Názory k článku Jsou cookies nebo IP adresa vždy osobním údajem?

Máte částečně pravdu - s údaji (osobními) je třeba pracovat vždy v souvislostech! A zamyslet se nad nimi nejen z vašeho pohledu (vaší firmy), ale také ostatních (jakým způsobem je dokáží využít).

Jméno + příjemní může a také nemusí být identifikačním údajem (záměrně neříkám osobním). Existují lidé, kteří mají tak unikátní jméno, že je identifikuje na celém světě. Na druhou stranu, není to tak úplně jednoduché, ale dnes je již možné si jméno změnit a mít tak jeden den takové a jiný den jiné. U žen je to poměrně častý nešvar :)
U IP, to je samozřejmě jednodušší (si ji změnit), ale to že zde píši své názory z jedné IP a z té samé IP se přihlásím na svůj účet v internetovém obchodě, kde jsem vyplnil své dodací údaje, umožňuje danému obchodu (s trochou dataminingu) vytvářet můj (s určitou nepřesností) názorový a preferenční profil a podle toho mi nabízet služby a produkty (nebo nedejbože mé názory ovlivňovat). Proto jsem toho názoru, že nelze zacházet s IP jako s neosobním údajem, přestože se nemusí o osobní údaj vždy jednat, jak vyplývá z článku. Už jen proto, že se o osobní údaj jednat může, musím ke všem takovým údajů přistupovat jako k údajům osobním (a nebo nějakým způsobem rozeznávat, zda se o osobní údaj jedná, nebo ne - ale to je v tomto případě poměrně problematické).

S ohledem na zabezpečení je (dle GDPR) na dané organizaci, aby zajistitla bezpečnost v závislosti na rizicích pro subjekt údajů (a to je to na co narážíte, že byste IP adresy zabezpečoval méně, než jméno, příjmení) a tedy pokud vyhodnodtíte, že únik IP adres je nízké riziko pro subjekty údajů (ve vašem případě), můžete je klidně i nechávat veřejně přístupné. Pak ale bude otázkou, jak to posoudí dozorový úřad - zda jste přijali odpovídajízí zabezpečení s ohledem na danou kategorii osobních údajů (pravděpodoboně v brzké době vznikonou i určité judikáty, které budou jasněji říkat: "takto už je to na pokutu, a takto ještě ne", ale ty bohužel zatím nejsou).

Vtip je v tom, že IP adresa nikdy nemůže být osobním údajem stejné kategorie jako třeba jméno, příjmení nebo rodné číslo. Takové údaje má každý jedinec zcela unikátní. Nelze být jeden den Petr a druhý den třeba František. U IP adresy to ale lze, IP adresa se stává osobním údajem pouze v konkrétním okamžiku, kdy je použita pro uskutečnění internetové komunikace. A vlastně by se nemělo říkat že IP adresa XYZ je osobním údajem pana XY, nýbrž že IP adresa XYZ byla panem XY použita v této konkrétní relaci. A v jiné relaci bude použita zase někým jiným. Takže osobním údajem je ve skutečnosti ne samotná IP adresa, nýbrž agregovaná informace o použití této IP adresy identifikovanou osobou. Jinak je to nepřípustné (a hlavně matoucí) zjednodušování. Tak třeba ten zmiňovaný údaje 5,21m . Když řekneme, že pan František skočil 5,21 m do dálky, je samotné číslo 5,21 osobním údajem? Asi těžko. Osobním údajem je právě agregovaná informace, že 5,21 m je výkon pan Františka ve skoku do dálky...

zasadni problem je, ze v ramci IP adresy neidentifikujete osobu, ale zarizeni :-)

... :)

Soused z Ameriky :-)

WHOIS Source: ARIN
IP Address: 192.169.218.61
Country: USA - Arizona
Network Name: GO-DADDY-COM-LLC
Owner Name: GoDaddy.com, LLC
CIDR: 192.169.128.0/17
From IP: 192.169.128.0
To IP: 192.169.255.255
Allocated: Yes
Contact Name: GoDaddy.com, LLC
Address: 14455 N Hayden Road, Suite 226, Scottsdale
Email: noc@godaddy.com
Abuse Email: abuse@godaddy.com
Phone: +1-480-624-2505
Fax:

Asi bych si předně položil základní otázku: "proč se v logu ukládají IP adresy?"

Důvod je jednoduchý, je to jediná informace, která je pro mne v daném případě dostupná, a pomocí které jsem schopen případné osoby identifikovat, nebo jim zamezit přístup apod.

Pokud někdo učiní např. finanční podvod a jediné vodítko, které k danému případu je k dispozici, je IP adresa, policie si danou adresu vezme a podle ní člověka s určitou, ne příliš vysokou pravděpodobností, ztotožní.

Narážíme tedy v tomto případe na hranici, která je o výkladu práva dle v článku zmíněného recitálu 23 recitálu GDPR. Ten recitál
bohužel není konkrétní a jde o to, jak si jej soud v určitých případech vyloží - zdůraznil bych z něj slovo "nebo jiná osoba", protože jak se ukazuje, tak dle zmíněného rozhodnutí Patrick Breyer vs. Německo C-582/14 soud došel k názoru, že stát je identifikace osoby podle IP adresy je schopen a myslím, že státní zaměstnance mohu považovat za ony jiné osoby zmíněné v recitálu.

Z této úvahy tedy docházím k opačnému názoru než autor, a tedy takovému, že IP adresa musí být považována za osobní údaj vždy a podle toho ji chránit (tedy minimálně nezveřejňovat). Ačkoliv všichni víme, že existují případy, ve kterých její znalost k identifikaci subjektu nepovede. Bohužel jako správce nejsem schopen vyloučit případ, kdy se daná adresa s nasbíranými údaji dostane do ruky státu, který ji s danou osobu ztotožní a naruší tak soukromí dané osoby.

Ide o zdieľaný hosting, niekomu zrejme hackli web.

Recitály bych se neoháněl, ty mají právní sílu asi jako nápis na zdi - zákon je zákon a ten se tváří, že "identifikovatelná" je nutno brát absolutně - žádné zlehčování tam není. Takže dokud nezmění textaci, nebo nějaký soud neřekne, co tím zákonodárce myslel, držel bych se toho.

192.169.218.61 - to vypadá, že na tebe útočí soused bez DHCPka

A toto "v kombinaci s jinym" je tá sprostosť.

Lebo aj farba trička je potom osobný údaj, predsa v kombinácii s rodným číslom to jednoznačne identifikuje osobu...

Ještě k těm IP adresám - mám, resp. mohu mít a každý z nás, databázi všech IP adres, je to nějakých cca. 254^4 čísel pro IPv4. Už to by mohlo některým pomalejším jedincům napovědět, že znalost IP adresy sama o sobě neznamená vůbec nic.

Logika je poměrně jednoduchá. Poskytovatel internetových služeb (ISP) má záznam dočasné dynamické adresy IP a ví, komu byla přiřazena. Provozovatel webových stránek má záznam o webových stránkách, na které je přístupná dynamická adresa IP (ale žádná další data, která by vedla k identifikaci osoby). Pokud budou informace o dvou částech spojeny, poskytovatel webových stránek by mohl najít totožnost osoby za určitou dynamickou IP adresou. Nicméně šance na takovou situaci jsou malé ne-li mizivé, protože poskytovatel služeb Internetu musí splnit určité právní závazky, než může předat údaje poskytovateli internetových stránek. Závěrem je, že všechny adresy IP by měly být považovány za osobní údaje, aby byly GDPR kompatibilní.

IP adresy se uchovávají právě k tomu aby mohly v případě porušení zákona případně spáchání přečinu sloužit v mezích zákona k identifikaci pachatele, který porušuje nebo zákon. IP adresa je tedy brána ve vztahu k GDPR jako osobní údaj i přesto že v pravém slova smyslu osobním údajem není ;)

Za me je osobni udaj kazdy, ktery dokazete pouzit pro identifikaci osoby. Nezalezi jestli sam o sobe, nebo v kombinaci s jinym. Vetsinou je pak ale reseno jeho pouziti v kontextu. Tedy pokud se nekdo najde v seznamu IP (svoji IP) a nezacne hledat, proc je v tom seznamu, tak jsou sberaci v klidu. Pak se resi opravneny zajem a pripadne to, jestli mate souhlas s timto udajem nejak pracovat. Nazval bych to kompromitovanim anonymnich dat.

Analogicky:
Tiež existujú právne prostriedky ako podľa mena osoby a jej adresy získať prístup k zdravotným záznamom tejto osoby. No to neznamená to, že ak to za určitých podmienok vie spraviť súd, mám JA k všetkým osobám pristupovať tak, ako keby som mal prístup k ich zdravotným záznamom ak mám len ich meno a adresu.

Ako prevádzkovateľ mám právne prostriedky k dispozícii, ale len jednotlivo, v konkrétnom prípade, ak ide i iný právny základ, ktorý vyžaduje ich použitie. Tým je napríklad spáchanie nejakého trestného činu, následné vyšetrovanie políciou, súd, dokazovanie atď. Možnosť identifikácie teda existuje, ale treba rozlišovať dôvod.

Jo už vidím jak na místní služebně PČR zadáte zjištění majitele IP adresy z důvodu že si neodebral objednávku za pár stovek. Možná vám i přistaví sanitku k Chochlouškovi.

Pozdravuj v nizozemsku, ale mě tam nenajdeš.

Autor je právník a jeho názory vychází ze zkušeností s úřady a soudy. Spolehlivější informace vám už dá leda tak soudce v odůvodnění rozsudku vašeho konkrétního případu. Pokud se zrovna nesoudíte, tak holt máte k dispozici pouze názor právníka.

Ještě dodatek: vzhledem o tomu, že prováděcí předpisy stále čekají na projednání a schválení v Parlamentu (což mělo být hotové k datu platnosti), jsou diskuze, články, "audity" apod. k GDPR víceméně teoretické.
Koho zajímá aktuální stav, může se podívat na web Úřadu vlády https://apps.odok.cz/veklep-detail?pid=KORNAQCBYV46
(konktérně bod Stav materiálu CE – zaevidováno v PSP).

Tu ale ide o ÚČEL a PRÁVNY ZÁKLAD spracovávania osobných údajov. Nemôžem sa obrátiť na políciu alebo súd s tým, že chcem zistiť mená a adresy všetkých mojich návštevníkov webu podľa predloženého zoznamu IP adries a časov prístupu len preto, že ma to zaujíma. naopak, ak mi vznikne škoda, alebo je spáchaný trestný čin, mám právo od polície a súdov žiadať zistenie osoby, ktorá v danom čase mala príslušnú IP adresu. Ale je tu jasne definovaný ÚČEL a PRÁVNY ZÁKLAD, podľa ktorého bude polícia a súd postupovať.

Omyl, ta povinost je jiz drahne let v rozporu s legislativou EU ktera je te nasi nadrizena. A i ve zminovanem rozhodnuti to evropsky soud konstatuje - prectete si druhy odstavec.

Chapu ze lupa nevlozila odkaz a vy dohledat a precist jeden odstavec textu nezvladate take ze?
Ten druhy odstavec se mimochodem tyka dataretention - ktere jak jiz davno vime, oznacuje za nelegalni.

https://publications.europa.eu/cs/publication-detail/-/publication/84400959-c5cf-11e6-a6db-01aa75ed71a1/language-cs

Výrok
1)
Článek 2 písm. a) směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů musí být vykládán v tom smyslu, že dynamická adresa internetového protokolu, kterou poskytovatel online mediálních služeb uchovává v souvislosti s přístupem osoby na internetovou stránku, kterou tento poskytovatel zpřístupnil veřejnosti, pro uvedeného poskytovatele představuje osobní údaj ve smyslu tohoto ustanovení, pokud má k dispozici právní prostředky, které mu umožňují nechat identifikovat subjekt údajů díky dalším informacím, kterými disponuje poskytovatel internetového připojení tohoto subjektu.

2)
Článek 7 písm. f) směrnice 95/46 musí být vykládán v tom smyslu, že brání právní úpravě členského státu, podle níž může poskytovatel online mediálních služeb shromažďovat a používat osobní údaje týkající se uživatele těchto služeb bez jeho svolení pouze tehdy, je-li toto shromažďování či používání nezbytné k tomu, aby bylo umožněno a vyúčtováno konkrétní využití uvedených služeb tímto uživatelem, aniž by cíl spočívající v zajištění obecné funkčnosti těchto služeb mohl odůvodnit použití uvedených údajů poté, co uživatel ukončil využívání těchto služeb.

Chapete to velmi spravne - a presne v tomto smyslu je prave ono rozhodnuti evropskeho soudu. Pravni prostredky ma kazdy jeden z nas. Vubec to neni o tom, ze jakysi stat neco muze, vy muzete take. A protoze muzete, tak i musite - povazovat kazdou jednu IP za osobni udaj.

Jeste bych uvedl i krasny priklad - nebot dle zakona uzavirate smlouvu na eshopu jiz objednanim, staci pro zadost o identifikaci napriklad i to, ze si dotycny neodebral/neza­platil zbozi. Byt samozrejme nasledne cela vec skonci na tom, ze stejne neprokazate kdo konkretni z dane IP objednavku ucinil, zjistit komu byla pridelena muzete snadno.

Apropos, jelikoz jde o evropskou legislativu, pocitejte predevsim take s tim, ze vas muze resit libovolnu unijni urad podle sveho chapani. Tudiz to, ze cesky urad (ktery aktualne ani nic resit nemuze, neb k tomu neni zmocnen), nad necim mavne rukou, vubec neznamena, za vam za totez neudeli tucnou pokutu urad nemecky/fracouzky nebo italsky.

Libovolny subjekt MUZE i v CR identifikovat konkrektni osobu (nebo jejich uzky okruh) ktere v danem case disponovaly danou IP adresou. Napriklad za pomoci policie a soudu, ktera dane udaje zjisti od prislusneho ISP.

Osobu neidentifikuje subjekt, ale súd prostrednítvom operátorov. Výhradne pre daný účel, nie svojvolne a bezdôvodne. To je sakra rozdiel. Paňatno?

Jako poskytovatel internetu či služby máš zákonnou povinnost uchovávat IP adresy a tedy nenapadnutelný právní titul. Krom toho policie bude žádat zas na základě nějakého vyšetřování a zas nějakého svého právního titulu.

Co se týče unikátnosti - v tomhle se předpokládá u GDPR "obvyklá" situace. Tedy to že samotné jméno a příjmení není bez dalších údajů osobním identifikátorem platí, i přes to, že existují na světě třeba jen dva Tomášové Kaplerové a ten druhý je můj bratranec a u jiných jmen to bude třeba úplně jisté. Ale platí, že obvykle to prostě není dostatečný údaj pro identifikaci. Nicméně ve spojení třeba s městem a případně časem (a rozhodně s IP adresou) se už dokáže identifikovat naprostá většina lidí, a pak souhrn těchto informací osobním údajem je.
Opět však záleží na tom, proč je kdo eviduje, není nic nezákonného mít osobní údaje a pro mnoho činností je to přímo nutnost - typicky objednávka - a firmy pro to mají svůj oprávněný zájem a žádat o to nijak extra nemusí, stačí uživatele informovat.

https://www.lupa.cz/clanky/jsou-cookies-nebo-ip-adresa-vzdy-osobnim-udajem/nazory/1110418/
tak šup, šup, podaj trestné oznámenie, ak si myslíš, že som porušil zákon, je to tvoja povinnosť

Co nechapete na psanem textu?

Evropsky soud rozhodl, ze dotycny subjekt muze za pomoci pravniho systemu identifikovat konkretni osobu NEBO uzky okruh osob. Libovolny subjekt MUZE i v CR identifikovat konkrektni osobu (nebo jejich uzky okruh) ktere v danem case disponovaly danou IP adresou. Napriklad za pomoci policie a soudu, ktera dane udaje zjisti od prislusneho ISP. Tudiz jde o osobni udaje a jako s takovymi je nutne s nimy nakladat - zcela vzdy a bez vyjimek. Presne toto konstatoval onen soud ve svem rozhodnuti.

Ze nemuzete v danem konrektni pripade ukazat na zcela konkretni osobu je z pohledu nakladani s tim udajem zcela irelevantni. Protoze prozmenu nemuzete ani vedet, zda takova identifikace mozna je. A musite tudiz u daji pristupovat tak, jako by byla.

Ostatne iinfo ve velkem a setrvale GPDR porusuje neb osobni udaje nelegalne uklada a dokonce zverejnuje.

Z týchto IP adries som v posledných hodinách zaznamenal útoky:
5.188.86.156
202.102.194.5
46.137.188.8
185.44.68.182
114.55.235.79
194.182.80.117
145.239.0.192
14.186.214.172
14.187.243.99
132.148.129.183
14.169.27.224
192.169.218.61
209.18.90.16
103.45.229.74

Kto si myslí, že IP adresa je osobný údaj, nech na zažaluje.

Ja tomu rozumiem tak, že právne prostriedky sú prostredky súvisiace s poskytovanou služnou, ktorá osobné údaje môže vyžadovať.

Teda ak niekto cez web vystaví objednávku na tovar a obchodný systém systém prevádkovateľa umožňuje v takom prípade uložiť aj IP adresuz ktorej bola objednávka vystavená, IP adresa sa stáva osobným údajom. Ak by aj niekto zverejnil IP adresy všetkých zákazníkov, nič tým IMHO neporuší - aj keď je to už dosť na hrane, pretože tým môže iným osobám ktoré IP adresu a čas priradiť vedia, zverejniť informáciu, že v danom čase boli na tvojom webe. Je to niečo podobné ako keby niekto zverejňoval hash telefónnych čísiel zákazníkov s časom objednávky. Nikomu to nič nepovie, žiadny osobný údaj tam nie je, no ak niekto má existujúce telefónne číslo a vie ho priradiť k osobe, môže si overiť, či tento človek nakupoval na tvojom webe. A ak nakupoval, probém to byť už môže.

Mám honeypot a IP adresy z ktorých som zachytil útoky určitej skupine ľudí zverejňujem. Nevidím v tom problém. Nie je to žiadny osobný údaj.

Osoba identifikovateľná NIE JE. Prinajlepšom môžeš identifikovať zariadenie, ktoré nemusí ale môže používať X osôb v danom čase. V rôznom čase sa tí ľudia menia (dynamická IP). Ako fyzická osoba NEMÁŠ možnosti ako z IP adresy identifikovať osobu. Spolupráca s ďalším subjektom je pre fyzickú osobu v tomto prípade nemožná, operátor ti tieto údaje nedá. Pre štátnu správu to ale možné JE.

To že má prevádzkovateľ webu prostriedky pre identifikáciu, neznamená, že tie osoby dokáže vždy identifikovať. Má na to len prostriedky, závislé od poskytovaných služieb. Dokáže to, napríklad v prípade, ak si spojí IP adresu s existujúcou objednávkou vystavenou na meno a adresu zákazníka. Tak získa IP adresu (ak to jeho systém umožňuje), ktorá bude spadať do súhrnu zhromažďovaných osobných údajov. Preboha, to ale ešte neznamená, že takto vie identifikovať všetkých návštevníkov podľa ich IP adries. Pochopiteľne vie identifikovať podľa IP adresy len tých, ktorí mu sami poskytli osobné údaje za účelom súvisiacim s poskytnutím služby (dobierka, faktúra, registrácia).

Fajn, tak až začnete objiždět ulice podle IP adresy, tak dejte vědět. Rád se podívám, jak vám to půjde.

Vhodné je se ještě zamyslet nad anglickou definici os udajů. Informace RELATED to, tedy vztahující se k dané osobě. Pak můžeme a nemusíme být super bigotní, pokud jde o dopady na naše práva, protože o to jde v GDPR především.

Názor autora je mi sympatický, jenže nevím zda se jím budou řídit úřady a soudy. Ač nejsem právník, tak tuším dva problémy.

Je nejasné, co vyjadřuje pojem právní prostředky ve formulaci "pokud má k dispozici právní prostředky, které mu umožňují nechat identifikovat subjekt údajů". Uvedu extrémní příklad. Někdo mi nahraje na web dětské porno, já předám IP adresu policii a ta dohledá konkrétní osobu. Je podání trestní oznámení právním prostředkem v uvedeném smyslu?

Druhý problém souvisí s tím, že GDPR chrání každý subjekt jednotlivě, nevytváří se nějaký průměr či většina. Pokud mám v logu 100 tisíc IP adres a jsem schopen dle IP adresy identifikovat aspoň jeden subjekt údajů, tak již tato jedna IP adresa je nejen dle názoru autora článku osobní údaj. A potom se musím k celému logu chovat, jako že obsahuje osobní údaje. A tou jednou identifikovatelnou IP adresou může domácí připojení správce webu, který se občas přihlásí k administraci webu.

Opravdu neskutecny blabol, co si tak to rozhodnuti soudu opravdu precist?

Vubec nejde o to, zda danou osobu umi identiifikovat ten, kdo tu IP adresu ma. Jde o to, ze ta osoba je danou adresou identifikovatelna, byt ve spolupraci s dalsim subjektem.

Totez samozrejem plati o libovolnych udajiich - tzn i postovni adresa bez jmena a prijmeni je osobnim udajem, protoze v te ulici na danem cisle popisnem asi nebude bydlet milion lidi.

Dovolim si pak jeste citovat:
"Lze tedy uzavřít, že český právní řád dává provozovatelům webových stránek právní prostředky k nepřímé identifikaci osob, které je navštívili, a IP adresy které takto uchovávají jsou tudíž osobními údaji."