Правовий погляд на НА COOKIES, або як веб-сайти збирають інформацію про користувачів

Один із заходів Асоціації правників України із цікавою та оригінальною назвою «Кукіс – це не тільки печиво, а й дані відвідуваності сайту» був присвячений правовому регулюванню збирання, обробки, зберігання та поширення інформації про користувачів веб-сайтів, йдетья на сайті ukrainepravo.com

Як зазначив Іларіон Томаров, радник, керівник практики інтелектуальної власності ЮФ «Василь Кісіль і Партнери» на початку заходу: «Загальновідомо, що веб-сайти збирають про нас інформацію, в тому числі, і за допомогою cookies. Це, так би мовити, наша плата за користування багатьма, в тому числі й безкоштовними, зручними сервісами, які стали невід’ємною частиною нашого життя».

Однак, як вони це здійснюють, для чого, чим це регулюється та як захистити права користувачів не зрозуміло. Наразі українське законодавство не приділяє окрему увагу даному питанню, водночас, завдяки загальним нормам про захист інформації про особу, її персональних та конфіденційних даних, уже існує судова практика із правового захисту користувачів Інтернету. Саме даній темі був присвячений захід.

«ВИПРОМІНЮВАННЯ» ДАНИХ В ІНТЕРНЕТІ

Основним доповідачем виступив Юрій Карлаш, адвокат, патентний повірений ЮФ Petosevic, який для характеристики існуючих відносин в даній сфері обрав термін «випромінювання», оскільки користуючись веб-сайтами, ми своєрідним чином «випромінюємо» про себе інформацію.

Ці дані, навіть ті, що, на перший погляд, не несуть в собі можливість ідентифікувати особу та не є персональними, теж мають приховану цінність та у разі необхідності дають підстави для отримання певної інформації про особу.

Так відбувається, поміж іншого, завдяки великому, різноманітному масиву даних про особу, які обробляються комп’ютерними системами, а також завдяки прогресивним обчислювальним можливостям техніки (зокрема, шляхом обробки та співставлення). Таким чином, за допомогою вказаних характеристик, існує більша вірогідність досягти отримання цілісного образу користувача окремого веб-сайту шляхом його ідентифікації чи деанонімізації, ніж якби це здійснювалось за допомогою аналізу інформації з різних джерел.

Як приклад застосування сучасних техноллогій та обробки інформації, можна привести концепцію роботи «розумних» електролічильників, які протягом довгого періоду часу збирають та обробляють інформацію та за допомогою яких, в подальшому, можна визначити, який прилад працює у квартирі на даний момент шляхом визначення навантаження, яке здійснюється на електромережу. По аналогії, схожий процес відбувається щодня і під час користування мережею Інтернет.

Читайте статтю: Фіксація змісту веб-сторінки в мережі Інтернет як елемент здійснення права на захист авторських прав на твори, розміщені в мережі Інтернет

У ЯКИХ ВИПАДКАХ ЗБИРАЄТЬСЯ ТА ОБРОБЛЯЄТЬСЯ ІНФОРМАЦІЯ ПРО КОРИСТУВАЧА?

Аналізуючи випадки, в яких «випромінюються» дані про користувача, спікер виділив наступні:

- здійснення «прив’язки» особи до окремої комп’ютерної техніки: придбання комп’ютерної техніки з оформленням документів, укладання договору з Інтернет-провайдером, відеозапис продавцем покупця під час здійснення покупки техніки, відеоспостереження та відеозапис користувача в Інтернет-кав’ярні;

- реєстрація на сайті через різноманітні програми-додатки - введення свого імені, електронної пошти, номеру телефону, місця проживання (наприклад, у разі замовлення доставки товару);

- вмикання геолокації;

- відвідування веб-сайта, інформація про що зберігається та відображається в історії браузера;

- відображення даних у «журналах» відвідувань/підключень, які ведуть хостинг-провайдери, Інтернет-провайдери тощо;

- саме по собі користування комп’ютером, телефоном чи іншим пристроєм, перебування у мережі;

- участь в опитуваннях, створених за допомогою спеціальних програм, які, наприклад, аналізують профіль користувача в соціальній мережі чи формують результат на основі відповідей щодо особи користувача;

- додавання «друзів», проставлення геолокації, поміток про участь у заходах чи відміток на фото;

- розміщення фото-, відео- чи аудіофайлів на відкритих чи закритих для загального доступу сторінках веб-сайтів;

- повідомлення в мессенджерах, публікації, «пости», «твіти» в соціальних мережах;

- здійснення пошукових запитів щодо себе, інших осіб;

- здійснення онлайн оплат товарів та послуг;

- збереження даних в форматі «автозаповнення»; проставляння мітки «запам’ятати мене» тощо.

Даний перелік випадків не є виключним та передбачає лише основні ситуації, в яких здійснюється стороннє збереження та обробка інформації та даних про користувача.

Як приклад того, що інформація, яка вводиться користувачами чи створюється під час користування веб-сайтами, дійсно обробляється та зберігається, можна навести спір, який розглядався судами у 2017 році (ухвала ВССУ від 11.09.2017 року, №68885193 у ЄДРСР) між компанією, що надає доступ роботодавцям до резюме потенційних працівників, та користувачем даного веб-сайту. Суть спору полягала у небажанні клієнта сайту з рекрутингу проводити оплату на користь власника веб-сайту у зв’язку з нібито невикористанням користувачем можливостей, що надаються цим сервісом.

В ході розгляду справи Науково-дослідним центром судової експертизи було проведено експертизу, в тому числі і дослідження системних файлів ресурсу, в ході якої було встановлено час та тривалість користування веб-сайту даним клієнтом, підтверджено факт використання ним можливостей даного сервісу, зокрема, шляхом перегляду та скачування резюме потенційних працівників (було зафіксовано факт перегляду/завантаження 1614 резюме протягом двох місяців).

У зв’язку з цим, заперечення клієнта веб-сервісу щодо неотримання ним послуг ресурсу були визнані необгрунтовними та такими, що не відповідають обставинам справи. Поміж іншим, можливість ідентифікації клієнта в даній ситуації стала можливою завдяки присвоєнню кожному користувачеві ресурсу унікального ідентифікатора (ID номера) під час його реєстрації на веб-сайті.

Читайте статью: Законопроект №6688: «Роскомнадзор» в Украине или инструмент защиты от агрессора

ЮРИСДИКЦІЯ - ПРАВО ЯКОЇ ДЕРЖАВИ ОБРАТИ?

Водночас, спікер відмічає, що у всіх інформаційних правовідносинах питання щодо охорони та таємниці приватного життя є досить важливим, однак не єдиним. При його розгляді, окрема увага приділяється визначенню юрисдикції вирішення спору щодо збору інформації - іншими словами, визначенню того, право якої держави слід застосовувати в конкретному випадку.

Щоб зрозуміти, яким чином відбувається прив’язка до юрисдикції, слід скористатись двома статтями Закону України «Про міжнародне приватне право».

Так, у ч. 1 ст. 22 Закону зазначається, що до особистих немайнових прав застосовується право держави, у якій мала місце дія чи інша обставина, що стала підставою для вимоги про захист таких прав, якщо інше не передбачене законом.

Водночас, ч. 1 ст. 49 Закону визначає право, що має застосовуватись до зобов’язань про відшкодування шкоди. В такому разі права та обов’язки визначаються також правом держави, у якій мала місце дія або інша обставина, що стала підставою для вимоги про відшкодування шкоди.

Тобто, і у випадку порушення особистих немайнових прав, і у випадку завдання шкоди, за загальним правилом, повинно застосовуватись право держави, у якій мала місце дія чи інша обставина, яка стала підставо для вимоги.

Окрім цього, спікер наголосив, що слід враховувати також наявність укладених між державами Договорів про надання взаємної правової допомоги, їх зміст та практику застосування, оскільки в такому разі може застосовуватись, наприклад, право держави, у якій ініційовано судовий процес.

Так, наприклад, згідно із ст. 33 Договору між Україною та Соціалістичною Республікою В’єтнам про правову допомогу і правові відносини у цивільних та кримінальних справах, якщо заподіювач шкоди і потерпілий є громадянами однієї Договірної Сторони, застосовується законодавство Договоріної Сторони, до суду якої подано позовну заяву. Окрім цього, потерпілому надається право пред’явити позовну заяву також до суду Договірної Сторони, на території якої мешкає відповідач.

Також визначення юрисдикції є важливим питанням, зважаючи на нещодавні зміни в політиці захисту персональних даних у ЄС (General Data Protection Regulation (GDPR)). В даному випадку, слід зважати, що завантаження cookies на комп’ютерний пристрій, якщо цей пристрій знаходиться на території ЄС, буде вважатись збором інформації на території ЄС (навіть якщо користувач не є громадянином ЄС), тож в такому випадку буде застосовуватись право ЄС (article 29 Data Protection Working Party).

Оскільки cookies є досить поширеним інструментом, то спікер зауважив, на що ж слід звертати увагу під час обробки даних. В такому разі маркером є те, чи використовує власник технології веб-сайту сторонні програмні засоби, які встановлюються на комп’ютерний пристрій користувача, чи ні.

Таким чином, виникає два логічні запитання, які потрібно поставити при вивченні механізму отримання даних з кінцевого пристрою, а саме:

1)Чи власник веб-ресурсу отримує від пристрою користувача лише інформацію, яку пристрій надсилає йому, без розміщення засобів збирання даних на пристрої користувача?

2)Чи власник веб-ресурсу отримує від пристрою користувача інформацію, яку пристрій надсилає завдяки розміщенню засобів збирання даних на пристрої користувача?

Якщо встановлення таких засобів збирання даних відбувається, наприклад, на комп’ютерний пристрій, який знаходиться в Україні, то в такому разі має застосовуватись законодавство України.

ЩО Ж ТАКЕ COOKIES І ДЛЯ ЧОГО ВОНИ ЗАСТОСОВУЮТЬСЯ?

Перш за все, слід розуміти, що cookies - це файли, які завантажуються відвідуваним веб-сайтом на кінцевий пристрій користувача.

Вони можуть зберігатись на пристрої тимчасово (наприклад, лише протягом відвідування конкретного веб-сайту) або можуть існувати протягом більш тривалого періоду.

Існує велика кількість технологій збору інформації про користувача за допомогою cookies, яку за цілями спікер умовно поділив на два види: cookies, які використовуються для забезпечення нормального використання веб-сайту окремим користувачем (наприклад, запам’ятовування вибору бажаної мови веб-сайту, зберігання паролей тощо), або ті, що використовуються для здійснення веб-аналітики, формування в подальшому таргет-груп, що використовуватиметься при рекламування товарів чи послуг.

Наприклад, в таких випадках cookies допомагають, зокрема:

- зберігати один раз обраний для покупки товар в «Кошику» під час подальшого користування веб-сайтом;

- без додаткових перевірочних заходів відвідувати веб-сайт після обрання функції «Запам’ятати мене» при першому вході;

- визначити, яку рекламу більш доцільно показати користувачеві, враховуючи відвідані ним раніше веб-сайти.

Читайте статтю: Затягування судового розгляду справи: законні способи не зовсім законних дій

ОБМЕЖЕННЯ ЩОДО ОБРОБКИ ІНФОРМАЦІЇ ПРО ФІЗИЧНУ ОСОБУ

Статус інформації і, як наслідок, особливості її збирання, обробки, зберігання та розповсюдження, залежить від того, чи є така інформація конфіденційною, чи знаходиться у відкритому доступі.

Згідно із ст. 20 Закону України «Про інформацію» будь-яка інформація є відкритою, крім тієї, що віднесена законом до інформації з обмеженим доступом.

Водночас, відповідно до ст. 11 Закону («Інформація про фізичну особу») не допускається збирання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини.

При чому під інформацією про фізичну особу (персональні дані) розуміють відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Таким чином, спікер зазначив, що свобода збирання (завантаження cookies), зберігання, використання, поширення інформації про фізичну особу залежить від того, чи є така інформація персональними даними про особу (які можуть бути і відкритими, і конфіденційними) або конфіденційними персональними даними.

ЯКА ІНФОРМАЦІЯ ПРО ОСОБУ Є КОНФІДЕНЦІЙНОЮ?

Визначаючи, які дані про особу є конфіденційними, можна звернутись до наступних законодавчих положень.

Так, згідно із ст. 5 Закону України «Про міжнародне приватне право» персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Водночас відповідно до ст. 11 Закону України «Про інформацію» до конфіденційної інформації про фізичну особу надежать, зокрема, дані про національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, адресу, дату та місцезнаходження особи.

Однак даний перелік не є виключним, оскільки навіть окрема особа додатково може встановлювати певний перелік відомостей про себе, які є конфіденційними та які не знаходяться у вільному доступі.

Водночас, за загальним правилом, якщо із певної інформації чи сукупності відомостей неможливо ідентифікувати особу, то відсутні підстави вважати таку інформацію конфіденційною. І навпаки, якщо певний обсяг інформації дозволяє конкретно ідентифікувати особу, то дана інформація може бути, в тому числі і в судовому порядку, визнана конфіденційною та такою, на поширення якої необхідно отримувати згоду особи.

Для прикладу спікер навів фабулу справи, яка розглядалась судами в 2016 році (ухвала ВССУ від 27.07.2016 року, №59288070 у ЄДРСР).

Предметом спору стало розповсюдження журналістом у своїй публікації персональних даних про особу військовослужбовця, який був пораненим та у якого напередодні журналіст взяв інтерв’ю. Як зазначається у рішенні суду, військовослужбовець просив журналіста не використовувати його інформацію для публікації, проте той, скориставшись його станом після операції, отримав подробиці його особистого життя та використав їх у публікації.

Водночас суд, розглянувши справу, дійшов висновку, що дії журналіста були протиправними, оскільки той обсяг інформації, який був викладений у статті стосовно позивача (ім'я, попереднє місце проживання, місце отримання поранення, хто його звільняв з полону, ім'я командира, місце роботи родичів), дозволяє конкретно ідентифікувати особу позивача, у зв’язку з чим отримання його згоди на публікацію цих даних було обов'язковим.

Для того, щоб визначити чи можна за певним обсягом інформації ідентифікувати особу, повинен використовуватись критерій необхідного на це обсягу часу та зусиль. Іншими словами, якщо ідентифікація особи за певним обсягом даних вимагає невиправдано великої кількості часу і зусиль, то така особа не може вважатись такою, що може бути ідентифікована.

Аналогічне твердження міститься в Повідомленні Європейської Комісії Європейського Парламенту, Раді, Економічно-соціальному комітету та Комітету регіонів "Комплексний підхід до захисту персональних даних в Європейському союзі" від 04.11.2010 р. ЄОМ(2010) 609 та у листі Міністерства юстиції України від 15.11.2013 р. №13232-0-26-13/61.

Таким чином, не всі дані про особу її ідентифікують, оскільки партійність, релігійність, національність, стать, професія, будь-які біометричні, соціальні дані та навіть адреса проживання є за своєю природою родовими ознаками і можуть стосуватися одночасно багатьох людей. Проте, у разі поєднання даних про особу з її іменем та прізвищем, вони вважатимуться персональними даними.

Водночас, за загальним правилом, виключно прізвище та ім'я особи не є персональними даними, оскільки за цими даними неможливо конкретно ідентифікувати особу, а для ідентифікації такої особи за прізвищем та іменем необхідні додаткові дані про особу.

До такого висновку дійшов і Апеляційний суд міста Києва при розгляді однієї із справ у 2014 році (ухвала від 20.05.2014 року у справі №22-5948/14), у якій один із користувачів веб-сайту Укрзалізниці просив суд зобов’язати власника веб-сайту виключити з бази даних інформацію про його прізвище, ім’я, по батькові, які він вводив при покупці білета на потяг.

Окрім цього дискусії викликають і питання віднесення ІР-адреси абонента до конфіденційної інформації. З даного приводу було підготовлено Лист Заступника Керівника Секретаріату Уповноваженого Верховної Ради України з прав людини №3/9-3277585.16/26-131 від 16 листопада 2016 року, згідно з яким, за загальним правилом, віднесення IP-адреси абонента до персональних даних залежить від форми правовідносин між абонентом та телекомунікаційним оператором (на умовах письмового договору або за передоплатою).

Тобто, при укладенні з абонентом договору, ІР-адреса абонента вважатиметься його персональними даними, адже даватиме телекомунікаційному оператору змогу ідентифікувати такого абонента.

Водночас IP-адреса особи, яка не є ідентифікованою (зокрема, у разі, якщо абонент користується телекомунікаційними послугами без укладення письмового договору або добровільної особистої реєстрації на веб-сайті телекомунікаційного оператора), за загальним правилом, не належатиме до персональних даних.

ВИСНОВКИ

Підсумовуючи зазначене, спікер виділив наступні основні тези, які слід враховувати при користуванні cookies, веб-сайтами та мережею Інтернет загалом:

1) Завантаження cookies на пристрій користувача, який знаходиться в Україні, за загальним правилом зумовлює необхідність застосування законодавства України в частині обробки даних про користувача та обов'язковості (чи необов'язковості) отримання його згоди на це.

2) Якщо власник веб-сайту, який за допомогою cookies отримує інформацію про відвідувача веб-сайту, має витратити невиправдано велику кількість часу і докласти значних зусиль для ідентифікації особи відвідувача протягом строку зберігання даних, і, якщо ці дані формально підпадають під категорію конфіденційної інформації, такі дані не є персональними та не є конфіденційними і на них не поширюється Закон України “Про захист персональних даних”, в тому числі і обов'язок отримання згоди на розповсюдження цих даних.

Читайте статью: Аутсорсинг и аутстаффинг

Автор статті: Зозуля Наталія