IP ADRESA: od tehničkog identifikatora do osobnog podatka
U digitalnom dobu, kada gotovo svaki internetski korisnik ostavlja svoj digitalni trag, jedno od najčešćih i najvažnijih pitanja za pravnike, informatičare i širu javnost glasi: predstavlja li IP adresa osobni podatak? Odgovor na to pitanje nije uvijek jednostavan, ali je zato precizno razrađen u europskom pravnom okviru zaštite osobnih podataka.
Osnovno polazište: što su to osobni podaci?
Prema članku 4. stavku 1. točki 1. Opće uredbe (EU) 2016/679 o zaštiti podataka – poznatijoj kao GDPR – „osobni podaci” su: „svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (‘ispitanik’)”, pri čemu se identitet može utvrditi „izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator”, kao i putem fizičkih, fizioloških, genetskih, mentalnih, ekonomskih, kulturnih ili socijalnih obilježja.
U tu kategoriju mrežnih identifikatora spada i – IP adresa.
Tko i kako tumači pojam osobnog podatka?
Definicija sama po sebi daje temelj, no ključna tumačenja dolaze od Europskog odbora za zaštitu podataka (EDPB) i bivše Radne skupine iz članka 29. (WP29), čije smjernice i danas vrijede, osim ako nisu izrijekom izmijenjene.
U Smjernicama WP 136, WP29 raščlanjuje pojam „osobnog podatka” kroz četiri osnovna elementa:
1. Bilo koja informacija
2. Koja se odnosi na
3. Identificiranu ili identificirljivu
4. Fizičku osobu
Svi elementi moraju biti istodobno ispunjeni kako bi se neki podatak mogao smatrati osobnim.
Široka definicija – ali ne bez granica
Europski zakonodavac namjerno je odabrao široku definiciju osobnih podataka. Još u zakonodavnoj fazi pripreme GDPR-a naglašeno je da se, kao i u Konvenciji 108, prihvaća široki pristup „kako bi se obuhvatile sve informacije koje se mogu povezati s pojedincem”. Međutim, WP29 i EDPB ističu da nije dovoljno da podatak samo “izgleda” kao osobni – već mora postojati realna mogućnost da se osoba identificira, bilo izravno ili neizravno.
Što znači izravna, a što neizravna identifikacija?
• Izravna identifikacija nastupa kada podatak jasno otkriva identitet, poput našeg imena i prezimena i OIB-a.
• Neizravna identifikacija uključuje identifikatore poput registarske oznake vozila, IP adrese, dobi, mjesta prebivališta ili zanimanja, koji se u kombinaciji s drugim podacima u našim bazima ili bazama koje su nam dostupne, mogu povezati s konkretnom osobom.
Kontekst je ovdje ključan. Ista informacija u jednom kontekstu može biti osobni podatak, dok u drugom ne mora.
Na primjer, prezime „Bolkovac” ne znači mnogo u metropoli, ali može biti vrlo prepoznatljivo u maloj zajednici, primjerice, u razredu neke škole.
Može li IP adresa identificirati osobu?
Odgovor glasi: može – ali ne uvijek.
Prema tumačenju WP29 i potvrdi EDPB-a:
• Ako pružatelji internetskih usluga (ISP-ovi) logiraju IP adresu zajedno s datumom, vremenom i korisnikom, tada je IP adresa osobni podatak, jer se korisnik može nedvojbeno identificirati.
• Ako je svrha obrade IP adrese identifikacija korisnika (npr. u slučaju istraga zbog povrede autorskih prava), tada je obrada jasno podložna GDPR-u.
Međutim, ako IP adresa nije povezana ni s jednim dodatnim identifikatorom, i ne postoji način da se osoba identificira, tada ta adresa ne predstavlja osobni podatak.
U praksi, to znači da je obrada IP adresa bez dodatnih informacija – u svrhu analitike, tehničke optimizacije ili agregiranih statistika – u mnogim slučajevima izvan dosega GDPR-a.
Uvod 26. GDPR-a: razumna mogućnost identifikacije
Jedno od osnovnih pravila GDPR-a sadržano je u Uvodu 26., gdje se navodi:
„Pri utvrđivanju može li se osoba identificirati, treba uzeti u obzir sva sredstva koja se razumno mogu upotrijebiti, bilo od strane voditelja obrade, bilo od strane bilo koje druge osobe.”
To znači da hipotetska mogućnost identifikacije nije dovoljna – mora postojati realna, razumno dostupna mogućnost identifikacije, ističe EDPB kao i prethodno WP29.
Je li IP adresa osobni podatak?
Odgovor je DA – ako postoji mogućnost identifikacije osobe.
Odgovor je NE – ako ne postoji realna mogućnost povezivanja IP adrese s identitetom pojedinca, bilo tehnički, pravno ili organizacijski.
Generalno pravilo glasi: IP adresa može, ali ne mora predstavljati osobni podatak u smislu Opće uredbe o zaštiti podataka (GDPR).
Osnovni kriterij pritom nije sama priroda IP adrese, već kontekst njezine obrade – odnosno:
• tko obrađuje IP adresu (npr. pružatelj internetskog pristupa, administrator mreže ili treća strana),
• u koju svrhu se obrađuje,
• i prikupljaju li se uz IP adresu dodatni identifikatori koji bi omogućili izravnu ili neizravnu identifikaciju pojedinca.
Samo kada su ti uvjeti ispunjeni, IP adresa prelazi prag iz tehničkog podatka u sferu osobnih podataka, čime njezina obrada postaje podložna obvezama propisanima GDPR-om.
Pripremila: Ines Krečak, Data Protection Professional
Istaknuto:
Istaknute usluge:
