http://www.capital.bg/biznes/konsult/2017/06/04/2980894_predstavliava_li_ip_adresut_lichni_danni/
Представлява ли IP адресът лични данни?
Комисията за защита на личните данни приема, че IP адресът сам по себе си не може да идентифицира дадено физическо лице, но в комбинация с допълнителна информация това е възможно
 
04 юни 2017, 11:37 | | Видяна: 323
 

При онлайн врачка:
- Искам да узная бъдещето си.
- Кажете ми IP адреса си
.

Въпреки че това е само анекдот, темата за IP адресите и информацията, която те биха могли да разкрият в контекста на все по-строгите правила за защита на лични данни, е много актуална.

Какво представлява IP адресът?

Интернет протокол (IP) адресът представлява число, което уникално идентифицира един компютър или друг хардуер, свързан към интернет, и го свързва с други, когато изпращат информация през интернет или локална мрежа.

Всеки IP адрес се състои от няколко части, като първите секции идентифицират мрежата, а последната секция идентифицира индивидуалното устройство, т.е. компютър, сървър и др. Следователно информацията, която би могъл да даде IP адресът, ще касае крайното устройство, което от своя страна би могло да се свърже с конкретно лице посредством сключен договор с интернет доставчик дотолкова, доколкото на база на него е генериран и съответният IP адрес.

В зависимост от връзката на даден потребител с интернет IP адресът може да бъде статичен IP адрес (един и същ всеки път), който лесно би могъл да разкрие информация за конкретния потребител, или динамичен IP адрес (различен за всяка сесия), който обикновено не предоставя автоматично информация, достатъчна за идентифицирането на индивидуалния потребител, освен ако не бъдат предоставени и други данни.

Какво са лични данни?

По дефиниция "лични данни" са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.

Лични данни могат да са информация, разкриваща личния и семеен живот, служебни отношения, психологическа идентичност, икономическо състояние, социално поведение и др. В тoзи смисъл е възможно IP адресът да се разглежда като данни, свързани с конкретно лице, от които може да се получи информация относно социалното поведение в мрежата, интересите, контактите на съответния потребител и т.н.

Практиката в България

Съгласно Становище № 1659/ 02.05.2011 г. Комисията за защита на личните данни приема, че IP адресът сам по себе си не може да идентифицира дадено физическо лице, но в комбинация с друга допълнителна информация това би било възможно. IP адресът следва да се разглежда като лични данни единствено и само в случаите, в които посредством него или с негова помощ може да бъде идентифицирано конкретно, подлежащо на идентификация физическо лице, съобразно особеностите на съответните възможни хипотези.

IP адресът като тип идентификационен номер, предоставящ информация относно мрежата и хоста, би попаднал под дефиницията "лични данни" само доколкото той би могъл да бъде свързан с определено физическо лице.

Следователно IP адресът би могъл да се разглежда като информация, съставляваща лични данни, във всички случаи, в които позволява или спомага за пряка или непряка идентификация на потребител - физическо лице.

В този смисъл всеки администратор на лични данни е длъжен да обработва съответните IP адреси при наличие на поне едно от посочените в закона условия за допустимост (вкл. съгласие на физическото лице, нормативно задължение, реализиране на законни интереси или др.) и при спазване на принципите на законосъобразност, целесъобразност и пропорционалност.

Практиката на Съда на ЕС

От май 2018 г. се предвижда, че някои категории онлайн данни биха могли да се приемат за лични данни и сред тях са включени и
IP адресите.

На общоевропейско ниво интересно е решението на Съда на Европейския съюз по делото "Брайер" (C‑582/14) от октомври 2016. С него съдът предоставя тълкуване конкретно по въпроса относно динамичните IP адреси. По отношение на статичните IP адреси се приема, че те биха могли да попаднат в обхвата на личните данни по смисъла на Директива 95/46/ЕО, доколкото е възможно те да предоставят достатъчно информация за историята на посещенията на един потребител и теоретично така би било възможно той да бъде идентифициран.

Г-н Брайер (член на Пиратската партия) твърди пред германския съд, че интернет сайтовете на федерални служби, които той посещава, регистрират и съхраняват IP адреса му и по този начин биха могли да си изградят представа за интересите му. За тази цел според него е необходимо да даде съгласие. Службите регистрират и съхраняват освен датата и часа на ползването и IP адресите на посетителите, за да се защитят от кибератаки, както и с цел осъществяване на наказателно преследване на подобни атаки.

Федералният върховен съд сезира Съда на ЕС, за да се установи дали в този смисъл динамичните IP адреси представляват лични данни по отношение на администратора на интернет сайта и дали по този начин се ползват от защитата, предвидена за такива данни.

Въпреки че динамичният IP адрес на г-н Брайер не позволява директното му идентифициране, се приема, че той би могъл да бъде индиректно идентифициран от комбинацията на IP адреса му и информацията, която интернет доставчикът има за него. В този случай IP адресът представлява лични данни по отношение на администратора на лични данни (федералните служби), когато същият разполага със законни средства, позволяващи му да идентифицира посетителя благодарение на допълнителната информация, с която разполага доставчикът на интернет услуги на посетителя. Според съда администраторът на лични данни или трета страна, на която са прехвърлени данните, би могъл да ги обработва без съгласието на потребителя при наличие на законна цел, каквото е в случая осигуряването на продължителното поддържане на уебсайта.

Значение за бизнеса

Като извод от казаното по-горе може да се приеме, че както статичните IP адреси, така и динамичните IP адреси в немалко случаи биха могли да се приемат за лични данни и спрямо тях е необходимо да се спазват правилата за събиране и обработване на лични данни. Този извод е важен както за дружествата, които желаят да проверяват достъпните за тях IP адреси за вируси или кибератаки, така и за дружествата, използващи IP адреси за онлайн аналитични, статистически и рекламни цели (напр. в платформите за електронна търговия). Като цяло препоръчително е всяко дружество, което разполага с уебсайт в Европа, да прецени дали разполага с IP адреси, въз основа на които да може да идентифицира дадено физическо лице, и да предприеме стъпки за спазването на приложимите правила за защита на лични данни.

В контекста на новия регламент за лични данни

Общият регламент (ЕС) 2016/679 за защита на личните данни, който ще влезе в сила през май 2018 г., предвижда, че някои категории онлайн данни биха могли да се приемат за лични данни и сред тях наред с други са включени и IP адресите. С наближаване влизането в сила на новите правила все повече категории данни се налага да бъдат класифицирани като лични данни и дружествата, администратори на лични данни, ще са длъжни да приложат все по-стриктните изисквания по отношение защитата на личните данни, за да се подготвят за промените.

 
Капитал