
  • ak v dôsledku správania návštevníka webu vznikne potreba jeho identifikácie (napr. v dôsledku pokusu o kybernetický útok, príp. iného protiprávneho správania), súd vydá na základe žiadosti prevádzkovateľa webu príkaz poskytovateľovi internetového pripojenia na identifikáciu koncového užívateľa, ktorému bola pridelená prevádzkovateľom dočasná IP adresa);
  • dynamická IP adresa bude považovaná za osobný údaj, aj v prípade, keď poskytovateľ online služieb bude spracúvať spoločne s dynamickou IP adresou aj ďalšie identifikátory považované za osobné údaje (napr. meno, priezvisko, mail a pod.).
  • Na právnu kvalifikáciu dynamickej IP adresy ako osobného údaju bude podľa nás kľúčové to, či jej použitie zo strany prevádzkovateľa v spojitosti  s údajmi spracúvanými poskytovateľom internetového prepojenia bude:
  • právne dovolené (napr. porušovanie kódexov diskutérov, nárokovanie škody, porušovanie práv duševného vlastníctva, extrémistické prejavy spôsobilé naplniť znaky trestného činu a pod.);
  • nebude zakázané právnymi predpismi (napr. nebude existovať žiadny právny základ v zmysle zákona o ochrane osobných údajov na vykonanie spracovateľskej operácie, ktorou je poskytnutie osobných údajov dotknutej osoby od poskytovateľa internetového pripojenia prevádzkovateľovi online služby);
  • identifikácia dotknutej osoby podľa IP adresy bude prakticky uskutočniteľná bez toho, aby si si vyžadovala neprimerane veľa času, financií alebo ľudských zdrojov, takže pravdepodobnosť identifikácie sa v skutočnosti javí ako zanedbateľná – toto však nie je možné považovať za absolútnu podmienku, ale skôr ako interpretačnú pomôcku.

Kedy sa IP adresa nestáva osobným údajom?

Podľa nášho názoru sa IP adresa nestáva osobným údajom, ak prevádzkovateľ má istotu, že:

  • IP adresa, ktorá je predmetom spracovania je pridelená k sieti, ktorú využíva veľký počet zariadení (devices), a preto nie je možné identifikovať konkrétneho užívateľa zariadenia (napríklad internetová kaviareň bez nutnosti registrácie zákazníka, alebo sieť LAN vo firme, v ktorej sú zosieťované stovky počítačov využívané ešte väčším počtom užívateľov);
  • IP adresa je maskovaná, inak povedané anonymizovaná v technicky najskoršom možnom momente, pričom nikdy nedôjde k uloženiu IP adresy do pamäte pevného, príp. virtuálneho disku patriaceho prevádzkovateľovi (napr. konfigurácia nastavení ponúkaných Googlom pri službe Analytics);
  • v individuálnom prípade nie je možné dosiahnuť identifikáciu konkrétneho užívateľa v dôsledku využívania služieb typu TOR v kombinácii s ďalšími faktormi (napr. vhodný typ a verzia prehľadávača s optimálnymi nastaveniami zákazu cookies a automatického mazania cache pamäte a histórie vyhľadávania, vypnutie všetkých Flash/JAVA pluginov, modifikácia MAC adresy a pod.).

Čo v praxi znamená spracúvanie IP adresy?

Na základe nových trendov, ktoré IP adresu posúvajú do roviny osobného údaju, bude túto skutočnosť potrebné zohľadňovať pri formulovaní interných politík na ochranu súkromia, ako aj pri prijímaní bezpečnostných opatrení a ich popisovaní v bezpečnostnej dokumentácii. Rovnako bude potrebné túto skutočnosť zohľadniť v právnych informáciách poskytovaných dotknutej osobe na Vašom webe, pri vymedzovaní zoznamov osobných údajov, ktoré sú predmetom spracúvania, či pri plnení iných regulačných povinností. Alternatívne bude potrebné zabezpečiť maskovanie (anonymizáciu) IP adresy, aby nemohla byť považovaná za osobný údaj.

Záver

Uchovávanie IP adresy v prevádzkovom denníku webu z hľadiska regulácie ochrany osobných údajov nepredstavovalo na Slovensku v doterajšej aplikačnej praxi žiadny problém. Podľa naších vedomostí a skúseností tieto dáta neboli v minulosti predmetom kontrol regulátora, čo potvrdzujú aj jeho výročné správy z posledných rokov. S účinnosťou GDPR však bude od mája 2018 spracúvanie IP adresy predmetom zvýšenej regulácie ochrany osobných údajov.

Keďže na Slovensku sa doteraz IP adresa bežne nepovažovala za osobný údaj, podnikatelia a prevádzkovatelia webov sa po novom budú musieť vysporiadať s tým, že podľa novej regulácie sa IP adresa v určitých prípadoch za osobný údaj považovať bude. Ak tak neurobia, čelia zvýšenému riziku kontrol a sankcií zo strany regulátora.

JUDr. Ondrej Zimen

Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.

 

 

Poznámky pod čiarou:

[1] WP 29 – Pracovná skupina zriadená podľa Článku 29 smernice 95/46/ES.

[2] Príloha č. 1 – Problematika osobných údajov vo vzťahu k IP adrese k Metodickému pokynu Ministerstva financií Slovenskej republiky pre kategorizáciu citlivosti údajov z dôvodu bezpečnosti v1.0.

[3] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov).

[4] Úvodné ustanovenie č. 30 Všeobecného nariadenia o ochrane údajov.

[5] Pozri bližšie definíciu pojmu IP adresa v Metodickom pokyne Ministerstva financií Slovenskej republiky na použitie odborných výrazov pre oblasť informatizácie spoločnosti verzia 1.0.

[6] Dostupné na Internete: http://techterms.com/definition/ip_address. [online].[citované dňa 15.11.2016].

[7] Dostupné na Internete: https://www.iplocation.net/static-vs-dynamic-ip-address. [online].[citované dňa 15.11.2016].

[8] Dostupné na Internete: https://www.iplocation.net/static-vs-dynamic-ip-address. [online].[citované dňa 15.11.2016].

[9] Rozsudok Súdneho dvora EÚ z 24. novembra 2011 Scarlet Extended SA proti Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM).

[10] Rozsudok súdneho dvora EÚ z 19. októbra 2016 Patrik Breyer proti Nemecká spolková republika.