statystyki

"Adresy IP komputerów to dane osobowe"

autor: Adam Makosz23.10.2008, 10:10; Aktualizacja: 30.10.2008, 15:15

Rozmawiamy z MICHAŁEM SERZYCKIM, Generalnym Inspektorem Ochrony Danych Osobowych - Numery IP mają coraz większą wartość dla cyberprzestępców. Dzisiaj nie ma żadnego problemu, żeby nabyć program szpiegowski, dzięki któremu będzie można wyszukać numer IP i wykorzystać go do celów niezgodnych z prawem.

Reklama


Reklama


Czy numer IP jest w świetle prawa daną osobową?

- Ogólna definicja danych osobowych znajduje się w art. 6 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z jej brzmieniem, danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Natomiast osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, zwłaszcza przez powołanie się na numer identyfikacyjny lub jeden bądź kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, kulturowe czy społeczne. Ustawodawca zadecydował również, iż informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Jednak w wielu sytuacjach zbiór liczb stanowiący numer IP komputera należy uznać za daną osobową.

Kiedy więc będziemy mieli w praktyce do czynienia z numerem IP, który można traktować jako daną osobową?

- Numer IP stanowi daną osobową wówczas, gdy jest na stałe lub na dłuższy czas przypisany do konkretnego urządzenia, które jest z kolei przypisane konkretnemu użytkownikowi. Dla przykładu można wskazać przypadki, gdy jesteśmy użytkownikami komputera domowego albo gdy posiadamy na wyłączność komputer w pracy. W praktyce możemy się jednak spotkać z sytuacjami, gdy jednoznaczne przypisanie numeru IP do konkretnej, zidentyfikowanej osoby nie jest praktycznie możliwe. Sytuacja taka może wystąpić np. w kawiarenkach internetowych, gdzie komputery udostępniane są klientom bez odnotowywania ich danych identyfikacyjnych. Są to jednak sytuacje wyjątkowe. W wielu przypadkach, nawet przy korzystaniu z komputera w kawiarence internetowej, wykorzystując dane zarejestrowane przez system nadzoru wizyjnego oraz zestawiając je z innymi danymi (np. dotyczącymi płatności przy użyciu karty kredytowej), można zidentyfikować osobę korzystającą w danym czasie z danego komputera.

Co to oznacza dla właściciela takich danych i ich administratora?

- Będą się do nich odnosiły wszelkie prawa i obowiązki wynikające z ustawy o ochronie danych osobowych dotyczące przetwarzania danych osobowych. Wśród nich wymienić można między innymi obowiązek odpowiedniego ich zabezpieczania.

Posiadacze numerów IP muszą się też liczyć z pewnymi zagrożeniami, jakie łączą się z korzystaniem z sieci internetowej. Numery IP mają bowiem coraz większą wartość dla cyberprzestępców. Dzisiaj nie ma żadnego problemu, żeby nabyć program szpiegowski, dzięki któremu będzie można wyszukać numer IP i wykorzystać go do celów niezgodnych z prawem.

Nawet nie zdajemy sobie sprawy z tego, jak często bezpośrednio identyfikujące nas IP jest używane, chociażby podczas zakupów internetowych. Dla przykładu - niektóre sklepy, jeszcze przed dokonaniem zamówienia, w celu potwierdzenia naszej tożsamości wymagają podania adresu e-mail. Na ten adres otrzymujemy zwrotnie wiadomość, że o wskazanej godzinie z komputera o danym numerze IP została wysłana informacja. Jeżeli ją potwierdzimy, będzie to informacja dla sklepu, że nasze dane są autentyczne. Jeżeli jednak ze sklepu otrzymamy prośbę o potwierdzenie danych, a wcale się tego nie spodziewamy, to może to być dla nas sygnał, że ktoś prawdopodobnie ukradł nasze dane i chciał zrobić zakupy.

Administratorzy danych nie są w stanie jednoznacznie stwierdzić, czy konkretne IP jest daną osobową. Czy wobec tego muszą opierać się na pewnego rodzaju domniemaniu, że IP jest zawsze chronioną informacją?

- Administratorzy danych powinni mieć dzisiaj świadomość, że IP należy często traktować jako daną osobową. Takiego rodzaju postawę staramy się dzisiaj upowszechniać u administratorów danych, a zwłaszcza właścicieli portali internetowych. Jest to nowe podejście nie tylko w Polsce, ale i w całej Europie. Jeżeli administrator nie jest w stanie stwierdzić, czy w konkretnym przypadku numer IP jest daną osobową czy nie, to musi podchodzić do niego z dużą ostrożnością i traktować go jako potencjalne dane osobowe. Wiąże się z tym konieczność wypełniania wszystkich obowiązków przewidzianych w ustawie o ochronie danych osobowych.

Jak do kwestii znaczenia prawnego IP podchodzi ustawodawstwo unijne?

- Standardy ochrony danych osobowych we wszystkich państwach Unii Europejskiej są takie same. Wyznacza je bowiem dyrektywa, którą kraje członkowskie były zobowiązane implementować do swojego ustawodawstwa. Numer IP komputera podlega ochronie, ponieważ co do zasady traktuje się go jako daną osobową. Opinia Grupy Roboczej ds. Ochrony Danych, powołanej przez Parlament Europejski i Radę Europejską, uznała literalnie numer IP za daną dotyczącą osoby możliwej do zidentyfikowania, stwierdzając, że: dostawcy usług internetowych oraz menedżerowie lokalnych sieci mogą, stosując rozsądne środki, zidentyfikować użytkowników internetu, którym przypisali numery IP, ponieważ systematycznie zapisują w plikach daty, czas trwania oraz dynamiczny adres IP (czyli ulegający zmianie po każdym zalogowaniu) przypisany danej osobie. To samo odnosi się do dostawców usług internetowych, którzy prowadzą rejestr na serwerze http. Warto też dodać, że Grupa Robocza w opinii WP 136 zaleciła, iż: poza przypadkiem, gdy dostawca usług internetowych może stwierdzić z całkowitą pewnością, że dane dotyczą użytkowników niemożliwych do zidentyfikowania, musi on ze względów bezpieczeństwa traktować wszystkie informacje związane z adresem IP jako dane osobowe.

MICHAŁ SERZYCKI

od 13 lipca 2006 r. Generalny Inspektor Ochrony Danych Osobowych. Absolwent Wydziału Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Zapoznaj się z regulaminem i kup licencję

Reklama


Źródło:GP

Polecane

  • Tomasz w(2009-01-31 11:53) Odpowiedz 00

    Szanowny Panie GIODO…
    Po przeczytaniu wywiadu, mały stres
    Albo Pan Minister poddaje się nastrojowi chwili i udziela takich wywiadów ? albo zupełnie nie kontroluje pracy Urzędu, który Jemu podlega ? Nie wiem co gorsze ?
    Jeśli kierowany przez Pana Urząd , imienia, nazwiska, informacji o szkole, klasie, roczniku, adresie, innych uczniach i nauczycielach, kilku fotografii i kilku innych informacji pośrednich o osobie nie uznaje za dane osobowe to nie wiem co mam powiedzieć po przeczytaniu tego wywiadu ?
    http://di.com.pl/news/21103,0.html
    Pozdrawiam
    Z powazaniem
    Tomasz W

  • Toni Maola(2009-01-06 00:24) Odpowiedz 00

    Panie Michale S. moja rada z takimi tekstami zapraszam Pana do kabaretu, może tam będzie komuś do śmiechu ? Mnie nie jest !!! Nasza klasa kupczy moimi danymi a Pan Szanowny na to pozwala … dla Pan ; zdjęcia , imię, nazwisko, rok urodzenia, wykształcenie, szkoła, klasa, dzielnica itd to nie dane osobowe , a już numer IP czy e-mail to tak ?

  • mufnica(2008-11-03 10:44) Odpowiedz 00

    Panie Boże, miej nas w opiece.

    Żeby zidentyfikować kogoś w kawiarence internetowej na podstawie kamer wizyjnych należy mieć nakaz sądowy lub inny tytuł dochodzeniowy (policja, prokurator).

    Żeby po numerze IP dotrzeć do nazwiska, operator musi - łamiąc ustawę - podać dane abonenta przypisanego do numeru IP.

    Nie po raz pierwszy przekonuję się, że do prawa dorwali się dyletanci.

    Żal.pl patrzeć...

  • Informatycy do roboty(2008-10-24 09:45) Odpowiedz 00

    komputery administratorów na bieżąco gromadzą zbiory które są z mocy prawa zbiorami danych osobowych. Pora je chronić, np przed zmianami skatalogować , zarejestrować u GIDO i opieczętować. A twardy dysk przewiercić i przesznurować i oplombować

  • nikon(2008-10-24 06:56) Odpowiedz 00

    Do swstak
    Jeżeli chcę mogę być anonimowy, ale nie mam powodu ukrywać się przed kimkolwiek.

  • SWSTAK(2008-10-23 20:48) Odpowiedz 00

    spokojnie,spokojnie.Juz niedlugo wcale nie bedziecie anonimowi w sprawach o jakich sie nie snilo sie nikomu.Wielki brat zaciesnia wiezi nie tylko z internautami!!

  • qwerty(2008-10-23 19:47) Odpowiedz 00

    Szkoda tylko, że jak zwykle w pewnych sprawach nie wypowiadają się eksperci z danej dziedziny (tutaj informatycy, inżynierowie telekomunikacji, hakerzy) a ludzie, którzy pragną przepchnąć swoją "wspaniałą" ideę i być może mają jakieś manie prześladowcze, bo kto zdrowy ma obsesję na punkcie ukrywania swoich danych? Jak powiedział nicon - adres IP jest czymś co w bardzo ograniczonym stopniu może kogoś identyfikować, a jak już to na krótki okres. Są o wiele poważniejsze problemy związane z Internetem np. spam, którymi radziłbym zająć się Panu Serzyckiemu na drodze legislacyjnej.

  • nicon(2008-10-23 18:00) Odpowiedz 00

    O żesz w mordę jeża. Doczytałem, że ten gość jest inspektorem danych osobowych. No to ja się już niczemu nie dziwię :))))

  • nicon(2008-10-23 17:58) Odpowiedz 00

    Jakie dane osobowe??? Porównanie do tablicy rejestracyjnej jest całkiem niezłe. Ten numer rozgłaszasz w internecie. Możesz go fałszować poprzez proxy, albo ukryć poprzes TOR-a. Może wogóle niewiele identyfikować, bo jest przynawany dynamicznie (np. neostrada). Albo może nie identyfikować nikogo np. przy hotspotach. I potem tacy eksperci piszą ustawy, z którymi niewiadomo co robić.

  • qwerty(2008-10-23 15:44) Odpowiedz 00

    Ja bym jeszcze dodał obowiązek noszenia kominiarek na ulicy i urządzeń zmieniających głos. Odciski buta i palca też powinny być jakoś zacierane. Może powinien być wprowadzony obowiązek dla dozorców by chronili należycie psie kupy przed niepowołanym dostępem "przestępców" bo od pasa do właściciela jeden krop.

  • shr(2008-10-23 12:55) Odpowiedz 00

    Niedługo numer rejestracyjny pojazdu też będzie uważany za dane osobowe... czy mam przykrywać je czarną płachtą jak wyjadę z garażu, coby mnie obcy z suszarką nie napadli i nie daj boże zidentyfikowali?
    Ustawa o ochronie danych osobowych zaczyna obracać się w absurd...

  • kiler(2008-10-24 19:51) Odpowiedz 00

    Nie ma to jak zaistnieć w internecie :)

  • ciach(2009-03-15 15:45) Odpowiedz 00

    najlepszym podsumowaniem artykułu są numery IP nas - komentatorów umieszczone powyżej

  • i bach(2009-04-30 17:37) Odpowiedz 00

    no nie wiem - nasza klasa kupczy bo sam sie przeciez na to zgadzasz...czytałeś regulamin?pewnie nie...to dlaczego masz za friko udostępniac swoje ip ?

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Redakcja poleca

Prawo na co dzień

Polecane

Reklama