IP-адреси кінцевих користувачів веб-сайтів як персональні дані. Українські реалії

Персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Відповідно до положень Закону України “Про захист персональних даних” (далі за текстом - Закон):

Обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.

Відповідно до положень ст. 23 Закону Уповноважений має такі повноваження у сфері захисту персональних даних:6) надавати рекомендації щодо практичного застосування законодавства про захист персональних даних, роз’яснювати права і обов’язки відповідних осіб за зверненням суб’єктів персональних даних, володільців або розпорядників персональних даних, структурних підрозділів або відповідальних осіб з організації роботи із захисту персональних даних, інших осіб;10) складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом;11) інформувати про законодавство з питань захисту персональних даних, проблеми його практичного застосування, права і обов’язки суб’єктів відносин, пов’язаних із персональними даними;

Крім того, на підставі положень ст. 9 Закону Уповноважений визначає види обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, та категорії суб’єктів, на яких поширюється вимога щодо про обробку персональних даних, визначаються Уповноваженим.А на володільців персональних даних покладено обов’язок повідомляти Уповноваженого про обробку такої категорії персональних даних упродовж тридцяти робочих днів з дня початку такої обробки.

Так, наказом Уповноваженого № 1/02-14 від 08.01.2014 р. “Про затвердження документів у сфері захисту персональних даних” затверджено “Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації” (далі за текстом - Порядок).Відповідно до п. 1.2. Порядку обробка персональних даних, що становить особливий ризик для прав і свобод суб’єктів - це будь-яка дія або сукупність дій, а саме збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення, у тому числі з використанням інформаційних (автоматизованих) систем, яка здійснюється відносно персональних даних про:[…]- місцеперебування та/або шляхи пересування особи.---Вступна частина закінчилась. Далі цікавіше. Як же це все додатково пов’язано з IT, спитаєте Ви? Наприклад, Ви – власник веб-сайту (форум, інтернет-магазин, соціальна мережа тощо), Ваш веб-сайт переглядають кінцеві користувачі з делегованих їм ІР-адрес (такі ІР-адреси можуть бути “білими”/ “реальними”/ “зовнішніми”, тобто делегованими визначеним абонентам ISP; “динамічними”, тобто делегованими з наявного пулу IP-адресів ISP у певний момент часу та змінюється при кожному наступному підключенні кінцевого-користувача; “сірими”, тобто бути за Network Address Translation (NAT) – одна “зовнішня” ІР адреса для певної відносно великої кількості визначеного ISP) і Ви використовуєте (здійснюєте обробку) таких данихВідтак, постають два логічні питання:

1. Чи є ІР-адреси, зокрема динамічні, персональними даними в розумінні українського законодавства?
2. Якщо відповідь на попереднє питання позитивна, то чи є оброка ІР-адрес кінцевих користувачів веб-сайту обробкою персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних в розумінні ст. 9 Закону?

Звісно, питання можливості віднесення ІР-адрес до персональних даних виникає в багатьох юрисдикціях. Для розуміння відповідної практики в США раджу ознайомитись з публікацією Joshua J. McIntyre “Balancing expectations of online privacy: why internet protocol (IP) addresses should be protected as personally identifiable information”.Питання чи є ІР-адреси, зокрема динамічні, персональними даними віднедавна вирішено в ЄС:.Так, Європейський Суд Справедливості у рішенні по справі C-582/14 Patrick Breyer Vs Bundesrepublik Deutschland від 19 жовтня 2016 року зазначив:Article 2(a) of Directive 95/46/EC* of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data must be interpreted as meaning that a dynamic IP address registered by an online media services provider when a person accesses a website that the provider makes accessible to the public constitutes personal data within the meaning of that provision, in relation to that provider, where the latter has the legal means which enable it to identify the data subject with additional data which the internet service provider has about that person.*Article 2 or the purposes of Directive 95/46/EC:(a) 'personal data' shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;Для того, щоб з’ясувати “а як же в Україні” автор цього запису і звернувся за відповідними роз’ясненнями до Уповноваженого. NB. Одразу зауважу, що ця публікація жодним чином не претендує на наукову новизну, а радше має прикладний характер і жодної критики (нууу, майже) чи власної точки зору автора ви тут не побачите. Відповідь на обґрунтованість таких роз’яснень може надати тільки судова практика (чи затвердження нової редакції Порядку).Отже, щодо відповіді на перше запитання:У листі №3/9 – 3277585.16/26-131 від 16 листопада 2016 року (посилання в кінці публікації) Уповноважений приходить до наступного висновку:[…]усі IP-адреси доцільно відносити до персональних даних абонентів (незалежно від укладення письмового договору чи користування послугами за передоплатою). Таким чином, на таку інформацію мають поширюватися положення законодавства України у сфері захисту персональних даних.Що це значить? - В “Правилах користування” / “Угоді користувача” / “Політиці конфіденційності” в розділі, що стосується персональних даних кінцевих користувачів, бажано прописувати положення щодо надання згоди суб’єкта персональних даних (кінцевих користувачів) на оброку в т.ч. ІР –адрес, з яких кінцевий користувач з’єднується із веб-сайтом.

Читайте статтю: Фіксація змісту веб-сторінки в мережі Інтернет як елемент здійснення права на захист авторських прав на твори, розміщені в мережі Інтернет

Отже, відповідь на перше питання позитивна. Але чи є обробка ІР-адрес кінцевих користувачів обробкою персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних в розумінні ст. 9 Закону? У листі № 2/9 – 3279062.16/26-131 від 12 грудня 2016 року (посилання в кінці публікації) Уповноважений зазначає, що […]Стосовно того, чи можна вважати IP-адреси кінцевих користувачів веб-сайту, за допомогою яких можна ідентифікувати особу, Персональними даними про її місцеперебування та/або шляхи пересування, слід зазначити, що IP-адреси можна віднести до вказаної категорії персональних даних лише у випадку їх систематизації про конкретних суб’єктів персональних даних. Таким чином, у випадку, якщо володілець персональних не здійснює систематизацію інформації стосовно того коли, з якої «динамічної ІР- адреси», які сторінки відвідав суб’єкт персональних даних, повідомляти Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, не потрібно.Тобто, якщо ви здійснюєте “систематизацію” ІР-адрес кінцевих користувачів, то повідомляти Уповноваженого про таку обробку ПОТРІБНО. Але що таке “систематизація” і яке її тлумачення? Яка межа між “систематизацією” та її відсутністю? Тлумачення зазначеного поняття в Законі не надається. Якщо звернутись до довідників, то можна побачити наступне:

1. СИСТЕМАТИЗА́ЦІЯ, ї, жін. Дія за значенням систематизувати. Словник української мови: в 11 томах. — Том 9, 1978. — Стор. 204.
2. СИСТЕМАТИЗУВАТИ, ую, уєш, недок. і док., перех. Приводити в систему (у 1, 2 знач.). Словник української мови: в 11 томах. — Том 9, 1978. — Стор. 205.
3. СИСТЕ́МА, и, жін. 1. Порядок, зумовлений правильним, планомірним розташуванням та взаємним зв'язком частин чого-небудь. 4. Сукупність яких-небудь елементів, одиниць, частин, об'єднуваних за спільною ознакою, призначенням. Словник української мови: в 11 томах. — Том 9, 1978. — Стор. 203.

Тобто, тлумачення цього терміну може бути надзвичайно широким.Чи використовують більшість веб-сайтів бази даних інформації про користувачів? – Мабуть, що так. (Якщо це не веб-сайт рівня “hello world”). Чи побудовані такі бази даних (зокрема і щодо ІР-адрес) за спільною ознакою, призначенням, тобто приведені у систему? Безперечно.Для прикладу, чи помічали Ви як користувач коли-небудь при авторизації сповіщення типу “Увага! вхід в обліковий запис здійснено з іншої ІР-адреси”? Чи в налаштуваннях певного веб-сайту вказати, що доступ може бути здійснено тільки з певної ІР-адреси чи пулу ІР-адрес (переважно корпоративні ресурси). Це тільки “видимі” для кінцевого користувача приклади. До слова, більшість форумів також містять бази даних, що відображають зв’язок історії “ІР-адреса – користувач” (переважно в цілях модерації).