Analiza art. 4 ust. 1 RODO oraz motywu 30 stanowi, że identyfikatory internetowe są jednoznacznymi formami danych osobowych, gdy pozwalają na identyfikację osoby fizycznej. Tekst rozporządzenia wskazuje: “identyfikatorem może być ‘imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy’” (RODO, art. 4 ust. 1). Motyw 30 dodatkowo wyjaśnia, że obejmują one dane “dostarczane przez urządzenia, aplikacje, narzędzia i protokoły, takie jak adresy IP, identyfikatory plików cookie lub inne identyfikatory, takie jak znaczniki RFID” (RODO, motyw 30).
Wyniki wskazują, że identyfikatory internetowe zyskały na znaczeniu ze względu na rozpowszechnienie technologii cyfrowych. Kluczowe wnioski z literatury empirycznej i wytycznych regulacyjnych obejmują:
- Adres protokołu internetowego (IP): Adresy IP przypisane do urządzeń są powszechnie uznawane za dane osobowe w świetle RODO, ponieważ mogą bezpośrednio lub pośrednio identyfikować osoby fizyczne.
- Pliki cookie: Trwałe pliki cookie mogą przechowywać unikalne wartości powiązane z aktywnością użytkownika, umożliwiając profilowanie i śledzenie. Grupa Robocza Art. 29 ds. Ochrony Danych (WP29) potwierdza, że pliki cookie są identyfikatorami internetowymi (Opinia WP29 02/2013).
- Beacony i tagi pikselowe: Mechanizmy te zbierają dane o wizytach na stronie internetowej i interakcjach użytkownika, często w połączeniu z plikami cookie lub informacjami o urządzeniu.
- Mobilne identyfikatory reklamowe: Unikalne identyfikatory reklamowe na smartfonach umożliwiają śledzenie użytkowników w różnych aplikacjach i witrynach.
- Odciski palców urządzeń (device fingerprinting): Metody agregacji cech przeglądarki i urządzenia w celu unikalnej identyfikacji konfiguracji sprzętowo-programowych.
- Znaczniki RFID: Małe urządzenia elektroniczne przechowujące dane, które w połączeniu z innymi informacjami mogą umożliwiać identyfikację.
Agregacja takich identyfikatorów w czasie, zwłaszcza w połączeniu z innymi danymi (np. danymi uwierzytelniającymi konta, metadanymi urządzenia), stwarza znaczne ryzyko ponownej identyfikacji—nawet jeśli poszczególne identyfikatory same w sobie nie ujawniają tożsamości osoby. Jest to zgodne z kryterium “singling out” omawianym w sprawie Breyer przed TSUE (C-582/14), która wyjaśniła, że dynamiczne adresy IP mogą stanowić dane osobowe w określonych okolicznościach.
Podsumowując:
- Identyfikatory internetowe w rozumieniu RODO obejmują szeroki zakres znaczników technicznych, w tym między innymi adresy IP, pliki cookie, odciski palców urządzeń i znaczniki RFID.
- Identyfikatory te są klasyfikowane jako dane osobowe, gdy mogą bezpośrednio lub pośrednio prowadzić do rozpoznania lub wyodrębnienia osoby fizycznej.
- Połączenie identyfikatorów internetowych z innymi unikalnymi znacznikami zwiększa prawdopodobieństwo i ryzyko identyfikacji, co wymaga solidnych strategii zgodności i ochrony prywatności.
