Zgodnie z art. 6 ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Taka jest definicja tego pojęcia. Jak widać ustawa nie wymienia konkretnych przykładów informacji, które zawsze należałoby uznać za dane osobowe lub nie. Inaczej jest tylko z tzw. danymi wrażliwymi, które zostały wprost wymienione w ustawie. A uznano za nie te, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Czy zatem w myśl przepisów adres IP może zostać uznany za daną osobową? Odpowiedź na tak postawione pytanie nie będzie jednoznaczna. Wszystko będzie bowiem zależało od konkretnej sytuacji.

Zgodnie z zacytowaną definicją danymi osobowymi są takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak również na określenie jej tożsamości przy pewnym nakładzie kosztów, czasu lub działań (nie mogą być nadmierne). Aby rozstrzygnąć zatem tę kwestię najlepiej będzie przywołać opinię Grupy Roboczej ds. Ochrony Danych, powołanej przez Parlament Europejski i Radę Europejską. Uznała on literalnie adres IP za dane dotyczące osoby możliwej do zidentyfikowania, stwierdzając, że: „dostawcy usług internetowych oraz menedżerowie lokalnych sieci mogą, stosując rozsądne środki, zidentyfikować użytkowników Internetu, którym przypisali adresy IP ponieważ systematycznie zapisują w plikach daty, czas trwania oraz dynamiczny adres IP przypisany danej osobie. To samo odnosi się do dostawców usług internetowych, którzy prowadzą rejestr (logbook) na serwerze HTTP. Nie ma wątpliwości, że w takich przypadkach można mówić o danych osobowych, w rozumieniu art. 2 Dyrektywy".

W związku z powyższym należy uznać, że w przypadkach, gdy adres IP jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową. Stąd dostawcy usług internetowych i menedżerowie lokalnych sieci powinni postępować z adresami IP klientów, jak z innymi ich danymi osobowymi.

Z drugiej strony nie zawsze adres IP będzie mógł być automatycznie uznany za daną osobową. Tak będzie w przypadku publicznego dostępu do komputerów (np. w kawiarence internetowej), o ile nie prowadzony jest dokładny rejestr osób korzystających z takiego sprzętu, z zapisem dnia i godziny logowania. Uwzględniając, że w kawiarence nie byłoby dodatkowo monitoringu wizyjnego, zidentyfikowanie konkretnego użytkownika byłoby niemożliwe, a w każdym razie niemożliwe bez poświęcenia na to dużych kosztów i intensywnej pracy.