Numer IP komputera jako dana osobowa

Dane osobowe to zgodnie z OchrDanOsobU wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio , w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

W świetle powyższego zastanowimy się czy numer IP komputera możemy uznać za daną osobową.

Najprościej rzecz ujmując jeżeli bez nadmiernych środków technicznych i organizacyjnych będziemy mogli łatwo ustalić osobę na podstawie informacji przesyłanych z danego komputera to będziemy mieli do czynienia z daną osobową. Istotne jest zatem czy komputer jest przypisany do danej osoby i można to bardzo łatwo udowodnić.

Natomiast w sytuacji gdy korzystamy np. z kafejki internetowej i nie można w sposób jednoznaczny przypisać konkretnej osoby do komputera to wówczas taki numer nie będzie miał przymiotu danje osobowej. Szczególnie, gdy w kawiarni tej nie jest prowadzona ewidencja osób korzystających z poszczególnych stanowisk komputerowych oraz nie zostały tam zainstalowane kamery, śledzące zmieniające się przed komputerami osoby.

Powracając zatem do sytuacji, w której numer IP można łatwo przypisać do konkretnej osoby to ujawnienie na stronie internetowej tego numeru jest naruszeniem przepisów ustawy o ochronie danych osobowych.

Przysługuje nam w związku z tym – podobnie jak w innych przypadkach ujawnienia danych osobowych – prawo skierowania skrargi do administratora. Jeśli administrator nie rozpatrzy tej skargi zgodnie z naszą wolą następnym krokiem jest skierowanie skargi do Głównego Inspektora Ochrony Danych Osobowych

Zbiór danych osobowych

Zgodnie z OchrDanOsobU przez zbiór danych – rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Tyle mówi ustawa jednakże sprawa niestety nie jest łatwa ani oczywista i w praktyce na tle zaprezentowanej wyżej definicji jawi się szereg problemów i wątpliwości interpretacyjnych.

Każdy zestaw danych osobowych, który umożliwia dostęp do poszczególnych danych przez jakiekolwiek kryterium (nie tylko osobowe), jest zbiorem danych w rozumieniu ustawy. Alfabetyczne ułożenie danych osobowych według nazwiska lub nazwiska i imienia pozwala na szybkie odnalezienie informacji o osobie bez potrzeby przeglądania całego zestawu, jednakże nie jest to kryterium decydujące do zakwalifikowania danego zestawu, jako zbioru.

Naczelny Sąd Administracyjny rozpatrując spór dotyczący kwalifikacji raportów ze zdarzeń na trasie Stacji Techniczno-Postojowej oraz linii metra, sporządzanych przez pracowników Służby Ochrony Metra uznał, iż z treści OchrDanOsobU nie wynika, że dane osobowe mają być w definiowanym “zbiorze danych” danymi podstawowymi (osobowymi). Nie wynika również, że kryterium dostępu do tych danych mają być dane identyfikacyjne (imię, nazwisko, adres “PESEL”). Oznacza to, iż za zbiór należy uznać zestaw danych osobowych dostępnych według jakiegokolwiek kryterium. Rozbieżności interpretacyjne pojawiają się na tle liczby kryteriów, według których dostępne są dane w zestawie. W zależności od tego, czy uznamy za cechę konieczną zbioru posłużenie się, co najmniej dwoma kryteriami umożliwiającymi dostęp do znajdujących się w zbiorze danych, czy też wymagania ograniczymy do jednego kryterium – różny będzie przedmiotowy zakres m.in. obowiązku rejestracyjnego (art. 40 u.o.d.o.), informacyjnego (art. 32 u.o.d.o.), a także odpowiedzialności karnej.

Zdaniem Generalnego Inspektora Danych Osobowych nie jest istotna liczba oraz rodzaj kryteriów i już jedno kryterium wystarczy by zakwalifikować dany zestaw, jako zbiór danych w rozumieniu OchrDanOsobU. Ponadto Generalny Inspektor Ochrony Danych Osobowych uznaje, iż “Wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy“. W opinii tej widać wyraźnie, iż Generalny Inspektor utożsamia pojęcie zbioru danych z takimi zestawieniami jak np akta sądowe.