IP adresa (ni)je osobni podatak!

IP adresa (ni)je osobni podatak!
Ilustracija / Antonio Jularić

Osobnim podacima se smatraju setovi podataka koji se odnose na točno određenu osobu čiji identitet je utvrđen ili se može utvrditi izravnim ili neizravnim putem.

Kada je voditelj obrade uz razumni napor legalnim putem može nedvojbeno povezati sa konkretnom osobom, IP adresu bi trebalo smatrati osobnim podatkom. U suprotnom, IP adresa nije osobni podatak. O tome svjedoči i odluka Europskog suda pravde od 19.10.2016.

Primjer 1: IP adresa posjetitelja web stranice

Internetski poslužitelji raspolažu IP adresama posjetitelja, ali u pravilu ne i podacima potrebnim za njihovo jednoznačno povezivanje sa vlasnicima tih IP adresa. Njih dodjeljuje pružatelj usluge povezivanja na Internet (Internet service provider - ISP). Mogu biti fiksne ili promjenjive, s tim da se fiksne IP adrese u pravilu koriste za spajanje na Internet cijelih računalnih mreža čime se vlasniku internetskog poslužitelja identifikacija konkretnog računala koje je posjetilo web stranicu i njegovog korisnika čine nemogućima. Promjenjive IP adrese u pravilu se koriste za spajanje na Internet kućanstava ili pojedinačnih korisnika. Kome je u kojem trenutku pripadala koja promjenjiva IP adresa poznato je samo ISP-u koji ove informacije čuva tajnima, pa vlasnik web poslužitelja ne može identificirati vlasnika IP adrese. Iznimka ovom pravilu je vlasnik web stranica koji je ujedno i ISP svom posjetitelju, a u kojem slučaju bi se IP adresa mogla smatrati osobnim podatkom.

Primjer 2: IP adresa računala na lokalnoj mreži (LAN)

Ove IP adrese dodjeljuje tvrtka, odnosno vlasnik LAN-a iz čega proizlazi da postoji mogućnost identifikacije konkretnog računala koje je vlasnik IP adrese. Štoviše, obzirom da tvrtka upravlja i korisničkim računima u računalnoj mreži, dostupan joj je i točan podatak o tome koji je korisnik u koje vrijeme s kojeg računala koristio koju IP adresu. U ovakvom slučaju, bez sumnje se radi o IP adresi koja predstavlja osobni podatak.

Primjer 3: IP adresa prijavljenog korisnika web aplikacije

Pruža li web aplikacija mogućnost autentikacije korisnika nekim drugim putem (primjerice u slučajevima internetskog bankarstva), IP adresa korisnika mora se smatrati osobnim podatkom obzirom da vlasnik internetskog poslužitelja može jednoznačno identificirati njenog vlasnika. U ovakvom bi se slučaju osobnim podatkom mogli smatrati i “kolačići“ koji se zapisuju na korisnikovo računalo i mogu služiti za praćenje njegovog ponašanja.

Više informcija o sivim zonama GDPR-a možete naći na stranicama Ostendo Consultinga.