Kilka dni temu zostało mi zadane pytanie jak w tytule. Pytanie wynikało z potrzeby dostosowania się do warunków nowej dyrektywy UE GDPR/RODO, która nakłada sporo nowych obowiązków na administratorów danych w przedsiębiorstwach. Składowanie numeru IP może mieć bardzo wiele zastosowań, począwszy na zwykłym logowaniu/monitorowaniu ruchu, przez wykrywanie oszustw, a skończywszy na filtrowaniu dostępu do poszczególnych zasobów.
Moja pierwsza reakcja była prosta: „Na pewno nie jest to dana osobowa”. Za chwilę jednak przyszło otrzeźwienie. Staram się zawsze raczej dokładnie przemyśleć swoje opinie, zwłaszcza, że ta dotyczy dość kosztownych w skutach błędnego traktowania, kwestii. Tutaj pierwsza myśl przyszła za szybko 😉
Pomyślmy. Kiedy dociera do mojego zasobu żądanie HTTP, z nagłówków żądania jestem w stanie odczytać IP źródła jego pochodzenia (nie wchodzę tutaj w szczegóły jaki nagłówek da mi informację o tym IP – to niech bęzie temat na inny wpis). Źródłowe IP będzie pierwszym publicznym (routowalnym) IP jakie otrzymał użytkownik chcący dostać się do mojego zasobu.
Aktualnie większość indywidualnych użytkowników internetu (chodzi przecież o dane osobowe indywidualnych ludzi) podłączonych jest do sieci z wykorzystaniem dynamicznego adresowania. Oznacza to, że dostawca internetu (ISP) co jakiś czas zmienia adres IP przypisany do konkretnego użytkownika (mówiąc oczywiście w uproszczeniu). Czy ISP odnotowuje jakie IP i kiedy było przypisane do jakiego klienta? Okazuje się, że tak i jest to normalna praktyka.
Mamy więc teraz numer IP i datę jego zalogowania w naszej bazie i ten sam numer IP wraz z identyfikatorem klienta i czasem przydzielenia. W ten sposób istnieje teoretyczna możliwość uzyskania danych osobowych klienta tylko na podstawie jego numeru IP w konkretnym czasie. Tak, to może być trudne, ale jednak możliwe. Z powodu tej teoretycznej możliwości należy traktować numer IP jako daną osobową (sic!).
Okazuje się, że potwierdzeniem tej tezy jest wyrok Trybunału Sprawiedliwości Unii Europejskiej w Strasburgu z października 2016 roku, w którym niemiecki obywatel pozywał rząd federalny Niemiec. W tymże wyroku Trybunał przeprowadził podobny wywód i uznał, że dynamiczny adres IP również jest daną osobową bo pośrednio pozwala na identyfikację jednoznacznie konkretnej osoby. Identyczna interpretacja znajduje się również w dyrektywie GDPR, która wchodzi w życie w maju 2018 roku.
Czemu pytanie z tytułu jest istotne? Logowanie numerów IP jest nagminne. Serwery aplikacji robią to przecież standardowo i raczej nikt do tej pory nie dostosowywał ich w taki sposób, aby numery IP nie były zapisywane. W związku z powyższym, prawie każda organizacja posiadająca jakieś rozwiązanie informatyczne musi brać pod uwagę przepisy GDPR i stosować rozwiązania w tej dyrektywie przedstawione (informowanie użytkownika o zapisywaniu danych IP, anonimizacja lub pseudonimizacja, itp.)