Najmä s príchodom GDPR sa rozvírila dovtedy skoro neznáma hladina vôd ochrany osobných údajov. A do tejto hlbokej rieky už spadá snáď všetko. IP adresa alebo súbory cookies nevynímajúc. Je to však skutočne tak zásadné? Treba sa na IP adresu vždy pozerať ako na osobný údaj? Rozhodne nie.
Minulosť a prípad Breyer
Dva roky pred tým, ako sme začali všetci šalieť a všade vidieť GDPR a jeho chápadlá, sa odohral pred Európskym súdom prípad, ktorý určuje pohľad na IP adresu a jej obsah a najmä pohľad na IP adresu ako osobný údaj, aj pre dnešnú dobu. Pre kompletné znenie prípadu prinášame odkaz priamo na stránky súdu, kde je aj v slovenčine k dispozícii kompletné znenie.Tento nemecký prípad vyvolal ohlas práve kvôli svojmu obsahu. Nemecká vláda totiž pravidelne pri návšteve on-line služieb, ktoré štát poskytuje občanom, uchováva IP adresu, z ktorej sa o službu niekto prihlásil. Aj u nás bežný jav, ktorý nie je daný iba pre verejné orgány, ale, samozrejme, IP adresy uchováva skoro každý web. Je to však za každých okolností osobný údaj? Treba vždy získanú IP adresu posudzovať ako osobný údaj a plniť voči jej „majiteľovi“ celý rad povinností z pohľadu GDPR?
Prípad Breyer skončil so zaujímavým výsledkom, ktorý sa má aplikovať ako meradlo toho, či v danom prípade získania IP adresy ide o získavanie a uchovávanie osobného údaju alebo nie. Európsky súd totiž vidí rozdiel v tom, či so získanou IP adresou vie jej adresát nakladať ďalej. Ak má napríklad štát k dispozícii ďalšie inštitúcie, internetových operátorov, ktorí mu poskytujú súčinnosť, tak má v zásade dané možnosti, aby na základe IP adresy identifikoval konkrétnu osobu. Takéto nástroje a legálne možnosti nemá bežný súkromný subjekt, pre ktorého je teda samotná IP adresa iba súbor čísiel. Teda k posúdeniu je teda daný kľúč, či adresát vie na základe IP adresy identifikovať konkrétnu fyzickú osobu s jej údajmi alebo takúto možnosť nemá a nedokáže to. V nemeckom prípade išlo o uchovávanie dynamickej IP adresy.
Spojenie poskytovateľa služby s poskytovateľom pripojenia
Poskytovateľ služby, či už verejný (štát) alebo súkromný, ktorý uchováva IP adresy ich nemá bez ingerencie poskytovateľa internetu ako spárovať s konkrétnym používateľom. Ak však v danom okamihu takáto potreba nastane, práve poskytovateľ internetového pripojenia má kľúč k tomu, aby v danom konkrétnom čase určil, kto IP adresu mal pridelenú, a teda určí konkrétnu osobu. Takéto spojenie sa však udeje iba v zákonom predpokladaných situáciách, keď poskytovateľ služby odovzdá IP adresu napríklad polícii a tá ju spojí s užívateľom, ktorý ju využíval. Tento predpoklad je však hypotetický a pre tisíce IP adries nikdy nenastane. A navyše spojenie nevykoná sám súkromný poskytovateľ služby.
Je preto dôležité poznamenať, že pohľad na IP adresu uchovávanú súkromnou spoločnosťou, ktorá prevádzkuje svoju web stránku, by sa za osobný údaj vždy považovať nemala. Nie je totiž dané kritérium objektívne, teda že IP adresa je za každých okolností osobným údajom, ale kritérium relatívne. A to znamená, že sa musí vždy skúmať, či sa na IP adresu naviazala konkrétna identifikácia fyzickej osoby. A preto netreba vždy podliehať proklamovaným pohľadom, ktoré z každého údaju, ktorý sa na internete šíri, robia osobný údaj. Lebo veď GDPR.
zdroj obrázkov: gdpr-info.com, lifewire.com
