Prezes UODO nakazuje udostępnienie danych osobowych, w tym adresu IP

Prezes Urzędu Ochrony Danych Osobowych (UODO) nakazał udostępnienie danych osobowych, w tym adresu IP, po tym, jak administrator odmówił Skarżącemu potrzebnych informacji. Sprawa dotyczyła artykułu zamieszczonego na portalu Facebook, który miał negatywny wpływ na osobę publiczną. Ustalono, że adres IP może być daną osobową zgodnie z rozporządzeniem UE. Prezes UODO uznał żądanie Skarżącego za uzasadnione i nakazał udostępnienie danych autora artykułu.

Tematyka: Prezes UODO, dane osobowe, adres IP, numer IP, ochrona danych osobowych, artykuł, portal społecznościowy, prywatność, przetwarzanie danych, rozporządzenie UE, nakaz udostępnienia danych

Prezes UODO stwierdził, że administrator bezpodstawnie odmówił Skarżącemu udostępnienia numeru IP
oraz daty publikacji autora artykułu, uniemożliwiając tym samym Skarżącemu podjęcie dalszych działań,
które pozwoliłyby na skuteczne zainicjowanie przeciwko tej osobie postępowania sądowego.
Ustalenia faktyczne
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie Urząd Ochrony Danych Osobowych; dalej:
UODO) wpłynęła skarga na administratora strony internetowej dotycząca nieudostępnienia danych osobowych autora
artykułu zamieszczonego w styczniu 2017 r. w zakresie daty powstania tego artykułu, adresu IP komputera oraz
portu, z którego artykuł został utworzony.
Artykuł został udostępniony na portalu Facebook a G.W. (dalej: Skarżący), jako osoba zajmująca stanowisko
publiczne, został narażony na utratę zaufania, godności, czci, wizerunku oraz dobrego imienia. Z tego powodu
Skarżący zdecydował się skierować sprawę na drogę postępowania cywilnego i karnego a dane autora artykułu
w zakresie numeru IP komputera oraz portu, z którego artykuł został utworzony zostały uznane za niezbędne do
skutecznego wytoczenia powództwa zarówno cywilnego jak i karnego.
W toku przeprowadzonego postępowania wyjaśniającego ustalono przede wszystkim, że:
1. W styczniu 2017 r. bez zgody i wiedzy Skarżącego został stworzony artykuł godzący jego zdaniem w jego dobra
osobiste oraz wypełniający znamiona czynu z art. 212 KK.
2. W polityce prywatności serwisu wskazano, że korzystając z formularza każdy użytkownik może dobrowolnie
przekazać stronie dane osobowe obejmujące imię, nazwisko oraz wiek w latach, w celu stworzenia fikcyjnego
artykułu wykorzystującego te informacje. Dane te nie są zapisywane na serwerze, a jedynie przetwarzane w celu
zakodowania ich w adresie internetowym artykułu. Użytkownik jest jedynym dysponentem tego adresu i w jego
gestii leży prywatność tych danych. Administrator zgodnie z dokumentacją nie gromadzi przekazanych przez
formularz danych. Jednakże, występują one w zakodowanej formie jako część adresu internetowego, a te będą
zapisywane w logach serwerowych oraz w wykorzystywanych przez stronę narzędziach do zliczania ilości
odwiedzin. Logi serwera obejmują m.in. adres IP i port użytkownika, datę oraz czas momentu rejestracji jak
również informacje o przeglądarce internetowej i systemie operacyjnym użytkownika. Dane zapisane w logach
serwera nie są kojarzone z konkretnymi osobami korzystającymi ze strony i nie są wykorzystywane przez
administratora w celu identyfikacji użytkowników. Logi serwera mają charakter pomocniczy, służący do
administrowania stroną, a ich zawartość nie jest ujawniana nikomu poza osobami upoważnionymi do
administrowania serwerem.
3. M.S. oświadczył, że jest administratorem serwisu, który przetwarza w locie dane zawarte w adresie artykułu bez
zapisywania tychże danych na serwerze. Zapisywane dane to logi serwerowe, które zawierają datę oraz adres
IP każdej osoby tworzącej artykuł. Administrator oświadczył również, że jest w posiadaniu daty powstania
przedmiotowego artykułu oraz adresu IP komputera, natomiast nie posiada danych dotyczących portu protokołu
z którego artykuł został utworzony. Dla artykułu o którym mowa w skardze nie został zarejestrowany port
protokołu. Administrator przekazał, że poinformował pełnomocnika Skarżącego o tym, że aby móc udostępnić
ww. dane potrzebuje decyzji Generalnego Inspektora Ochrony Danych Osobowych (dalej: GIODO) zwalniającej
go z obowiązku ochrony danych osobowych, za które wobec niejasnej wykładni prawnej, można uznawać adres
IP komputera.
Ustalenia Prezesa UODO
Biorąc pod uwagę powyższe Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) stwierdził, że:
1. Wszelkie czynności podejmowane przez GIODO przed 25.5.2018 r. pozostają skuteczne (art. 160 ust. 1 i ust. 2
ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781).
2. Pełnomocnik uzasadnił swoją skargę zamiarem wystąpienia przeciwko autorowi artykułu na drogę sądową
i niezbędnością żądanych danych z punktu widzenia możliwości dochodzenia wobec tej osoby roszczeń
zarówno na gruncie prawa cywilnego (przepisy z zakresu ochrony dóbr osobistych), jak i karnego (przepisy
dotyczące pomówienia). Zidentyfikowanie autora kwestionowanego wpisu stanowiło niezbędny warunek
dochodzenia przeciwko niemu prywatnego aktu oskarżenia. Z godnie bowiem z art. 332 § 1 pkt 1 KPK „Akt

oskarżenia powinien zawierać: imię i nazwisko oskarżonego, inne dane o jego osobie, dane o zastosowaniu
środka zapobiegawczego oraz zabezpieczenia majątkowego”. Co więcej, zgodnie z art. 187 § 1 KPC, pozew
powinien czynić zadość warunkom pisma procesowego. Zgodnie zaś z art. 126 § 1 KPC każde pismo procesowe
powinno więc zawierać m.in. imiona i nazwiska lub nazwy stron, ich przedstawicieli ustawowych
i pełnomocników. Gdy pismo procesowe jest pierwszym pismem w sprawie, powinno zawierać oznaczenie m.in.
miejsca zamieszkania lub siedziby i adresy stron albo, w przypadku gdy strona jest przedsiębiorcą wpisanym do
Centralnej Ewidencji i Informacji o Działalności Gospodarczej - adres do korespondencji wpisany do Centralnej
Ewidencji i Informacji o Działalności Gospodarczej, czy też miejsca zamieszkania lub siedziby i adresów
przedstawicieli ustawowych i pełnomocników stron (art. 126 § 2 KPC).
3. Obecnie przesłanką legalizującą przetwarzanie danych osobowych jest art. 6 ust. 1 Rozporządzenia Parlamentu
Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.Urz. UE L z 2016 r.
Nr 119, s. 1; dalej: rozporządzenie 2016/679/UE). Skarżący ma, zdaniem Prezesa UODO, podstawy do
uzyskania danych w zakresie daty powstawania artykułu zamieszczonego na stronie internetowej oraz adresu IP
komputera, z którego ów artykuł został utworzony.
W przypadku, gdy Skarżący nie posiada informacji o osobie, która zamieściła artykuł uznany przez Skarżącego za
zniesławiający go, wyłącznie poza tymi, które wynikały z ich opublikowania, uzasadnionym jest, że Skarżący musi
podjąć działania służące ustaleniu tożsamości tej osoby, w celu pociągnięcia jej do odpowiedzialności, co Prezes
UODO uznał za mieszczące się w pojęciu prawnie usprawiedliwionego celu.
Podkreślono w decyzji, że przyjęcie przeciwnego stanowiska skutkowałoby bezzasadną ochroną tego, kto mógł
dopuścić się bezprawnej ingerencji w sferę prawnie chronionych interesów innej osoby (zwłaszcza przekonany
o anonimowości, jaką gwarantuje mu sieć Internet) przed ewentualną odpowiedzialnością za jego działania.
Prezes UODO upoważniony jest tym samym do nakazania administratorowi udostępnienia na rzecz Skarżącego
danych osobowych autora kwestionowanego artykułu w zakresie, w jakim podmiot tymi danymi dysponuje – tj.
informacji o numerze IP urządzenia, z którego osoba utworzyła kwestionowany artykuł oraz daty powstania artykułu.
W decyzji odniesiono się także do żądania Skarżącego polegającego na udostępnieniu mu przez administratora
danych osobowych autora artykułu w zakresie portu protokołu, z którego ów artykuł został utworzony wskazać
należy, iż ww. podmiot nie przetwarza tych danych, zatem nakazanie przez Prezesa UODO ich udostępnienia
uznano za bezprzedmiotowe.
Adres IP może być daną osobową
Decyzja ta poza nakazaniem udostępnienia danych osobowych stanowi kolejny przykład potwierdzający, że adres IP
może zostać zakwalifikowany jako dana osobowa zgodnie z art. 4 pkt 1 rozporządzenia 2016/679/UE zgodnie
z którym dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie
fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można
bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko,
numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników
określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość
osoby fizycznej.
W decyzji powołano się również na wyrok NSA z 19.5.2011 r., I OSK 1079/10,
w którym stwierdzono, że:
„informacje, które wiążą się z określoną osobą, choćby pośrednio, niosą pewien komunikat o niej. Dlatego też
informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej wprost, jak i taka, która odnosi się
bezpośrednio do przedmiotów czy urządzeń, ale poprzez możliwość powiązania tych przedmiotów czy urządzeń
z określoną osobą pośrednio stanowi informację także o niej samej. Adres IP (Internet Protocol Address) jest
unikatowym numerem przyporządkowanym urządzeniom sieci komputerowych. Jest zatem informacją dotyczącą
komputera, a nie konkretnej osoby fizycznej, zwłaszcza wtedy gdy możliwe jest współużyczenie jednego adresu IP
przez wielu użytkowników w ramach sieci lokalnej. Adres IP nie zawsze wobec tego może być traktowany jako dane
osobowe w rozumieniu rozporządzenia 2016/679/UE. Jednak tam gdzie adres IP jest na dłuższy okres czasu lub na
stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi, należy
uznać, że stanowi on daną osobową, jest to bowiem informacja umożliwiająca identyfikację konkretnej osoby
fizycznej”.

Komentarz
Postępowania i nakazu wydanego przez Prezesa UODO można było uniknąć, bowiem żądanie Skarżącego mieściło
się w granicach uzasadnionego interesu, co oznacza, że a dministrator strony bezpodstawnie odmówił Skarżącemu
udostępnienia numeru IP oraz daty publikacji autora artykułu.

Decyzja z 1.7.2021 r., DKE.523.29.2021,

Decyzja Prezesa UODO potwierdziła, że adres IP może być traktowany jako dane osobowe. Administrator strony nieuzasadnione odmówił udostępnienia informacji Skarżącemu, co doprowadziło do interwencji UODO. Nakazano udostępnienie danych autora artykułu, z wyłączeniem danych portu protokołu.