Je IP adresa osobním údajem? Postoj EU a ÚOOÚ
Problematikou ochrany osobních údajů na internetu se podrobně zabývá Evropská unie, činnost českého Úřadu na ochranu osobních údajů často probíhá v součinnosti nebo na základě stanovisek evropských institucí. Jak je ovšem popsáno v tomto článku, ne vždy jsou jejich názory v souladu a potom vzniká příjemci stanovisek dilema, dle kterých názorů se má řídit.
Úřad na ochranu osobních údajů
Podle stanoviska Úřadu na ochranu osobních údajů je osobním údajem:
“Osobním údajem je jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.”
Klíčové je tedy to, zda lze podle daného údaje osobu nepochybně identifikovat – ať už přímo, tedy jménem a příjmením, nebo i nepřímo.
Nepřímou identifikací může být například i to, že úzkému okruhu známých a spolupracovníků daného člověka bude bez uvedení jména jasné, o koho se musí jednat vzhledem k netypickému povolání, zdravotnímu stavu a podobně. Přímá identifikace osoby je možné především podle jména, příjmení, fotografie nebo rodného čísla – v těchto případech není o charakteru osobních údajů sporu.
Problematičtější je, jestli se o osobní údaje jedná u dat více technického rázu, která jsou v prostředí internetu nepostradatelná. Jedním z nich je IP adresa.
Je IP adresa osobním údajem?
IP adresa je způsob identifikace síťového rozhraní v počítačové síti. Jedná se o unikátní číselný kód (např. ve tvaru 192.168.72.34) pro každý počítač připojený k internetu. V případě statické IP adresy má počítač při každém připojení k internetu stejnou číselnou adresu. Dynamická IP adresa se při každém připojení může (ale nemusí) lišit. Primárně IP adresa identifikuje počítač, nikoliv uživatele.
ÚOOÚ nepovažuje IP adresu za osobní údaje
Podle dostupných zdůvodnění nepovažuje český Úřad na ochranu osobních údajů IP adresu za osobní údaj, protože “ve vztahu k IP adrese zcela chybí jednoznačně určený nebo určitelný subjekt a jako samostatný údaj tedy ani nemůže být IP adresa považována za osobní údaj.” (ze stanoviska ÚOOÚ č. CJ08469/05UOOU ze dne 1. listopadu 2005).
Evropská unie považuje IP adersu za osobní údaj
Oproti tomu Evropská unie IP adresu za osobní údaj považuje. Podle stanoviska Pracovní skupiny pro ochranu údajů č. 4/2007 ze dne 20. června 2007 „pokud poskytovatel internetových služeb není schopen s naprostou jistotou odlišit údaje odpovídající uživatelům, kteří nemohou být identifikováni, bude muset pro jistotu nakládat se všemi informace o IP adresách jako s osobními údaji“. EU se tedy v případě pochybností přiklání na stranu vyšší ochrany a širší definici osobních údajů.
Jak ze strany EU, tak ze strany českého Úřadu se jedná o stanoviska, nikoli o závazné právní normy. Jde tedy o pouhou výkladovou praxi. Nelze předpokládat, že by v blízké budoucnosti byl charakter IP adresy jako osobního údaje upraven závaznými předpisy.
Doporučení pro provozovatele webů a e-shopů
Právě s ohledem na nejednotné názory a poměrně striktní přístup EU k této otázce lze provozovatelům webových stránek a e-shopů doporučit, aby otázku nakládání s IP adresami uživatelů upravili ve svých Všeobecných obchodních podmínkách a k IP adresám přistupovali jako k osobním údajům.