Kiedy adres IP staje się daną osobową — lekcja z orzeczeń NSA i TSUE

W przedsiębiorstwach prowadzących serwisy internetowe adresy IP pojawiają się rutynowo w logach systemowych i danych z narzędzi analitycznych. Kwalifikacja takiego identyfikatora jako danej osobowej decyduje o zakresie obowiązków wynikających z RODO, w tym o podstawie przetwarzania i okresie przechowywania informacji. Orzecznictwo z Naczelnego Sądu Administracyjnego i Trybunału Sprawiedliwości Unii Europejskiej ustala kryteria tej oceny, podkreślając rolę kontekstu i dostępnych środków identyfikacji.

Kryteria identyfikacji według TSUE i NSA

Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 19 października 2016 r. (sygn. C-582/14, sprawa Patricka Breyera) orzekł, że dynamiczny adres IP zarejestrowany przez operatora serwisu stanowi dane osobowe, jeśli ten podmiot dysponuje środkami prawnymi do uzyskania dodatkowych informacji od dostawcy internetu. Sama kombinacja adresu IP z czasem wizyty czy danymi przeglądarki nie wystarcza bez realnej możliwości prawnego dostępu do danych abonenckich. To kluczowa wskazówka dla administratorów.

Naczelny Sąd Administracyjny w wyroku z 16 października 2023 r. (sygn. III OSK 2595/22) rozwinął tę myśl, stwierdzając, że adresy IP oraz identyfikatory cookies nie są automatycznie danymi osobowymi. Organ nadzorczy musi wykazać uzasadnione prawdopodobieństwo zidentyfikowania konkretnej osoby na podstawie dostępnych informacji. NSA podkreślił, że decydujące są dodatkowe elementy, jak kontekst przetwarzania i dostęp do zewnętrznych baz. Linia orzecznicza konsekwentnie wymaga indywidualnej analizy, dlatego tak ważne jest śledzenie, jak rozwija się Orzecznictwo RODO.

Wpływ na logi systemowe i narzędzia analityczne

W logach systemowych adres IP występuje obok znaczników czasu, identyfikatorów sesji i danych o urządzeniu użytkownika. Wyroki NSA wskazują, że taka kombinacja może tworzyć dane osobowe. To z kolei obliguje do ograniczenia okresu przechowywania logów do niezbędnego minimum, które wynika z celu przetwarzania, np. zapewnienia bezpieczeństwa sieci. Po tym czasie zaleca się pseudonimizację lub anonimizację adresów IP, aby uniknąć zbędnego przetwarzania.

Podobnie jest w przypadku narzędzi analitycznych i identyfikatorów reklamowych. Wyroki TSUE i NSA nakładają obowiązek oceny ryzyka. Przekazywanie adresu IP podmiotom trzecim często będzie przetwarzaniem danych osobowych, które wymaga określenia właściwej podstawy prawnej, np. zgody użytkownika. Orzecznictwo podkreśla też konieczność dokumentowania takiej oceny w rejestrze czynności przetwarzania. Właśnie do analizy podobnych przypadków służą specjalistyczne platformy, a baza Judykatura.pl gromadzi ponad 2000 takich orzeczeń.

W codziennej ocenie ryzyka inspektorzy ochrony danych muszą więc analizować każdy przypadek osobno. Kluczowe jest badanie kontekstu przetwarzania oraz dostępnych środków prawnych i technicznych do identyfikacji. Sam identyfikator techniczny staje się daną osobową dopiero wtedy, gdy w praktyce pozwala wyodrębnić konkretną osobę fizyczną. Analiza orzeczeń dostarcza wskazówek, czy logi lub dane analityczne w danym scenariuszu podlegają pełnemu reżimowi rozporządzenia.