Generalny Inspektor Ochrony Danych Osobowych zamieścił na swojej stronie internetowej następujące wyjaśnienie tego, kiedy adres IP może być uznany za dane osobowe.
Za dane osobowe uważa się wszelkie informacje dotyczące osoby fizycznej lub wszelkie informacje możliwe do zidentyfikowania tej osoby.
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić przez numer identyfikacyjny lub jeden z czynników fizycznych, fizjologicznych, umysłowych, kulturowych czy społecznych.
Danymi osobowymi są zatem takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak również na określenie jej tożsamości przy pewnym nakładzie kosztów, czasu lub działań.
Opinia Grupy Roboczej ds. Ochrony Danych, powołanej przez Parlament Europejski i Radę Europejską (rozdz. III pkt 3 przykład 15) uznała literalnie adres IP za dane dotyczące osoby możliwej do zidentyfikowania, stwierdzając, że:
„dostawcy usług internetowych oraz menedżerowie lokalnych sieci mogą, stosując rozsądne środki, zidentyfikować użytkowników internetu, którym przypisali adresy ip ponieważ systematycznie zapisują w plikach daty, czas trwania oraz dynamiczny adres IP (czyli ulegający zmianie po każdym zalogowaniu) przypisany danej osobie.
To samo odnosi się do dostawców usług internetowych, którzy prowadzą rejestr (logbook) na serwerze HTTP.
Nie ma wątpliwości, że w takich przypadkach można mówić o danych osobowych, w rozumieniu art. 2 Dyrektywy”.
W związku z powyższym należy uznać, że w przypadkach, gdy adres IP jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową. W praktyce możemy się spotkać jednak z sytuacjami, gdy jednoznaczne przypisanie adresu IP do konkretnej, zidentyfikowanej osoby nie jest praktycznie możliwe.
Sytuacja taka może wystąpić np. w kawiarenkach internetowych, gdzie komputery udostępniane są klientom bez odnotowywania ich danych identyfikacyjnych. Są to jednak sytuacje wyjątkowe.
W wielu przypadkach, nawet przy korzystaniu z komputera w kawiarence internetowej, wykorzystując dane zarejestrowane przez system nadzoru wizyjnego w zestawieniu z innymi danymi (np. dotyczących płatności przy użyciu karty kredytowej), możliwe jest zidentyfikowanie osoby korzystającej w danym czasie z danego komputera.
Ponieważ definicja danych osobowych sformułowana w art. 2 Dyrektywy 2002/58/WE pokrywa się z definicją podaną w ustawie o ochronie danych osobowych (art. 6 ustawy), adresy IP można uznać za dane osobowe.
Podstawa prawna Art. 6 ust. 1 ustawy z 29 sierpnia o ochronie danych osobowych Dyrektywa 94/46/WE Parlamentu Europejskiego.
Niemniej adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.
Szczególną uwagę należy przywiązywać do zbiorów obejmujących adresy IP w sytuacji, gdy dochodzi do łączenia podmiotów mogących być administratorami danych osobowych. Może się bowiem okazać, że podmiot, dotychczas niemogący łączyć adresu IP z innymi danymi identyfikacyjnymi, uzyskuje taką możliwość po połączeniu podmiotów. W tej sytuacji adresy IP zbierane dotychczas jako dane niemieszczące się w pojęciu danych osobowych, staną się nimi w związku z potencjalną możliwością uzupełnienia ich o dane identyfikacyjne.
