Rzut oka na przetwarzanie numerów IP w Polsce

Można chyba powiedzieć, że zaczęło się od Opinii 4/2007 w sprawie pojęcia danych osobowych, opublikowanej przez Grupę Roboczą ds Ochrony Danych w czerwcu br. (grupę powołał Parlament Europejski i Rada zgodnie z art. 29 dyrektywy 95/46/WE). W ww. opinii - w rozdziale III, pkt 3, przykład 15 - mowa o adresie IP (Internet Protocol address) jako o danych osobowych. W związku z tym minister Michał Serzycki, Generalny Inspektor Ochrony Danych Osobowych, zaczął przyglądać się temu, w jaki sposób wykorzystywane są numery IP w Polsce. Na pierwszy ogień poszła Komenda Miejska Policji w Toruniu, na której stronie internetowej funkcjonuje sobie "księga gości", a numery IP komputerów osób zostawiających tam wpisy są ujawniane publicznie.

Zdaniem GIODO: "Praktyka ta, o ile użytkownicy nie wyrażali zgody na udostępnianie tych informacji, jest sprzeczna z prawem". Artykuł na ten temat publikuje dzisiejsza Rzeczpospolita: Lepiej nie ujawniać numeru komputera. Minister uważa, że "jeśli numery IP zbierane są w serwisach internetowych, portalach, forach, to mają one obowiązek – oprócz zapewnienia poufności danych – poinformować o tym np. w polityce ochrony prywatności". To nam w Polsce otwiera publicznie temat identyfikacji uczestników dyskusji w sferze elektronicznej. Pisałem o tym w tekście Rozważania o anonimowości i o przesyłaniu (niezamówionych) informacji. Wszystko się ze sobą wiąże - spam, odpowiedzialność, prywatność, ochrona danych osobowych... Dlatego właśnie w komentarzu, o który poprosiła mnie Rzeczpospolita, napisałem:

Problem w gruncie rzeczy dotyczy prawa do anonimowej komunikacji. Rozwój technologii komunikacyjnych zmierza w kierunku wykluczenia anonimowego komunikowania się w sieci, ze względu na potrzebę wskazywania odpowiedzialnego za publikowane treści. Jeśli ujawnienie parametrów tożsamości wpisane jest w techniczne protokoły komunikacyjne, to przetwarzanie takich danych jak numer IP komputera, który umożliwia komunikację, jest niezbędne do „wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych” (art. 23 ust. 1 pkt 5 ustawy). Czy chęć pozostawienia komentarza, wysłania elektronicznej wiadomości, nie oznacza de facto zgody na przetwarzanie danych, które są z tą wiadomością w sposób techniczny związane, w tym numeru IP? Może się w przyszłości zdarzyć, że osoby pragnące zachować anonimowość nie będą mogły uczestniczyć w publicznej dyskusji za pomocą Internetu, gdyż wszelkie próby anonimowego komunikowania się będą technologicznie blokowane.

W tym kontekście warto sięgnąć do tekstu Niemożność wskazania sprawcy przed Europejskim Trybunałem Praw Człowieka.

Zachęcam również do sięgnięcia do przywołanej wyżej Opinii Grupy Roboczej (udostępnionej zresztą w internecie jako PDF). Czytamy tam:

Przykład nr 15: dynamiczne adresy IP
Grupa robocza uznała adresy IP za dane dotyczące osoby możliwej do zidentyfikowania. Grupa stwierdziła, że „dostawcy dostępu do Internetu i administratorzy sieci lokalnych mogą, używając sposobów, jakimi można się posłużyć, zidentyfikować użytkowników Internetu, którym przydzielili adresy IP, ponieważ systematycznie „rejestrują” oni w pliku datę, godzinę, czas trwania i dynamiczne adresy IP przydzielone użytkownikom Internetu. To samo można powiedzieć o dostawcach usług internetowych prowadzących rejestr na serwerze http. W takich przypadkach można niewątpliwie mówić o danych osobowych w sensie art. 2 lit. a) dyrektywy…”.

Zwłaszcza w przypadkach, gdy przetwarzanie adresów IP ma na celu zidentyfikowanie użytkowników komputera (na przykład przez posiadaczy praw autorskich w celu ścigania użytkowników za pogwałcenie praw autorskich), administrator przewiduje, że „sposoby, jakimi można się posłużyć” w celu zidentyfikowania osoby mogą się stać dostępne, na przykład w drodze sądowej (w przeciwnym razie gromadzenie danych nie miałoby sensu), i że w związku z tym informacje te należy uważać za dane osobowe.

Szczególny przypadek stanowią niektóre rodzaje adresów IP, które w pewnych okolicznościach nie pozwalają na zidentyfikowanie użytkownika z różnych względów technicznych i organizacyjnych. Przykładem mogą być adresy IP przypisane do komputera w kawiarni internetowej, gdzie identyfikacja użytkownika nie jest wymagana. Można by twierdzić, że dane dotyczące użycia komputera X w pewnym przedziale czasowym nie pozwalają na zidentyfikowanie osoby „przy użyciu sposobów, jakimi można się posłużyć”, i że w związku z tym nie stanowią one danych osobowych. Jednakże należy odnotować, że dostawcy usług internetowych nie wiedzą najczęściej, czy dany adres IP pozwala na zidentyfikowanie, i że w związku z tym przetwarzają oni dane związane z takim adresem IP w taki sam sposób, jak informacje związane z adresami IP użytkowników zarejestrowanych i możliwych do zidentyfikowania. Dlatego też poza przypadkiem, gdy dostawca usług internetowych może stwierdzić z całkowitą pewnością, że dane dotyczą użytkowników niemożliwych do zidentyfikowania, musi on ze względów bezpieczeństwa traktować wszystkie informacje związane z adresem IP jako dane osobowe.

Każdy, kto prowadzi serwis internetowy, zdaje sobie sprawę, że logi dotyczące oglądalności takiego serwisu są zbierane. Każde zapytanie o stronę internetową generuje wpis w logu, a w tym wpisie znajduje się nr IP komputera, z którego dokonano zapytania o stronę. Czasem takie dane dotyczące "tożsamości" komputera, z którego kierowane jest zapytanie o stronę są blokowane. Są też różne anonimizery, narzędzia, które próbują zmylić zdalny serwer co do prawdziwego źródła zapytania (por. TOR i ochrona prywatności, a akcja organów ścigania przeciwko pornografii dziecięcej). A osoby, których dane dotyczą mają przecież określone prawa (por. Prawo do usunięcia konta, dane osobowe a retencja). Coraz częściej pojawia się więc pytanie: Kto może oglądać logi własnego serwisu internetowego?

Nie można zapominać, że numer IP nie wskazuje na konkretną osobę, a na komputer, z którego jakaś osoba korzysta. Jeśli korzysta z niej "zwykle", to można powiązać nr IP z konkretną osobą (co czasem może jednak wymagać sporych nakładów środków, ale czasem niekoniecznie)...

A praktyka jest taka, że prowadzący serwis internetowy zastanawia się gdzie go umieścić. Może dość szybko przenieść cały serwis na inny serwer. Na przykład - tu jest za drogo i obsługa techniczna nie dość szybko reaguje, więc pstryk i wykupujemy miejsce na serwerze w USA, za pomocą FTP i innych narzędzi przenosimy cały serwis na serwer w USA. Domena przedelegowania i użytkownicy prawie nie widzą różnicy (nie każdy patrzy na nagłówki wysyłane przez serwer). I nagle problem - czy przekazaliśmy dane za granicę (a USA to nie to samo, co UE)? Czy mamy podpisaną umowę o powierzenie przetwarzania danych osobowych z amerykańskim (niemieckim, irlandzkim, etc.) przedsiębiorcą? Kto - poza nami - ma jeszcze dostęp do logów serwera? A jeśli prowadzimy serwis internetowy "z domowego laptopa"? Możemy go redagować, przeglądać logi, administrować nim z dowolnego miejsca na Ziemi, byle znać hasła, czasem inny sposób autoryzacji dostępu (np. za pomocą klucza RSA). A jeśli laptop stoi w domu, więc domownicy mają dostęp do otwartych okienek, za pomocą których taki admin przegląda, kto ostatnio oglądał jego strony, a transmisja niekoniecznie jest szyfrowana... Jeśli administrator serwisu usiadł w słoneczny dzień w centrum miasta, gdzie połączył się z hotspotem, i korzysta z dobrodziejstwa sieci bezprzewodowej i postanowi sprawdzić co słychać na amerykańskim serwerze, który hostuje jego serwis - przez ile "rąk" przechodzą dane, o które zechce przez swoją przeglądarkę zapytać? Załóżmy, że w polityce prywatności napiszemy, że numery IP są zbierane. Aby przeczytać politykę prywatności trzeba wejść na stronę... A czy ktoś może domagać się, by ślad po tym, że obejrzał stronę zniknął z logów?

Problemów jest naprawdę wiele. A internet sobie funkcjonuje dalej...