IP-адреси кінцевих користувачів веб-сайтів як персональні дані. Українські реалії

Персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Відповідно до положень Закону України “Про захист персональних даних” (далі за текстом - Закон):

Обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.

Відповідно до положень ст. 23 Закону Уповноважений має такі повноваження у сфері захисту персональних даних:6) надавати рекомендації щодо практичного застосування законодавства про захист персональних даних, роз’яснювати права і обов’язки відповідних осіб за зверненням суб’єктів персональних даних, володільців або розпорядників персональних даних, структурних підрозділів або відповідальних осіб з організації роботи із захисту персональних даних, інших осіб;10) складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом;11) інформувати про законодавство з питань захисту персональних даних, проблеми його практичного застосування, права і обов’язки суб’єктів відносин, пов’язаних із персональними даними;

Крім того, на підставі положень ст. 9 Закону Уповноважений визначає види обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, та категорії суб’єктів, на яких поширюється вимога щодо про обробку персональних даних, визначаються Уповноваженим.А на володільців персональних даних покладено обов’язок повідомляти Уповноваженого про обробку такої категорії персональних даних упродовж тридцяти робочих днів з дня початку такої обробки.

Так, наказом Уповноваженого № 1/02-14 від 08.01.2014 р. “Про затвердження документів у сфері захисту персональних даних” затверджено “Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації” (далі за текстом - Порядок).Відповідно до п. 1.2. Порядку обробка персональних даних, що становить особливий ризик для прав і свобод суб’єктів - це будь-яка дія або сукупність дій, а саме збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення, у тому числі з використанням інформаційних (автоматизованих) систем, яка здійснюється відносно персональних даних про:[…]- місцеперебування та/або шляхи пересування особи.---Вступна частина закінчилась. Далі цікавіше. Як же це все додатково пов’язано з IT, спитаєте Ви? Наприклад, Ви – власник веб-сайту (форум, інтернет-магазин, соціальна мережа тощо), Ваш веб-сайт переглядають кінцеві користувачі з делегованих їм ІР-адрес (такі ІР-адреси можуть бути “білими”/ “реальними”/ “зовнішніми”, тобто делегованими визначеним абонентам ISP; “динамічними”, тобто делегованими з наявного пулу IP-адресів ISP у певний момент часу та змінюється при кожному наступному підключенні кінцевого-користувача; “сірими”, тобто бути за Network Address Translation (NAT) – одна “зовнішня” ІР адреса для певної відносно великої кількості визначеного ISP) і Ви використовуєте (здійснюєте обробку) таких данихВідтак, постають два логічні питання:

1. Чи є ІР-адреси, зокрема динамічні, персональними даними в розумінні українського законодавства?
2. Якщо відповідь на попереднє питання позитивна, то чи є оброка ІР-адрес кінцевих користувачів веб-сайту обробкою персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних в розумінні ст. 9 Закону?

Звісно, питання можливості віднесення ІР-адрес до персональних даних виникає в багатьох юрисдикціях. Для розуміння відповідної практики в США раджу ознайомитись з публікацією Joshua J. McIntyre “Balancing expectations of online privacy: why internet protocol (IP) addresses should be protected as personally identifiable information”.Питання чи є ІР-адреси, зокрема динамічні, персональними даними віднедавна вирішено в ЄС:.Так, Європейський Суд Справедливості у рішенні по справі C-582/14 Patrick Breyer Vs Bundesrepublik Deutschland від 19 жовтня 2016 року зазначив:Article 2(a) of Directive 95/46/EC* of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data must be interpreted as meaning that a dynamic IP address registered by an online media services provider when a person accesses a website that the provider makes accessible to the public constitutes personal data within the meaning of that provision, in relation to that provider, where the latter has the legal means which enable it to identify the data subject with additional data which the internet service provider has about that person.*Article 2 or the purposes of Directive 95/46/EC:(a) 'personal data' shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;Для того, щоб з’ясувати “а як же в Україні” автор цього запису і звернувся за відповідними роз’ясненнями до Уповноваженого. NB. Одразу зауважу, що ця публікація жодним чином не претендує на наукову новизну, а радше має прикладний характер і жодної критики (нууу, майже) чи власної точки зору автора ви тут не побачите. Відповідь на обґрунтованість таких роз’яснень може надати тільки судова практика (чи затвердження нової редакції Порядку).Отже, щодо відповіді на перше запитання:У листі №3/9 – 3277585.16/26-131 від 16 листопада 2016 року (посилання в кінці публікації) Уповноважений приходить до наступного висновку:[…]усі IP-адреси доцільно відносити до персональних даних абонентів (незалежно від укладення письмового договору чи користування послугами за передоплатою). Таким чином, на таку інформацію мають поширюватися положення законодавства України у сфері захисту персональних даних.Що це значить? - В “Правилах користування” / “Угоді користувача” / “Політиці конфіденційності” в розділі, що стосується персональних даних кінцевих користувачів, бажано прописувати положення щодо надання згоди суб’єкта персональних даних (кінцевих користувачів) на оброку в т.ч. ІР –адрес, з яких кінцевий користувач з’єднується із веб-сайтом.

Читайте статтю: Фіксація змісту веб-сторінки в мережі Інтернет як елемент здійснення права на захист авторських прав на твори, розміщені в мережі Інтернет

Отже, відповідь на перше питання позитивна. Але чи є обробка ІР-адрес кінцевих користувачів обробкою персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних в розумінні ст. 9 Закону? У листі № 2/9 – 3279062.16/26-131 від 12 грудня 2016 року (посилання в кінці публікації) Уповноважений зазначає, що […]Стосовно того, чи можна вважати IP-адреси кінцевих користувачів веб-сайту, за допомогою яких можна ідентифікувати особу, Персональними даними про її місцеперебування та/або шляхи пересування, слід зазначити, що IP-адреси можна віднести до вказаної категорії персональних даних лише у випадку їх систематизації про конкретних суб’єктів персональних даних. Таким чином, у випадку, якщо володілець персональних не здійснює систематизацію інформації стосовно того коли, з якої «динамічної ІР- адреси», які сторінки відвідав суб’єкт персональних даних, повідомляти Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, не потрібно.Тобто, якщо ви здійснюєте “систематизацію” ІР-адрес кінцевих користувачів, то повідомляти Уповноваженого про таку обробку ПОТРІБНО. Але що таке “систематизація” і яке її тлумачення? Яка межа між “систематизацією” та її відсутністю? Тлумачення зазначеного поняття в Законі не надається. Якщо звернутись до довідників, то можна побачити наступне:

1. СИСТЕМАТИЗА́ЦІЯ, ї, жін. Дія за значенням систематизувати. Словник української мови: в 11 томах. — Том 9, 1978. — Стор. 204.
2. СИСТЕМАТИЗУВАТИ, ую, уєш, недок. і док., перех. Приводити в систему (у 1, 2 знач.). Словник української мови: в 11 томах. — Том 9, 1978. — Стор. 205.
3. СИСТЕ́МА, и, жін. 1. Порядок, зумовлений правильним, планомірним розташуванням та взаємним зв'язком частин чого-небудь. 4. Сукупність яких-небудь елементів, одиниць, частин, об'єднуваних за спільною ознакою, призначенням. Словник української мови: в 11 томах. — Том 9, 1978. — Стор. 203.

Тобто, тлумачення цього терміну може бути надзвичайно широким.Чи використовують більшість веб-сайтів бази даних інформації про користувачів? – Мабуть, що так. (Якщо це не веб-сайт рівня “hello world”). Чи побудовані такі бази даних (зокрема і щодо ІР-адрес) за спільною ознакою, призначенням, тобто приведені у систему? Безперечно.Для прикладу, чи помічали Ви як користувач коли-небудь при авторизації сповіщення типу “Увага! вхід в обліковий запис здійснено з іншої ІР-адреси”? Чи в налаштуваннях певного веб-сайту вказати, що доступ може бути здійснено тільки з певної ІР-адреси чи пулу ІР-адрес (переважно корпоративні ресурси). Це тільки “видимі” для кінцевого користувача приклади. До слова, більшість форумів також містять бази даних, що відображають зв’язок історії “ІР-адреса – користувач” (переважно в цілях модерації).

Висновки? Якщо Ви використовуєте бази даних з інформацією про кінцевих користувачів з їх ІР-адресами бажано все ж направляти Уповноваженому заяву про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних в категорії “місцеперебування та/або шляхи пересування особи” відповідно до вимог ПорядкуЯкі ж потенційні наслідки цього не робити? Наприклад, в Кодексі України про адміністративні правопорушення, а саме в ст. 188-39. “Порушення законодавства у сфері захисту персональних даних”Неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей - тягнуть за собою накладення штрафу на громадян від ста до двохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від двохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню, -тягне за собою накладення штрафу на громадян від трьохсот до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від п’ятисот до двох тисяч неоподатковуваних мінімумів доходів громадян.

В цілому, потенційно непогана стаття для наповнення бюджету, чи не так?Виникає тільки питання яким чином Вас як власника веб-сайту віднайти і ідентифікувати… особливо якщо Ви не є продавцем (виконавцем, постачальником) товарів, робіт, послуг в електронній комерції, але це вже зовсім інша тема для дискусії…Автор цих рядків має надію на змістовну дискусію і на подальше поширення цієї інформації.

Скан-копія листа №3/9 – 3277585.16/26-131 від 16 листопада 2016 року
Скан-копія листа № 2/9 – 3279062.16/26-131 від 12 грудня 2016 року

Лист №3/9 – 3277585.16/26-131 від 16 листопада 2016 року:

У відповідь на Ваше звернення до Уповноваженого Верховної Ради України з прав людини (далі - Уповноважений) від 20 жовтня 2016 року щодо надання роз’яснення окремих положень законодавства у сфері захисту персональних даних повідомляється таке.

Правові відносини, пов’язані із захистом і обробкою персональних даних, регулюються Законом України «Про захист персональних даних» (далі - Закон). Відповідно до статті 2 Закону персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Ключовим у вищенаведеному визначенні є поняття «ідентифікована особа». Ідентифікованою особа вважається, якщо її можна безпомилково виділити серед інших.

Вирішення питання щодо того, чи належить та чи інша інформація до персональних даних повністю залежить від того, чи можна цю особу фактично ідентифікувати.

Тобто, за загальним правилом віднесення IP-адреси абонента до персональних даних залежить від форми правовідносин між абонентом та телекомунікаційним оператором (на умовах письмового договору або за передоплатою). Тобто, при укладенні з абонентом договору, ІР-адреса абонента вважатиметься його персональними даними, адже даватимуть телекомунікаційному оператору змогу ідентифікувати такого абонента. Водночас IP-адреса особи, яка не є ідентифікованою (користується телекомунікаційними послугами без укладення письмового договору або добровільної особистої реєстрації на веб-сайті телекомунікаційного оператора), за загальним правилом, не належатиме до персональних даних.

У зв’язку з розвитком інформаційно-телекомунікаційного сектора виникають нові можливості для ідентифікації фізичних осіб, які користуються телекомунікаційними послугами. Зокрема, телекомунікаційний оператор може здійснювати обробку інформації, яка прямо чи опосередковано вказуватиме на використання конкретною особою певної адреси.

Окрім цього можлива ситуація, коли абонент певний час користувався телекомунікаційними послугами без ідентифікації, проте його було певним чином ідентифіковано в подальшому. У такому випадку уся інформація про абонента (зокрема IP-адреса), яка зберігалась телекомунікаційним оператором відносно нього, стає його персональними даними.

У разі призначення телекомунікаційним оператором абоненту «динамічної IP-адреси», така IP-адреса призначається на тимчасовій основі для кожного підключення до Інтернету та змінюється при кожному наступному підключенні. Але телекомунікаційні оператори ведуть облік таких IP-адрес, що були призначені у певний час конкретному кінцевому обладнанню (пристрою).

Володільці веб-сайтів, доступ до яких здійснюється із використанням «динамічної IP-адреси» також мають тенденцію вести облік інформації щодо того коли, з якої «динамічної IP-адреси», які сторінки відвідав користувач, та зберігати таку інформацію протягом невизначеного часу після того, як користувач припинив підключення до Інтернету.

Отже, самої по собі «динамічної IP-адреси» не достатньо, щоб дозволити постачальнику послуг ідентифікувати користувача своєї веб -сторінки. Проте, він може зробити це, якщо він поєднає динамічну IP-адресу з іншими додатковими даними, збереженими телекомунікаційним оператором.

З огляду на вищевикладене, усі IP-адреси доцільно відносити до персональних даних абонентів (незалежно від укладення письмового договору чи користування послугами за передоплатою). Таким чином, на таку інформацію мають поширюватися положення законодавства України у сфері захисту персональних даних

Лист № 2/9 – 3279062.16/26-131 від 12 грудня 2016 року:

У відповідь на Ваше звернення, що надійшло до Уповноваженого Верховної Ради України з прав людини (далі - Уповноважений) 16 листопада 2016 року щодо надання роз’яснення законодавства у сфері захисту персональних даних повідомляється таке.

Статтею 9 Закону України «Про захист персональних даних» (далі -Закон) встановлено обов’язок володільця персональних даних повідомляти Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, упродовж тридцяти робочих днів з дня початку такої обробки. Види обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, та категорії суб’єктів, на яких поширюється вимога щодо повідомлення, визначаються Уповноваженим.

Так, наказом Уповноваженого від 8 січня 2014 року № 1/02-14 затверджено «Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов'язану із захистом персональних даних при їх обробці» (далі - Порядок), яким визначено, що для цілей Порядку обробка персональних даних, що становить особливий ризик для прав і свобод суб’єктів - це будь-яка дія або сукупність дій, а саме збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення, у тому числі з використанням інформаційних (автоматизованих) систем, яка здійснюється відносно персональних даних, зокрема про місцеперебування та/або шляхи пересування особи.

Право на свободу пересування закріплене у статті 33 Конституції України, статті 13 Загальної декларації прав людини, статті 2 Протоколу № 4 Конвенції про захист прав і основних свобод людини, статті 12 Міжнародного пакту про громадянські та політичні права, іншими міжнародними документами.

Право на свободу пересування означає можливість фізичної особи:

а) вільно пересуватись по території України (після 14 років) у будь- якому напрямку, у будь-який спосіб, у будь-який час, за винятком обмежень, які встановлюються законом;

б) вільно виїхати за її межі і безперешкодно повернутись до України (після 16 років);

в) вільно визначати місце свого перебування, обирати способи і засоби пересування.

Обмеження права на свободу пересування та вільний вибір місця проживання в Україні можливе лише на підставі закону в інтересах національної безпеки, підтримання правопорядку, охорони здоров'я, захисту прав та свобод інших осіб, а також в умовах надзвичайного та воєнного стану.

Зважаючи на те, що контроль за місцем перебування особи та шляхами її пересування може вплинути на свободу реалізації зазначеного права обробка персональних даних пов’язана з місцеперебуванням та/або шляхами пересування особи визначена як така, що становить особливий ризик для прав і свобод суб’єктів персональних даних.

Інформація щодо місця перебування особи та шляхів її пересування включає в себе інформацію, що дає можливість визначити місцеперебування конкретної особи у певному часовому просторі. Наприклад: зняття готівкових коштів в банкоматах, використання платіжної чи будь-якої іншої іменної картки при розрахунках за товари та послуги, білінгові системи мобільних операторів, геолокаційні послуги мобільних операторів, використання іменних квитків тощо. Разом з тим, обробка персональних даних про місце проживання в дану категорію не потрапляє, а отже не тягне за собою обов’язку володільця персональних даних повідомляти про таку обробку Уповноваженого.

Вирішуючи питання про те, чи є IP-адреса кінцевого користувача веб-сайту, обробку якої здійснює володілець веб-сайту обробкою персональних даних, слід враховувати що, відповідно до статті 2 Закону персональні дані - це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Стосовно того, чи можна вважати IP-адреси кінцевих користувачів веб-сайту, за допомогою яких можна ідентифікувати особу, Персональними даними про її місцеперебування та/або шляхи пересування, слід зазначити, що IP-адреси можна віднести до вказаної категорії персональних даних лише у випадку їх систематизації про конкретних суб’єктів персональних даних. Таким чином, у випадку, якщо володілець персональних не здійснює систематизацію інформації стосовно того коли, з якої «динамічної ІР- адреси», які сторінки відвідав суб’єкт персональних даних, повідомляти Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, не потрібно.

Автор статті: Зеров Костянтин