Czy logi są danymi osobowymi?

ODPOWIEDŹ

Grupa Robocza w opinii 4/2007 wskazuje, że osobę fizyczną można uznać za zidentyfikowaną, jeśli w grupie osób można ją odróżnić od wszystkich pozostałych członków grupy. Oznacza to, że możliwość zidentyfikowania danej osoby nie musi oznaczać możliwości ustalenia jej nazwiska, wystarczy bowiem możliwość wskazania jej, czy też wyróżnienia z określonej zbiorowości.  

Definicja danych osobowych, określona w RODO, nie zawiera zamkniętego katalogu informacji o cechach osobowych. Wskazuje za to trzy kumulatywne przesłanki kwalifikacyjne pojęcia danych osobowych:

• wszelkie informacje,
• dotyczące osoby fizycznej,
• dotyczące osoby zidentyfikowanej lub możliwej do zidentyfikowania.

Biorąc pod uwagę zakres informacji, które mogą być utrwalone w dzienniku zdarzeń (m.in. adres IP, dane geolokalizacyjne, identyfikator użytkownika, czas aktywności, typ przeglądarki, system operacyjny, odesłania, błędy witryny), termin „dane osobowe” należy interpretować w sposób szeroki, w tym jako informacje o charakterze elektronicznym (dane o lokalizacji, identyfikator internetowy), ze względu na postęp technologiczny oraz związane z nim pojawienie się w obrocie nowych narzędzi umożliwiających identyfikację osoby, której dane dotyczą.

Powyższe jest zgodne z dominującym dotąd stanowiskiem, zgodnie z którym przesłanka identyfikowalności powinna być oceniana z wykorzystaniem obiektywnych kryteriów uznania danej informacji za osobową (choć można zaobserwować tendencję do interpretowania danych osobowych w sposób zawężający – zgodnie z podejściem subiektywnym).

Warto w tym miejscu przywołać omawianą przeze mnie decyzję Prezesa UODO (DS.523.3908.2021), w której wskazuje on: „W myśl Motywu 30 RODO osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób. Informacje, które wiążą się z określoną osobą – choćby pośrednio – niosą pewien komunikat o niej. Dlatego też informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej wprost, jak i taka, która odnosi się bezpośrednio do przedmiotów czy urządzeń, ale poprzez możliwość powiązania tych przedmiotów czy urządzeń z określoną osobą pośrednio stanowi informację także o niej samej.”