W wyroku wydanym niedawno w sprawie Breyer v. Republika Federalna Niemiec (C-582/14) Trybunał Sprawiedliwości UE rozstrzygnął o warunkach zbierania adresów IP (w tym dynamicznych) przez administratorów witryn internetowych w kontekście ochrony danych osobowych. Czy wyrok TSUE w jakikolwiek sposób dotyka polskiego blogera lub przedsiębiorcy prowadzącego e-sklep?

Dotychczas kwestia ochrony numerów IP jako danych osobowych była marginalizowana, również w Polsce. Panowało przekonanie, że numer IP albo daną osobową nie jest, a jeżeli jest to tylko w szczególnych przypadkach, które „przeciętnego Kowalskiego” nie dotyczą w takim zakresie, by musiał on zastanawiać się np. czy stał się administratorem danych osobowych.

W tym kierunku szło też stanowisko GIODO, który wskazywał, że „Adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę” (por. http://www.giodo.gov.pl/319/id_art/2258/j/pl/). Sugerowano więc, że dopóki dany dostawca usługi online (w tym administrator strony www) nie dysponuje możliwością weryfikowania tożsamości użytkowników ad hoc, problem nie istnieje.

Co na to TSUE?

Trybunał wskazał, że adres IP, w tym dynamiczny – zmieniający się przy każdym nowym połączeniu z Internetem, możne stanowić dane osobowe. Oczywiście TSUE zaznacza, że chodzi wyłącznie o sytuacje, w których podmiot gromadzący adresy IP dysponować będzie środkami umożliwiającymi identyfikację osoby odwiedzającej witrynę. Co jednak najistotniejsze, Trybunał uznał, że na gruncie prawa niemieckiego każdy administrator strony internetowej ma prawne środki do uzyskania takich informacji, w tym poprzez zwrócenie się do właściwego organu w przypadku ataku hakerskiego, bądź toczącego się postępowania karnego.

Dobrą wiadomością jest jednak ta, że Trybunał potwierdził dopuszczalność gromadzenia adresów IP przez dostawców usług online, choćby w celu zapewnienia ogólnej funkcjonalności tychże usług, przy czym zwrócił uwagę, że cel ten wyczerpuje się najczęściej po zakończeniu przeglądania danej strony www.

Co na to GIODO?

Póki co GIODO uspokaja i informuje, że w przypadku pojawienia się w praktyce organu jakichkolwiek przypadków trudności w stosowaniu przepisów z zakresu ochrony danych osobowych po orzeczeniu TSUE, podejmie działania mające na celu informowanie obywateli, jak mają postępować. Znając dotychczasowe nastawienie GIODO, tym deklaracjom można ufać.