Ubiegłotygodniowy wyrok Trybunału Sprawiedliwości Unii Europejskiej może mieć olbrzymie konsekwencje dla osób prowadzących strony internetowe, a nawet zwykłe blogi. Jeśli mogą oni sprawdzać, z jakich adresów IP łączyli się użytkownicy, to przetwarzają dane osobowe.
A to oznacza chociażby, że powinni zarejestrować zbiór danych u generalnego inspektora ochrony danych osobowych.
W wyroku z 19 października 2016 r. w sprawie C-582/14 trybunał stwierdził, że adres IP, nawet dynamiczny, czyli zmieniający się, może stanowić dane osobowe. Na pierwszy rzut oka nic w tym nowego. Każdy administrator serwisu internetowego, który gromadzi dane użytkowników (np. na potrzeby rejestracji), powinien zdawać sobie z tego sprawę. Znając bowiem dane rejestracyjne, już po samym IP można ustalić, z jakiego komputera wchodzono na stronę serwisu.
Problem w tym, że trybunał poszedł dużo dalej.
– Zdaniem sędziów nawet potencjalna możliwość zidentyfikowania osoby, która posługuje się jakimś adresem IP, oznacza, że ten ostatni należy uznać za dane osobowe z wszystkimi wynikającymi z tego tytułu konsekwencjami – mówi dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński i ekspert Instytutu Allerhanda.
Mówiąc wprost – nawet autor bloga, który może sprawdzić, z jakich adresów IP łączyli się użytkownicy, staje się administratorem danych osobowych. I nie ma znaczenia, że dla niego są to jedynie nic nieznaczące cyferki. Liczy się fakt, że potencjalnie może dowiedzieć się, kto za tymi cyferkami stoi.
Rozstrzygana przez trybunał sprawa dotyczyła Niemiec, gdzie prawo nie pozwala dostawcy internetu przekazywać danych osoby, do której przypisany jest adres IP. Sędziowie uznali jednak, że wystarczy samo istnienie środków prawnych umożliwiających pozyskanie takich informacji.
– Takie środki prawne istnieją zawsze, także w Polsce – znamy przypadki decyzji GIODO, które do takiej identyfikacji prowadzą. Identyfikacja taka jest więc wykonalna i nie jest zakazana prawem, to zaś, zdaniem trybunału, wystarczy, by uznać adresy IP za dane osobowe – wyjaśnia dr Paweł Litwiński.
O ile część blogerów będzie zwolniona ze stosowania przepisów o ochronie danych osobowych, bo można uznać, że pozyskują dane do celów osobistych, o tyle nie może już być o tym mowy w przypadku stron choćby pośrednio związanych z działalnością gospodarczą. Tak więc osoby prowadzące komercyjny blog szafiarki czy stronę internetową kancelarii prawnej powinny zarejestrować zbiór danych osobowych u GIODO i poinformować internautów o tym, że je przetwarzają. Muszą też zadbać o zabezpieczenie danych. Inna możliwość to rezygnacja z gromadzenia adresów IP.
– Po tym orzeczeniu operatorzy systemów informacyjnych i stron internetowych będą musieli zastanowić się, czy potrzebują przechowywać adresy IP użytkowników i czy mają na to świadomą ich zgodę, w przypadkach gdy nie chodzi o kwestie cyberbezpieczeństwa – zauważa dr Łukasz Olejnik, konsultant bezpieczeństwa i prywatności oraz badacz na University College London.
– Konieczne staje się wdrożenie metodyki inżynierii prywatności i Privacy by Design. W przypadku adresów IP trzeba będzie zaprojektować i wdrożyć odpowiednie systemy anonimizacji. Dobrze by było, gdyby w Polsce powstały standardy i zalecenia techniczne, które zostałyby zatwierdzone przez instytucję taką jak GIODO lub Ministerstwo Cyfryzacji, na podobieństwo instytucji z innych państw UE, choćby francuskiego CNIL – dodaje.