IP adresy v kontexte GDPR a judikatúry SD EÚ

Článok približuje základné informácie ohľadom IP adries a uvádza, kedy je IP adresu možné považovať za osobný údaj a či je systematické zaznamenávanie IP adries prípustné alebo nie.

tt_ip-address

Úvod

V oblasti ochrany osobných údajov sa nezriedka stretávame s otázkou, či IP adresy možno zaradiť pod ochranu osobných údajov alebo sa IP adresy pod túto ochranu nezaraďujú. K danej problematike v súčasnosti máme jednoznačné stanoviská, či už to je stanovisko pracovnej skupiny zriadenej podľa článku 29 smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe týchto údajov (smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe týchto údajov bola zrušená nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov), ako aj rozsudok Súdneho dvora EÚ z 24. novembra 2011 Scarlet Extended SA proti Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), rozsudok Súdneho dvora EÚ z 19. októbra 2016 Patrik Breyer proti Nemecká spolková republika a rozhodnutie Súdneho dvora Európskej únie zo dňa 17. júna 2021 vo veci C-597/19 M.I.C.M.

V našom článku si preto priblížime základné informácie ohľadom IP adries a uvedieme, kedy je IP adresu možné považovať za osobný údaj a či je systematické zaznamenávanie IP adries prípustné alebo nie.

 

I. Základné informácie k IP adresám

Skutočnosť, či IP adresa patrí do sústavy osobných údajov, na ktoré sa vzťahuje nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane osobných údajov) (ďalej len „nariadenie GDPR“), deklaruje už samotné nariadenie GDPR v bode 30 recitálu. Nariadenie GDPR v uvedenom recitáli uvádza, že fyzickým osobám môžu byť pridelené online identifikátory, ktoré poskytujú ich prístroje, aplikácie, nástroje a protokoly, ako napríklad IP adresa, cookies, alebo iné identifikátory, ako napríklad štítky na rádiofrekvenčnú identifikáciu. Tieto môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov môžu použiť na vytvorenie profilov fyzických osôb a na ich identifikáciu.

Podľa verejne dostupných informácií je IP adresa logický číselný identifikátor daného uzla v sieti. Tento uzol komunikuje s inými uzlami prostredníctvom protokolu IP. Preto IP adresy z pohľadu ochrany osobných údajov sa za osobný údaj považujú vtedy, ak prostredníctvom nej (pridelením IP adresy sieťovému zariadeniu – spravidla počítaču, mobilu a pod.) možno identifikovať priamo alebo nepriamo konkrétnu fyzickú osobu. IP adresy rozdeľujeme na dynamické a statické (rozdelenie uvádzame z dôvodu lepšieho pochopenia rozhodnutí Súdneho dvora Európskej únie). Zjednodušene povedané, statickou IP adresou je IP adresa prideľovaná zariadeniu manuálne. To znamená, že počítaču, mobilu, prípadne inému zariadeniu je pridelená manuálne a nezmení sa dovtedy, pokiaľ ju správca siete nezmení. Naproti tomu dynamická IP adresa je IP adresa získavaná zo servera DHCP (Dynamic Host Configuration Protocol). Rozdiel spočíva v tom, že táto IP adresa sa pri každom pripojení zariadenia zmení.

 

Čo je IP adresa v kontexte GDPR?

Podľa stanoviska pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 č. 4/2007 (ďalej len ako „pracovná skupina“) k pojmu osobné údaje táto pracovná skupina považuje IP adresy za údaje týkajúce sa identifikovateľnej osoby. Vo svojom stanovisku uvádza nasledovné: „Poskytovatelia prístupu na internet a správcovia miestnych sietí môžu pomocou primeraných prostriedkov identifikovať užívateľov internetu, ktorým pridelili IP adresy, pretože zvyčajne systematicky „zaznamenávajú‟ do súboru dátum, čas, trvanie a dynamickú IP adresu pridelenú užívateľovi internetu. To isté možno povedať o poskytovateľoch internetových služieb, ktorí vedú prevádzkový denník na serveri HTTP. V týchto prípadoch možno nepochybne hovoriť o osobných údajoch v zmysle článku 2 písm. a) smernice…“Stanovisko pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 č. 4/2007 k pojmu osobné údaje

Pracovná skupina ďalej uvádza, že ide najmä o prípady, kedy sa IP adresy spracúvajú na identifikáciu užívateľa počítača. Ide hlavne o prípady vlastníkov autorských práv, ktorí by chceli stíhať užívateľov počítača za porušenie práv duševného vlastníctva. V takom prípade je možné predpokladať, že budú k dispozícii prostriedky využiteľné práve na identifikáciu takých osôb. Práve z tohto dôvodu by sa také informácie mali považovať za osobné údaje.

Pracovná skupina uvádza ako osobitný prípad určité druhy IP adries, ktoré za určitých okolností neumožňujú identifikáciu užívateľa. Ide hlavne o technické a organizačné príčiny (napríklad IP adresa pridelená počítaču v kaviarni, keďže v takom prípade sa nevyžaduje identifikácia zákazníkov). K uvedenému osobitnému prípadu však dodáva, že aj napriek tomu, že určité druhy IP adries neumožňujú identifikáciu užívateľa, aj v danom prípade je nutné všetky informácie IP spracovať ako osobné údaje, pretože poskytovateľ internetových služieb nemôže s absolútnou istotou rozlíšiť, či údaje zodpovedajú užívateľom, ktorí sa nedajú identifikovať.

 

Odborný článok je uvedený v skrátenom znení. Celé znenie článku:

IP adresy v kontexte GDPR a judikatúry SD EÚ

 


Autor: Advokátska kancelária LUKAJKA & PARTNERS s. r. o.; JUDr. Jozef Lukajka, PhD.; Mgr. Michaela Pyšná

 

Ročný prístup si môžete objednať v našom e-shope:

Výhody predplateného prístupu nájdete v časti O PORTÁLI

Chcete mať pravidelné informácie o novinkách a aktuálnej ponuke?

Prihláste sa na odber noviniek e-mailom!

Súvisiace autorsky spracované rozhodnutie súdu

Súvisiace odborné články

Súvisiace právne predpisy ZZ SR

  • 18/2018 Z. z. Zákon o ochrane osobných údajov
  • 158/2018 Z. z. Vyhláška o postupe pri posudzovaní vplyvu na ochranu osobných údajov

Funkcie

Partner

Nastavenie súborov cookies

Táto webová stránka používa rôzne cookies pre poskytovanie online služieb, na účely prihlásenia, poskytovania obsahu prostredníctvom tretích strán, analýzu návštevnosti a iné. V súlade s platnou legislatívou prosíme o potvrdenie súhlasu alebo nastavenie vašich preferencií. Ďakujeme.

Viac informácií.