Dynamická IP
IP adresa je identifikačný kód každého zariadenia pripojeného do počítačovej siete. Takúto adresu má server, na ktorý sa pripájate aj vy, respektíve vaše zariadenie. Pretože server musí byť vždy k nájdeniu, má pevnú IP adresu, naopak užívateľom je adresa priradená vždy na dobu, kedy sú so zariadením pripojení k internetu, a môže sa tak meniť, píše Vladan Rámiš pre iDnes.cz
Hovorí sa tomu dynamická IP adresa a je vyberaná z rozsahu, akým disponuje poskytovateľ, cez ktorého sa pripájate k internetu. Inými slovami, môže byť zakaždým iná a tú, ktorú ste dostali pridelenú dnes, môže mať zajtra niekto iný, respektíve iné zariadenie. Identifikovať podľa dynamickej adresy vás tak môže iba poskytovateľ.
Patrick Breyer vs. Nemecko
Ako sa môže stať dynamická adresa osobným údajom? Súvisí to so spracovaním údajov prevádzkovateľmi internetových stránok. Rozhodol o tom Súdny dvor EÚ pri riešení kauzy Patrick Breyer proti Nemecku.
O čo v spore išlo? Bayer sa u nemeckých súdov domáhal, aby Nemecko prestalo uchovávať jeho IP adresy, ktoré získalo pri jeho "návštevách" niekoľkých internetových stránok nemeckých spolkových orgánov, ktoré boli verejne prístupné.Išlo pritom o bežné loginy návštevníckych IP adries, ktoré sú zberané väčšinou stránok s cieľom zabrániť útokom na ne.
Nemecké súdy prerušili konanie a položili tzv. Predbežnú otázku Súdnemu dvoru EÚ, pretože v danej veci neexistuje jednotný výklad práva EÚ. Ide najmä o to, či na to, aby nejaký údaj bol osobným údajom, a teda identifikoval konkrétnu osobu, je potrebné vychádzať z "objektívneho" či "relatívneho" kritéria.
Dôsledkom uplatnenia "objektívneho" kritéria by bolo, že aj údaje ako sú IP adresy, by mohli byť považované za osobné údaje spracovávané prevádzkovateľom internetovej stránky, a to aj keby mohla identifikovať konkrétneho užívateľa len tretia osoba - poskytovateľ internetového pripojenia.
Podľa "relatívneho" kritéria by takéto údaje mohli byť považované za osobný údaj u poskytovateľa internetového pripojenia, pretože mu umožňujú presne určiť totožnosť užívateľa (súd ponechal stranou to, že takéto údaje v skutočnosti len identifikujú pripojený počítač a osobu, ktorá hradí internetové pripojenie, nie osobu, ktorá za tým počítačom skutočne sedela), ale už nie u prevádzkovateľa navštívených internetových stránok, ktorý disponuje skutočne iba údajom o IP adrese a nepozná meno návštevníka.
Poskytovateľ pripojenia vs. poskytovateľ online služieb
Súdny dvor sa pokúsil vyriešiť celú vec šalamúnsky. Najprv zdôraznil, že je nepochybné, že dynamická IP adresa sama o sebe nepredstavuje informáciu o "identifikovanej osobe", keďže takáto adresa priamo neodhaľuje totožnosť fyzickej osoby, ktorá je majiteľom počítača. Ale potom rozhodol, že aj ak je prevádzkovateľ internetovej stránky schopný identifikovať užívateľa "nepriamo", pôjde o osobný údaj. Ako príklad situácie, kedy prevádzkovateľ identifikuje používateľa nepriamo, uviedol súd identifikáciu prostredníctvom poskytovateľa internetového pripojenia.
Súd na to výslovne uviedol: "Skutočnosť, že ďalšie informácie potrebné na identifikáciu používateľa internetovej stránky nemá k dispozícii poskytovateľ on-line mediálnych služieb, ale poskytovateľ internetového pripojenia tohto používateľa, teda nemôže vylúčiť, že dynamické IP adresy uchovávané poskytovateľom on-line mediálnych služieb predstavujú pre tohto poskytovateľa osobný údaj. Je však potrebné určiť či možnosť spojenia dynamickej IP adresy s uvedenými ďalšími informáciami, ktoré má k dispozícii tento poskytovateľ internetového pripojenia, predstavuje prostriedok, ktorý môže byť rozumne použitý pre identifikáciu subjektu údajov."
Ďalej potom súd vyhlásil: "Existujú však právne prostriedky umožňujúce poskytovateľovi on-line mediálnych služieb obrátiť sa najmä v prípade kybernetických útokov na príslušný orgán za účelom, aby podnikol kroky potrebné na získanie týchto informácií od poskytovateľa internetového pripojenia a na začatie trestných stíhaní. Poskytovateľ on-line mediálnych služieb má teda zrejme prostriedky, ktoré môžu byť rozumne použité, aby nechal s pomocou iných osôb, a síce príslušného orgánu a poskytovateľa internetového pripojenia, identifikovať subjekt údajov na základe uchovaných IP adries."
Z toho súd vyvodil, že pre i poskytovateľov internetového obsahu má v takom prípade ním ukladaná IP adresa charakter osobného údaju. Vzhľadom na príklad, ktorý súd zvolil, však bude mať IP adresa charakter osobného údaju vo väčšine prípadov, pretože zvyčajne bude možné prostredníctvom ISP poskytovateľa na žiadosť polície identifikovať konkrétnu osobu.
Pseudonymné namiesto ananymných
K čomu uvedené rozhodnutie povedie? Všetci, ktorí ukladajú IP adresy, s nimi teda budú musieť (minimálne z dôvodu opatrnosti) zaobchádzať ako s osobným údajom a budú ohľadom nich musieť dodržiavať všetky povinnosti stanovené zákonom. A porušenie týchto pravidiel môže byť sankcionované podľa tohto nového nariadenia pokutou až do výšky 20 miliónov eur.
Rozhodnutie bude mať význam aj pre pohľad na to, ktoré údaje sú anonymné (a teda nie sú osobnými údajmi) a ktoré sú pseudonymné (a za osobné údaje sa tak budú považovať), pretože sa ním podstatne rozšírila kategória pseudonymných údajov na úkor údajov anonymných.
Len ako malá náplasť sa potom javí fakt, že v tom istom rozsudku súdny dvor výslovne deklaroval, že členský štát nemôže v národnom práve ešte viac obmedziť prípustné dôvody spracovanie osobných údajov bez súhlasu danej osoby, než aké obsahuje európske právo.