Niniejszy tekst odnosi się do artykułu: GIODO przyjrzy się serwisowi Blox.pl
Dane osobowe definiuje art. 6 ustawy o ochronie danych osobowych. Co prawda uznaje on, za dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przy czym osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, jednak zastrzega w ustępie 3., że informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. A tak będzie – jak się wydaje -zazwyczaj.
Przyjmując że pojęcie danych osobowych obejmuje także informacje, które tylko w połączeniu z danymi spoza zbioru umożliwiają identyfikację danej osoby, należy rozstrzygnąć, kiedy – z perspektywy kwalifikowania informacji jako danych osobowych – możliwe jest ustalenie tożsamości osoby, której dotyczy pewna informacja, innymi słowy: kiedy informacja pozwala określić tożsamość osoby. Posłużmy się przykładem spoza sfery Internetu. Czy danymi osobowymi są informacje, że samochody o określonych, podanych numerach rejestracyjnych zostały uszkodzone w wypadkach drogowych? Same te informacje nie wskazują na żadną oznaczoną osobę, niemniej otwierają możliwość ustalenia tożsamości osoby, z którą informacja jest związana. W szczególności zaś, sprawdzając odpowiednią ewidencję pojazdów jesteśmy w stanie ustalić właściciela pojazdu – po jego numerze rejestracyjnym. Czy jednak to on właśnie kierował pojazdem podczas kolizji? A może pożyczył komuś (np. żonie) auto lub zostało mu ono akurat skradzione? Zauważmy, iż analogiczna jest sytuacja z adresami IP.
Kontynuując to rozumowanie dojdziemy do wniosku, iż w zasadzie każda wiadomość o jakimś zdarzeniu, o jakiejś sytuacji z udziałem człowieka, może zostać uznana za wiadomość zindywidualizowaną, gdyż – co najmniej teoretycznie – zawsze istnieje możliwość określenia tożsamości tego człowieka.
Dlatego właśnie ustawodawca w 2001 r. znowelizował pierwotne brzmienie ustawy, wprowadzając wskazówkę, iż informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Informacje zatem, które bez nadzwyczajnego wysiłku, bez nieproporcjonalnie dużych nakładów dają się „powiązać” z określoną osobą, zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, również zasługują na zaliczenie ich do kategorii danych osobowych. Dotyczy to czasem nawet samego opisania zachowań czy cech charakteru w rodzaju „wieloletni prezes spółki X”.
Nie zasługują na taką kwalifikację te informacje, których „powiązanie” z oznaczoną osobą nie jest łatwo osiągalne, wymaga nakładów nadzwyczajnych. Nie mają więc charakteru danych osobowych informacje, przy których ustalenie tożsamości osoby wymaga nieproporcjonalnie dużego nakładu czasu, pracy czy kosztów.
Przy tego rodzaju podejściu trzeba by stwierdzić, iż z reguły nie mają statusu danych osobowych informacje odnoszone na przykład do numerów rejestracyjnych samochodów (takie poglądy panują w doktrynie).
Podobnie będzie z adresami IP. Tyle, że w ogóle zdobycie fizycznego adresu (w sensie miejsca), pod jakim znajduje się komputer o danym IP jest zazwyczaj trudniejsze. A jak już nawet namierzymy tego hosta, to i tak pozostanie pytanie, kto konkretnie w danej chwili z niego korzystał. Nie słyszałem jeszcze, żeby jakikolwiek dostawca usług telekomunikacyjnych udostępnił dane o lokalizacji hosta, osobie prywatnej, bo ta o nie po prostu poprosiła. Zazwyczaj dostawcy usług udostępniają takie dane wyłącznie sądom i organom ścigania (bo z kolei imię, nazwisko, adres zamieszkania danego abonenta są danymi osobowymi). Co więcej, w przypadku braku stałego IP, ustalenie nr abonenta telekomunikacyjnego (nr telefonu) z którym związana jest usługa dostępu do Internetu stwarza dodatkowe trudności i wymusza dodatkowy nakład pracy (analiza logów). Ponadto, o czym już wspomniałem, nawet znajomość adresu domu, mieszkania lub lokalu, w którym znajduje się dany komputer o danym adresie IP, a nawet znajomość imienia i nazwiska abonenta usługi telekomunikacyjnej, nie oznacza sensownej możliwości zidentyfikowania użytkownika, który rzeczywiście korzystał z danej witryny internetowej i „zostawił” na niej ten adres IP. Wystarczy, żeby w domostwie mieszkała więcej niż jedna osoba. Jeżeli użytkownik przy publikowaniu swego posta bez rejestracji nie podpisał się np. pod nim choćby imieniem (lub nie wpisał go choćby „niezobowiązująco”, bez rejestracji, w pole „nick”) i post jest oznaczony jako Anonymous z podaniem pełnego nawet adresu IP, to i tak nie jesteśmy w stanie ustalić, a nawet uprawdopodobnić, który właściwie z domowników wchodził na stronę.
Dlatego stwierdzenie, że sytuacje, w których danych IP z kawiarenek nie można uznać za dane osobowe są „sytuacjami wyjątkowymi”, bo konkretne osoby da się przecież teoretycznie ustalić po analizie monitoringu, jest absurdalne. Zazwyczaj jest dokładnie odwrotnie, bo przeważnie ustalenie osoby poprzez adres IP będzie wymagało nadmiernych nakładów. Jeżeli zaś chodzi o stanowisko administratorów blox¸ to warto wspomnieć o pewnej dodatkowej „furtce” dla przetwarzania danych osobowych, jaką daje przepis art. 23 ust. 1 pkt 5) ustawy. Zgodnie z nim, można przetwarzać dane osobowe, jeżeli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Niewątpliwie takimi usprawiedliwionym celami będą ochrona przed spamem, bezpieczeństwo. Oczywiście ta uwaga dotyczy sytuacji, gdybyśmy jakieś konkretne adresy IP uznali za dane osobowe. Z reguły jednak adresy IP danymi osobowymi nie będą, więc nie ma mowy o żadnym przetwarzaniu tych danych.
Rafał Cisek
#REF! #REF!