IP adresa je osobný údaj. Dotkne sa to podnikateľov

Európsky súdny dvor v októbri minulého roka rozhodoval o tom, či je možné považovať IP adresu za osobný údaj. K rozhodnutiu mu pomohlo to, že si údaje o používateľoch internetu môže legálne vyžiadať polícia.

Nemec Patrick Breyer navštívil niekoľko internetových stránok nemeckých spolkových orgánov. Na týchto stránkach, ktoré sú verejne dostupné, poskytujú štátne orgány aktuálne informácie. Vo väčšine prípadov však tieto stránky ukladali prístupy občanov do takzvaných logovacích dátových súborov. V nich sa okrem iného ukladá napríklad aj IP adresa počítača, z ktorého je na stránku uskutočňovaný prístup.
Patrick Breyer podal na nemecké správne súdy žalobu, ktorou sa domáhal, aby bolo Spolkovej republike Nemecko zakázané uchovávať po ukončení internetového pripojenia k verejne prístupným stránkam nemeckých spolkových orgánov IP adresu hostiteľa. Išlo pritom o bežné loginy návštevníckych IP adries, ktoré sú zberané väčšinou stránok s cieľom zabrániť útokom na ne. V prvom stupni však súdy Breyerovu žalobu zamietli.

Odvolanie čiastočne pomohlo
Odvolací súd mal už trochu iný názor. Nemecku uložil povinnosť zdržať sa uchovávania IP adries, ak človek odhalí počas svojho pripojenia svoju totožnosť. Podľa súdu je v tej chvíli takzvaná dynamická IP adresa osobným údajom. Sudcovia však vyhoveli Breyerovi len čiastočne. Tvrdili, že pokiaľ by Breyer počas pripojenia svoju identitu neuviedol, spojiť jeho IP adresu s konkrétnym účastníkom pripojenia dokáže len poskytovateľ internetového pripojenia. Obe strany podali odvolanie na nemecký Spolkový súdny dvor.

Definitíva v Luxemburgu
Ten konanie prerušil a položil otázky Súdnemu dvoru Európskej únie. Spolkový súd sa v otázke odvolával najmä na to, či na to, aby nejaký údaj bol osobným údajom a dokázal identifikovať konkrétnu osobu, je potrebné vychádzať z „objektívneho“ či „relatívneho“ kritéria. Ak by sa totiž uplatňovalo objektívne kritérium, platilo by, že aj údaje, ako sú IP adresy, by mohli byť považované za osobné údaje spracúvané prevádzkovateľom internetovej stránky, a to vtedy, keď konkrétneho používateľa identifikovala len tretia osoba – poskytovateľ internetového pripojenia. Na druhej strane, pri uplatňovaní takzvaného „relatívneho“ kritéria by takéto údaje mohli byť považované za osobný údaj u poskytovateľa internetového pripojenia, pretože mu umožňujú presne určiť totožnosť používateľa, ale už nie u prevádzkovateľa navštívených internetových stránok, ktorý má len údaj o IP adrese a nepozná meno návštevníka.

Možnosť identifikovania
Sudcovia v Luxemburgu v rozhodnutí potvrdili, že dynamická IP adresa sama osebe nie je informáciou o konkrétnej osobe, keďže priamo neodhaľuje totožnosť fyzickej osoby, ktorá je majiteľom počítača. Na druhej strane však platí, že ak je prevádzkovateľ internetovej stránky schopný identifikovať používateľa nepriamo, potom pôjde o osobný údaj. Príkladom je situácia, keď prevádzkovateľ identifikuje používateľa cez poskytovateľa internetového pripojenia. „Je potrebné určiť, či možnosť spojenia dynamickej IP adresy s ďalšími informáciami, ktoré má k dispozícii poskytovateľ internetového pripojenia, predstavuje prostriedok, ktorý môže byť rozumne použitý na identifikáciu subjektu údajov,“ napísal v rozhodnutí Súdny dvor EÚ. Následne však uznal, že existujú právne prostriedky, ktoré prevádzkovateľovi webovej adresy dovoľujú legálne zistiť IP adresu. Pôjde napríklad o kybernetické útoky. Vtedy môže štátny orgán podniknúť kroky na získanie informácií od poskytovateľa internetového pripojenia.
Z rozhodnutia teda vyplýva, že IP adresa bude mať charakter osobného údaja vo väčšine prípadov. A to preto, že zvyčajne bude možné prostredníctvom poskytovateľa internetového pripojenia na žiadosť polície identifikovať konkrétnu osobu.

Na Slovensku to bude novinka
Všetci, ktorí ukladajú IP adresy, s nimi teraz budú musieť minimálne kvôli opatrnosti zaobchádzať ako s osobným údajom. Rozhodnutie bude mať význam aj pre pohľad na to, ktoré údaje sú anonymné a nie sú osobnými údajmi. „Bude to potrebné zohľadňovať pri formulovaní interných politík na ochranu súkromia, ako aj pri prijímaní bezpečnostných opatrení a ich popisovaní v bezpečnostnej dokumentácii. Zohľadniť to bude treba aj v právnych informáciách poskytovaných dotknutej osobe na webových sídlach, pri vymedzovaní zoznamov osobných údajov, ktoré sú predmetom spracúvania, či pri plnení iných regulačných povinností,“ tvrdí odborník na ochranu osobných údajov pôsobiaci v poradenskej spoločnosti Carpathian Advisory Group Ondrej Zimen.
Súdny dvor navyše v rozhodnutí deklaroval, že členský štát nemôže v národnom práve ešte viac obmedziť dôvody spracovania osobných údajov bez súhlasu danej osoby, než aké obsahuje európske právo. „Keďže na Slovensku sa doteraz IP adresa bežne nepovažovala za osobný údaj, podnikatelia a prevádzkovatelia webov sa po novom budú musieť vyrovnať s tým, že podľa novej regulácie sa IP adresa v určitých prípadoch za osobný údaj považovať bude. Ak tak neurobia, čelia zvýšenému riziku kontrol a sankcií zo strany regulátora,“ dopĺňa Zimen.

Kedy je IP adresa osobným údajom?

ak ju spracúva poskytovateľ internetového pripojenia spoločne s identifikáciou (osobnými údajmi) koncového používateľa internetového pripojenia
statické IP adresy využívané fyzickými osobami – jednotlivcami je potrebné považovať za chránené osobné údaje
dynamická IP adresa predstavuje osobný údaj, ak sú k dispozícii právne prostriedky, na základe ktorých sa dokáže identifikovať dotknutá osoba
dynamická IP adresa bude považovaná za osobný údaj aj vtedy, keď poskytovateľ online služieb bude spracúvať spoločne s dynamickou IP adresou aj ďalšie identifikátory považované za osobné údaje (napríklad meno, priezvisko, e-mailovú adresu)

Aký je rozdiel medzi statickou a dynamickou IP adresou?

Pevná IP adresa

Ide o špeciálne pridelenú verejnú IP adresu, keď jeden a ten istý používateľ má pri pripojení vždy tú istú verejnú IP adresu.

Dynamická verejná IP adresa

Ide o IP adresu, keď sa pri pripojení do siete používateľovi náhodne pridelí práve nepoužívaná verejná IP adresa.