Rzut oka na przetwarzanie numerów IP w Polsce

Minister Michał SerzyckiMożna chyba powiedzieć, że zaczęło się od Opinii 4/2007 w sprawie pojęcia danych osobowych, opublikowanej przez Grupę Roboczą ds Ochrony Danych w czerwcu br. (grupę powołał Parlament Europejski i Rada zgodnie z art. 29 dyrektywy 95/46/WE). W ww. opinii - w rozdziale III, pkt 3, przykład 15 - mowa o adresie IP (Internet Protocol address) jako o danych osobowych. W związku z tym minister Michał Serzycki, Generalny Inspektor Ochrony Danych Osobowych, zaczął przyglądać się temu, w jaki sposób wykorzystywane są numery IP w Polsce. Na pierwszy ogień poszła Komenda Miejska Policji w Toruniu, na której stronie internetowej funkcjonuje sobie "księga gości", a numery IP komputerów osób zostawiających tam wpisy są ujawniane publicznie.

Zdaniem GIODO: "Praktyka ta, o ile użytkownicy nie wyrażali zgody na udostępnianie tych informacji, jest sprzeczna z prawem". Artykuł na ten temat publikuje dzisiejsza Rzeczpospolita: Lepiej nie ujawniać numeru komputera. Minister uważa, że "jeśli numery IP zbierane są w serwisach internetowych, portalach, forach, to mają one obowiązek – oprócz zapewnienia poufności danych – poinformować o tym np. w polityce ochrony prywatności". To nam w Polsce otwiera publicznie temat identyfikacji uczestników dyskusji w sferze elektronicznej. Pisałem o tym w tekście Rozważania o anonimowości i o przesyłaniu (niezamówionych) informacji. Wszystko się ze sobą wiąże - spam, odpowiedzialność, prywatność, ochrona danych osobowych... Dlatego właśnie w komentarzu, o który poprosiła mnie Rzeczpospolita, napisałem:

Problem w gruncie rzeczy dotyczy prawa do anonimowej komunikacji. Rozwój technologii komunikacyjnych zmierza w kierunku wykluczenia anonimowego komunikowania się w sieci, ze względu na potrzebę wskazywania odpowiedzialnego za publikowane treści. Jeśli ujawnienie parametrów tożsamości wpisane jest w techniczne protokoły komunikacyjne, to przetwarzanie takich danych jak numer IP komputera, który umożliwia komunikację, jest niezbędne do „wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych” (art. 23 ust. 1 pkt 5 ustawy). Czy chęć pozostawienia komentarza, wysłania elektronicznej wiadomości, nie oznacza de facto zgody na przetwarzanie danych, które są z tą wiadomością w sposób techniczny związane, w tym numeru IP? Może się w przyszłości zdarzyć, że osoby pragnące zachować anonimowość nie będą mogły uczestniczyć w publicznej dyskusji za pomocą Internetu, gdyż wszelkie próby anonimowego komunikowania się będą technologicznie blokowane.

W tym kontekście warto sięgnąć do tekstu Niemożność wskazania sprawcy przed Europejskim Trybunałem Praw Człowieka.

Zachęcam również do sięgnięcia do przywołanej wyżej Opinii Grupy Roboczej (udostępnionej zresztą w internecie jako PDF). Czytamy tam:

Przykład nr 15: dynamiczne adresy IP
Grupa robocza uznała adresy IP za dane dotyczące osoby możliwej do zidentyfikowania. Grupa stwierdziła, że „dostawcy dostępu do Internetu i administratorzy sieci lokalnych mogą, używając sposobów, jakimi można się posłużyć, zidentyfikować użytkowników Internetu, którym przydzielili adresy IP, ponieważ systematycznie „rejestrują” oni w pliku datę, godzinę, czas trwania i dynamiczne adresy IP przydzielone użytkownikom Internetu. To samo można powiedzieć o dostawcach usług internetowych prowadzących rejestr na serwerze http. W takich przypadkach można niewątpliwie mówić o danych osobowych w sensie art. 2 lit. a) dyrektywy…”.

Zwłaszcza w przypadkach, gdy przetwarzanie adresów IP ma na celu zidentyfikowanie użytkowników komputera (na przykład przez posiadaczy praw autorskich w celu ścigania użytkowników za pogwałcenie praw autorskich), administrator przewiduje, że „sposoby, jakimi można się posłużyć” w celu zidentyfikowania osoby mogą się stać dostępne, na przykład w drodze sądowej (w przeciwnym razie gromadzenie danych nie miałoby sensu), i że w związku z tym informacje te należy uważać za dane osobowe.

Szczególny przypadek stanowią niektóre rodzaje adresów IP, które w pewnych okolicznościach nie pozwalają na zidentyfikowanie użytkownika z różnych względów technicznych i organizacyjnych. Przykładem mogą być adresy IP przypisane do komputera w kawiarni internetowej, gdzie identyfikacja użytkownika nie jest wymagana. Można by twierdzić, że dane dotyczące użycia komputera X w pewnym przedziale czasowym nie pozwalają na zidentyfikowanie osoby „przy użyciu sposobów, jakimi można się posłużyć”, i że w związku z tym nie stanowią one danych osobowych. Jednakże należy odnotować, że dostawcy usług internetowych nie wiedzą najczęściej, czy dany adres IP pozwala na zidentyfikowanie, i że w związku z tym przetwarzają oni dane związane z takim adresem IP w taki sam sposób, jak informacje związane z adresami IP użytkowników zarejestrowanych i możliwych do zidentyfikowania. Dlatego też poza przypadkiem, gdy dostawca usług internetowych może stwierdzić z całkowitą pewnością, że dane dotyczą użytkowników niemożliwych do zidentyfikowania, musi on ze względów bezpieczeństwa traktować wszystkie informacje związane z adresem IP jako dane osobowe.

Każdy, kto prowadzi serwis internetowy, zdaje sobie sprawę, że logi dotyczące oglądalności takiego serwisu są zbierane. Każde zapytanie o stronę internetową generuje wpis w logu, a w tym wpisie znajduje się nr IP komputera, z którego dokonano zapytania o stronę. Czasem takie dane dotyczące "tożsamości" komputera, z którego kierowane jest zapytanie o stronę są blokowane. Są też różne anonimizery, narzędzia, które próbują zmylić zdalny serwer co do prawdziwego źródła zapytania (por. TOR i ochrona prywatności, a akcja organów ścigania przeciwko pornografii dziecięcej). A osoby, których dane dotyczą mają przecież określone prawa (por. Prawo do usunięcia konta, dane osobowe a retencja). Coraz częściej pojawia się więc pytanie: Kto może oglądać logi własnego serwisu internetowego?

Nie można zapominać, że numer IP nie wskazuje na konkretną osobę, a na komputer, z którego jakaś osoba korzysta. Jeśli korzysta z niej "zwykle", to można powiązać nr IP z konkretną osobą (co czasem może jednak wymagać sporych nakładów środków, ale czasem niekoniecznie)...

A praktyka jest taka, że prowadzący serwis internetowy zastanawia się gdzie go umieścić. Może dość szybko przenieść cały serwis na inny serwer. Na przykład - tu jest za drogo i obsługa techniczna nie dość szybko reaguje, więc pstryk i wykupujemy miejsce na serwerze w USA, za pomocą FTP i innych narzędzi przenosimy cały serwis na serwer w USA. Domena przedelegowania i użytkownicy prawie nie widzą różnicy (nie każdy patrzy na nagłówki wysyłane przez serwer). I nagle problem - czy przekazaliśmy dane za granicę (a USA to nie to samo, co UE)? Czy mamy podpisaną umowę o powierzenie przetwarzania danych osobowych z amerykańskim (niemieckim, irlandzkim, etc.) przedsiębiorcą? Kto - poza nami - ma jeszcze dostęp do logów serwera? A jeśli prowadzimy serwis internetowy "z domowego laptopa"? Możemy go redagować, przeglądać logi, administrować nim z dowolnego miejsca na Ziemi, byle znać hasła, czasem inny sposób autoryzacji dostępu (np. za pomocą klucza RSA). A jeśli laptop stoi w domu, więc domownicy mają dostęp do otwartych okienek, za pomocą których taki admin przegląda, kto ostatnio oglądał jego strony, a transmisja niekoniecznie jest szyfrowana... Jeśli administrator serwisu usiadł w słoneczny dzień w centrum miasta, gdzie połączył się z hotspotem, i korzysta z dobrodziejstwa sieci bezprzewodowej i postanowi sprawdzić co słychać na amerykańskim serwerze, który hostuje jego serwis - przez ile "rąk" przechodzą dane, o które zechce przez swoją przeglądarkę zapytać? Załóżmy, że w polityce prywatności napiszemy, że numery IP są zbierane. Aby przeczytać politykę prywatności trzeba wejść na stronę... A czy ktoś może domagać się, by ślad po tym, że obejrzał stronę zniknął z logów?

Problemów jest naprawdę wiele. A internet sobie funkcjonuje dalej...

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Kolejny problem - serwisy

Kolejny problem - serwisy prowadzace statystyki odwiedzin, jak Gemius czy Google Analytics, uzywany rowniez przez ten serwis, ktore rejestruja IP maszyny odwiedzajacego (tudziez sewera proxy itp.). Czy w takim razie administratorzy mieliby zawierac indywidualne umowy z firmami swiadczacymi takie uslugi? Dla mnie brzmi to absurdalnie.

To jest ciekawe z jeszcze

To jest ciekawe z jeszcze jednego powodu - mając nawet serwis w Polsce i używając np. statystyk od googla, dane nie są zbierane przez sam serwis, ale jakąś osobę trzecią. Twórca serwisu właściwie sam nie ma nad nimi pełnej kontroli. A wydaje mi się, że nie są one nawet przechowywane w Polsce.

I tak można długo bo

I tak można długo bo dyskusja wychodzi od stwierdzenia, że IP to dane osobowe bo można taki IP zidentyfikować. Można ale jeśli podpiąć je (adresy IP) pod dane osobowe w rozumieniu ustawy, o której się mówi, to równie dobrze można wyłączyć internet prawda? Czyli, że to nie są dane osobowe w rozumieniu tej ustawy, bo nikt nie będzie internetu wyłączał. Koniec.

Mój obecny adres IP 79.184.21.188 (choć tak na prawdę to adres IP mojego routera do którego w tej chwili podłączone są dwa urządzenia - komputer i drukarka, każde z własnym adresem IP, a bywa podpiętych kilka innych komputerów) jest (będzie jak kliknę wyślij) być może "zarejestrowany" w logach kilku komputerów po drodze i jeśli jest w tym jakiś problem to taki, że każdy powinien być tego świadom, ale to problem edukacji nie ochrony danych osobowych.

O "wyłączaniu Internetu",

O "wyłączaniu Internetu", cokolwiek by to miało znaczyć (model chiński?) raczej nikt nie mówi... Po prostu trzeba mieć świadomość otoczenia prawnego, w którym się żyje i prowadzi biznes.

A z praktyki mogę powiedzieć, że mamy na co dzień coraz więcej przypadków różnorakiego transferu danych z EU do USA i odwrotnie. I coraz bardziej utwierdzają mnie one w przekonaniu, że coś nie jest tak z tymi przepisami dyrektywy 95/46, a więc i naszej ustawy o ochronie danych osobowych. Bo weźmy taki przykład - podmiot z USA powierza polskiemu podmiotowi przetwarzanie danych. Następnie ten polski podmiot, po przetworzeniu, zwraca dane do USA. I co - językowo wykładając ustawę o ochronie danych osobowych, jest to przekazanie danych do państwa trzeciego - czyli, upraszczając, wymaga zgody GIODO. Ale chyba nie o to chodziło w ustawie...

A drugi przykład - podmiot z USA chce powierzyć przetwarzanie danych do Polski. Ale to nie są jego dane, tylko jego klientów, które sam przetwarza na zlecenie. Nie wchodząc w szczegóły, art. 3 ustawy o ochronie danych osobowych powoduje, że do tych klientów stosuje się polską ustawę o ochronie danych osobowych. Czyli ten klient podmiotu amerykańskiego musi np. zgłosić swoje zbiory do rejestracji w GIODO. I znów chyba nie o to szło...
A takich absurdów jest pełno.

Pytanie, kto w takim

Pytanie, kto w takim przypadku jest administratorem danych osobowych. Jestem prawnikiem i na technikaliach znam się średnio, ale nie wykluczam, że o celach i środkach przetwarzania danych decyduje Google, nie dostawca serwisu z Polski. Ale gdyby było odwrotnie, to powstaje kolejne pytanie, czy dane przetwarzane przez Google to w ogóle dane osobowe. I w to akurat już wątpię.

To miała być odpowiedź na post "Pn, 2007-11-12 21:37 by incognitus (niezweryfikowany", ale znalazła się tu, gdzie się znalazła.

A jak jest w tym przypadku?

Na tropie Studenta (wideo): Prokuratura i policja poszukują internauty, który ponoć na forum portalu www.gk24.pl obraził byłego premiera. Redakcja odmówiła podania IP internauty. Grozi jej kara 10 tys. zł grzywny - czy ochrona takiego IP jest zgodna z prawem?

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>