Hlavní navigace

Jsou cookies nebo IP adresa vždy osobním údajem?

Josef Aujezdský

Jakékoliv kategorické názory, že jeden druh informací je z pohledu právního vždy osobním údajem a jiný druh není osobním údajem nikdy, nejsou správné.

Doba čtení: 8 minut

V souvislosti s přípravami na nabytí účinnosti GDPR se objevila řada názorů šířených slovem i tiskem, že informace obsažené v cookies a IP adresa jsou osobními údaji. Opíraly se zejména o údajně přelomovou textaci GDPR a o rozhodnutí Soudního dvora EU ve věci Patrick Breyer vs. Německo (C-582/14). Tyto názory byly pak přebírány a zvěstovány dále, přičemž některé podniky implementovaly povinnosti dle GDPR i pro situace, kdy se o zpracování osobních údajů vůbec nejedná.

Kategorický závěr, že informace obsažené v cookie či IP adrese jsou vždy osobními údaji, je totiž dle našeho názoru stejně chybný jako závěr, že informace „chlupatý pes“ a „5,21 m“ osobními údaji nikdy nejsou. Níže si řekneme, proč tomu tak je.

Co je osobním údajem?

GDPR nepřineslo nové vymezení či rozšíření pojmu osobní údaj. I nadále tak jsou osobní údaje definovány jako „veškeré informace o identifikované nebo identifikovatelné fyzické osobě…“ (čl. 4.1 GDPR). Osobními údaji jsou tedy všechny informace o fyzické osobě, kterou máme již identifikovánu (známe její identitu), nebo takové informace, které by nám mohly umožnit určitou fyzickou osobu identifikovat.

Tato úvodní část definice osobních údajů je pro celou regulaci v této oblasti rozhodující. Následně jsou sice uvedeny také příklady některých informací, které mohou být osobními údaji, i tyto však lze považovat za osobní údaje pouze při splnění předpokladů daných v základní části definice (dostaneme se k nim níže).

Informace, na základě kterých lze identifikovat osobu

Na otázku, na základě kterých informací je možné fyzickou osobu identifikovat a na základě kterých ještě nikoliv, je nutno pohlížet primárně relativně. Tedy z pohledu osoby, která uvedenými informacemi disponuje či má možnost disponovat. V tomto duchu hovoří i bod 23 recitálu GDPR: „při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům…, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby“.

Prostředky, u kterých lze rozumně předpokládat, že budou využity pro identifikaci osoby, se budou logicky výrazně lišit kupříkladu v případě výzvědné služby a v případě provozovatele zásilkové služby. Bod 23 recitálu GDPR k tomu doplňuje, že „ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji“.

Tento relativní pohled na dostupnost informací nutných k identifikaci však nutně neznamená, že by se všechny takové informace musely nacházet v rukách jediné osoby (bod 43 rozhodnutí Patrick Breyer vs. Německo C-582/14).

Z výše uvedeného tedy vyplývá, že soubor informací shodného obsahu může být pro jeden podnik či úřad osobními údaji, zatímco pro jiný nikoliv. Bude totiž také záležet na tom, jaké další prostředky může taková osoba rozumně vynaložit na identifikaci. Pokud bychom na tuto otázku nepohlíželi z pohledu osoby, která s informacemi pracuje (relativně), nýbrž z pohledu obecné úrovně technologických a výzvědných možností dostupných lidstvu, dospěli bychom k absurdním výsledkům.

V této souvislosti je vhodné odkázat i na bod 4 recitálu GDPR, který uvádí, že „zpracování osobních údajů by mělo sloužit lidem. Právo na ochranu osobních údajů není právem absolutním; musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy“.

V této souvislosti je možné se vrátit k výše zmiňované demonstrativní části definice osobních údajů v ustanovení čl. 4.1 GDPR. V ní je uvedeno, že „identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby“. Uvedení tohoto neúplného výčtu „identifikátorů“ v normativním textu považujeme za nešťastné. Text může mimo jiné asociovat, že nějaké informace jsou již ze své podstaty vždy osobním údajem (objektivní pohled), a ve svém důsledku tak nepřímo vést k nesprávným názorům nastíněným výše.

Informace o identifikované osobě

Situace je o něco snazší, pokud je určitá fyzická osoba již identifikována (víme, o koho se konkrétně jedná). Poté platí, že všechny informace, které jsou o takové osobě zpracovávány, podléhají regulaci v oblasti osobních údajů. Pokud je tedy nějakým správcem evidováno, že určitá (identifikovaná) fyzická osoba má chlupatého psa či že skočila 5,21 m do dálky, jsou takové informace osobním údajem.

Příklady

Podle jména a příjmení „Jan Novák“ není v České republice možné bez dodatečných informací identifikovat konkrétní fyzickou osobu. To ve svém důsledku znamená, že informace o jménu nemusí být vždy osobním údajem (přestože je jméno uvedeno v definici osobních údajů jako jeden z identifikátorů). To samé platí pro v GDPR zmiňovaný „síťový identifikátor“. Pokud jsou však informace o jménu či o síťovém identifikátoru správcem „spojitelné“ s dalšími informacemi (kupříkladu informacemi o místu bydliště, roku narození apod.), na základě kterých lze (v souhrnu) konkrétní osobu identifikovat, bude se jednat o osobní údaje.

Vedení databáze všech ulic s čísly popisnými v České republice bez informací o obyvatelích softwarovou společností nebude zpracováním osobních údajů. Pokud dojde k předání této databáze zasílateli, který začne samostatně přiřazovat k jednotlivým adresám jména konkrétních fyzických osob společně s jejich telefonními čísly, bude se jednat o zpracování osobních údajů. Na základě souhrnu těchto informací totiž již bude možné běžnými prostředky identifikovat fyzickou osobu.

Nemělo by se však jednat o zpracování osobních údajů softwarovou společností, která pouze předává podkladové informace využívané následně jiným subjektem v rámci zpracování osobních údajů. Obdobná situace nastává, pokud distributor zboží předává databázi informací o výrobcích provozovateli internetového obchodu, který tyto předané informace následně přiřazuje k účtům fyzických osob, kterým konkrétní výrobek prodal.

IP adresa

Ze samotné IP adresy nelze, bez dodatečných informací, dovodit, kdo je uživatelem zařízení, které se prostřednictvím této adresy připojuje do sítě. Toto dle našeho názoru platí nejen v případech dynamických IP adres (přidělovaných kupříkladu mobilním operátorem jednotlivým zařízením), ale i v případě tzv. pevných (statických) IP adres. Zcela odlišná je však tato situace z pohledu poskytovatele internetového připojení, který má či měl mít evidenci toho, jakou IP adresu které osobě přidělil, tedy včetně IP adres přidělených fyzickým osobám – viz rozsudek SDEU ve věci Scarlet Extended (C‑70/10). Pochopitelně ani poskytovatel připojení nemusí mít (bez dalšího) k dispozici informace o tom, kdo je konkrétním uživatelem určitého zařízení v jeho síti.

Z toho plyne, že podobně jako nebude osobním údajem samotná poštovní adresa bez jména či jiné identifikace adresáta, neměla by být ani samotná IP adresa bez dalších dostupných informací osobním údajem. Tím však pochopitelně nejsou vyloučeny situace (v praxi jistě časté), že také IP adresa bude součástí souboru informací, které již osobními údaji budou.

Cookies

V oblasti cookies bude z pohledu regulace osobních údajů primárně důležité, jaké informace konkrétní cookies nesou a s jakými dalšími informacemi s nimi nakládající osoba disponuje. Kupříkladu cookie nese pouze informace o IP adrese uživatele a o uživatelem navštívených webových stránkách, přičemž marketingová agentura nedisponuje dalšími informacemi o tomto uživateli. Pokud nelze rozumně předpokládat, že marketingová agentura použije další prostředky pro to, aby získala dodatečné informace nutné k identifikaci uživatele, nemělo by se jednat o zpracování osobních údajů těchto uživatelů marketingovou agenturou.

Zcela opačná situace pak nastává u provozovatele internetové služby, který za účelem cílení reklamy spojuje informace obsažené v cookies (o IP adrese uživatele a o uživatelem navštívených webových stránkách) s konkrétními uživatelskými účty fyzických osob, které vede. Zde se bude jednat o zpracování osobních údajů se všemi důsledky z toho vyplývajícími. Stejně tak bude zpracováním osobních údajů, pokud jsou provozovatelem webové stránky již v rámci samotné cookie ukládány informace takového charakteru, na základě kterých je možné identifikovat fyzickou osobu (informace z registračního formuláře apod.).

Skutečnost, že nikoliv každé nakládání s cookies bude zpracováním osobních údajů, je možné dovodit i z existence zvláštní regulace v oblasti tzv. ePrivacy, jež by jinak nebyla vůbec potřeba. Přísné regulatorní požadavky kladené na zpracování osobních údajů by totiž zcela postačovaly a celá diskuze k těmto otázkám v rámci příprav Nařízení o respektování soukromého života v elektronických komunikacích by byla prakticky nadbytečná.

Závěry rozhodnutí Patrick Breyer vs. Německo

Závěrem je vhodné se zabývat tím, co je vlastně uvedeno v poměrně často citovaném rozhodnutí SDEU ve věci Patrick Breyer vs. Německo (C-582/14). Konkrétně šlo o problematiku ukládání informací o IP adresách uživatelů Spolkovou republikou Německo v souvislosti s poskytováním některých on-line služeb orgány veřejné moci, tedy o do značné míry specifickou situaci, kdy právní a faktické prostředky dostupné spolkové vládě budou zásadně v nepoměru s prostředky dostupnými běžným soukromým subjektům. Soud následně došel k závěru, že Spolková republika Německo má „patrně prostředky, které mohou být rozumně použity, aby nechal s pomocí jiných osob, a sice příslušného orgánu a poskytovatele internetového připojení, identifikovat subjekt údajů na základě uchovaných IP adres“.

EBF 2018 tip v článku řečníci Lupa

Dynamická IP adresa, kterou Spolková republika Německo uchovává v souvislosti s přístupem osoby na internetovou stránku, představuje osobní údaj, „pokud má k dispozici právní prostředky, které mu umožňují nechat identifikovat subjekt údajů díky dalším informacím, kterými disponuje poskytovatel internetového připojení tohoto subjektu“. Soudní dvůr EU však nijak nezpochybnil výše uvedený relativní pohled na to, jaké informace jsou osobním údajem (rozhodující jsou prostředky dostupné osobě zpracovávající takové informace).

Z našeho pohledu je tedy možné uzavřít, že jakékoliv kategorické názory, že jeden druh informací je z pohledu právního vždy osobním údajem a jiný druh není osobním údajem nikdy, nejsou správné. To samé platí v plném rozsahu i o informacích ukládaných v rámci cookies či o IP adresách.

Našli jste v článku chybu?