Czy można zidentyfikować osobę za pomocą numeru IP i cookies ID? Wnioski dla administratorów po wyroku NSA
Rozwój technologiczny sprawia, że informacje techniczne – takie jak adres IP czy identyfikator plików cookies – odgrywają ważną rolę w funkcjonowaniu usług online. W praktyce coraz częściej wskazuje się, że stają się one narzędziem umożliwiających zidentyfikowanie danej osoby. Na podstawie wyroku NSA1 analizujemy, w jakim zakresie adres IP oraz identyfikator plików cookies mogą prowadzić do identyfikacji osoby fizycznej.
Informacje techniczne jako dane osobowe?
NSA wydał wyrok dotyczący uznania identyfikatorów, takich jak adres IP oraz identyfikator plików cookies, za dane osobowe w rozumieniu RODO. Sprawa została zapoczątkowana skargą użytkownika internetu, dotyczącą nieprawidłowości w przetwarzaniu jego danych (adresu IP oraz identyfikatora plików cookies) przez właściciela portalu internetowego.
Prezes UODO uznał, że wspomniane identyfikatory stanowią dane osobowe w rozumieniu RODO, ponieważ istnieje prawdopodobieństwo zidentyfikowania konkretnej osoby w powiązaniu z tymi danymi. W konsekwencji organ nadzorczy m.in. nakazał administratorowi usunięcie danych osobowych użytkownika oraz udzielił mu upomnienia za naruszenie przepisów RODO.
Właściciel portalu internetowego złożył skargę do WSA, twierdząc, że nie ma on faktycznej możliwości ustalenia tożsamości użytkowników jedynie na podstawie samych identyfikatorów.
Stanowisko sądów
WSA uchylił decyzję Prezesa UODO. Sąd uznał, że organ nie przeprowadził wystarczającego postępowania wyjaśniającego, które pozwoliłoby jednoznacznie stwierdzić, że identyfikacja użytkownika za pomocą adresu IP czy plików cookies jest możliwa. Stanowisko to zostało następnie potwierdzone przez NSA.
Co prawda, NSA nie rozstrzygnął jednoznacznie sprawy, czy adres IP i identyfikator plików cookies stanowią dane osobowe. W uzasadnieniu wyroku wskazał jednak poniższe wskazówki:
- sam fakt wykorzystania plików cookies analitycznych i zapytań dotyczących cookie ID nie oznacza, że dane są danymi osobowymi w rozumieniu RODO;
- każda sprawa wymaga każdorazowej analizy, w której należy ustalić, czy adres IP ma charakter stały, czy dynamiczny (jest to istotne dla oceny możliwości identyfikacji użytkownika);
- analiza powinna obejmować wszelkie obiektywne czynniki (np. koszt i czas potrzebny do zidentyfikowania osoby, technologię);
- podanie danych osobowych przez użytkownika Internetu w późniejszym czasie (np. imienia i nazwiska) nie ma wpływu na ocenę, czy przetwarzane wcześniej dane (adres IP i identyfikator plików cookies) miały charakter danych osobowych. Ocenę należy dokonywać na podstawie okoliczności w czasie przetwarzania.
Wnioski dla administratorów przetwarzających dane techniczne internautów
- Każdy administrator danych osobowych powinien ocenić, czy na podstawie adresu IP lub plików cookies ma realną możliwość zidentyfikowania osoby. Dla dokonania takiej oceny kluczowe znaczenie ma przeprowadzenie audytu plików cookies oraz dokumentacji w tym zakresie.
Adres IP i identyfikator plików cookies nie zawsze umożliwiają identyfikację użytkownika. Możliwość taka zależy m.in. od tego, czy adres IP jest stały, czy zmienny.
- Administrator ma obowiązek wykazać, czy informacje techniczne – takie jak adres IP lub identyfikator cookies – stanowią dane osobowe w rozumieniu RODO, czyli czy istnieje możliwość powiązania ich z konkretną osobą przy użyciu dostępnych środków. W przypadku uznania ich za dane osobowe należy stosować zasady ochrony danych wynikające z RODO.
- Jeżeli wykorzystywane przez administratora pliki cookies lub adres IP umożliwiają identyfikację – zachodzi obowiązek informacyjny. Oznacza to, że użytkownicy powinni być dokładnie informowani, jakie dane są zbierane, w jakim celu są wykorzystywane oraz czy istnieje możliwość ich identyfikacji.
- Niezależnie warto zadbać, aby zostały spełnione wszystkie wymogi dotyczące plików cookies stosowanych na stronie internetowej. Uwagi wymaga m.in. polityka plików cookies oraz prawidłowy baner cookies.
Jeśli potrzebują Państwo wsparcia w powyższym zakresie lub mają pytania do tego tematu – zachęcamy do kontaktu.
- Wyrok NSA z 16.10.2025 r., III OSK 2595/22, LEX nr 3931422. ↩︎
