С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
4 юни 2017, 11:37, 22266 прочитания

Представлява ли IP адресът лични данни?

Комисията за защита на личните данни приема, че IP адресът сам по себе си не може да идентифицира дадено физическо лице, но в комбинация с допълнителна информация това е възможно

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg
Авторът Мая Александрова e адвокат в CMS Sofia.
От май 2018 г. в ЕС ще влязат нови правила, според които някои категории онлайн данни биха могли да се приемат за лични данни и сред тях са и IP адресите.
При онлайн врачка:
- Искам да узная бъдещето си.
- Кажете ми IP адреса си
.

Въпреки че това е само анекдот, темата за IP адресите и информацията, която те биха могли да разкрият в контекста на все по-строгите правила за защита на лични данни, е много актуална.


Какво представлява IP адресът?

Интернет протокол (IP) адресът представлява число, което уникално идентифицира един компютър или друг хардуер, свързан към интернет, и го свързва с други, когато изпращат информация през интернет или локална мрежа.

Всеки IP адрес се състои от няколко части, като първите секции идентифицират мрежата, а последната секция идентифицира индивидуалното устройство, т.е. компютър, сървър и др. Следователно информацията, която би могъл да даде IP адресът, ще касае крайното устройство, което от своя страна би могло да се свърже с конкретно лице посредством сключен договор с интернет доставчик дотолкова, доколкото на база на него е генериран и съответният IP адрес.



В зависимост от връзката на даден потребител с интернет IP адресът може да бъде статичен IP адрес (един и същ всеки път), който лесно би могъл да разкрие информация за конкретния потребител, или динамичен IP адрес (различен за всяка сесия), който обикновено не предоставя автоматично информация, достатъчна за идентифицирането на индивидуалния потребител, освен ако не бъдат предоставени и други данни.

Какво са лични данни?

По дефиниция "лични данни" са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.

Лични данни могат да са информация, разкриваща личния и семеен живот, служебни отношения, психологическа идентичност, икономическо състояние, социално поведение и др. В тoзи смисъл е възможно IP адресът да се разглежда като данни, свързани с конкретно лице, от които може да се получи информация относно социалното поведение в мрежата, интересите, контактите на съответния потребител и т.н.

Практиката в България

Съгласно Становище № 1659/ 02.05.2011 г. Комисията за защита на личните данни приема, че IP адресът сам по себе си не може да идентифицира дадено физическо лице, но в комбинация с друга допълнителна информация това би било възможно. IP адресът следва да се разглежда като лични данни единствено и само в случаите, в които посредством него или с негова помощ може да бъде идентифицирано конкретно, подлежащо на идентификация физическо лице, съобразно особеностите на съответните възможни хипотези.

IP адресът като тип идентификационен номер, предоставящ информация относно мрежата и хоста, би попаднал под дефиницията "лични данни" само доколкото той би могъл да бъде свързан с определено физическо лице.

Следователно IP адресът би могъл да се разглежда като информация, съставляваща лични данни, във всички случаи, в които позволява или спомага за пряка или непряка идентификация на потребител - физическо лице.

В този смисъл всеки администратор на лични данни е длъжен да обработва съответните IP адреси при наличие на поне едно от посочените в закона условия за допустимост (вкл. съгласие на физическото лице, нормативно задължение, реализиране на законни интереси или др.) и при спазване на принципите на законосъобразност, целесъобразност и пропорционалност.

Практиката на Съда на ЕС

От май 2018 г. се предвижда, че някои категории онлайн данни биха могли да се приемат за лични данни и сред тях са включени и
IP адресите.

На общоевропейско ниво интересно е решението на Съда на Европейския съюз по делото "Брайер" (C‑582/14) от октомври 2016. С него съдът предоставя тълкуване конкретно по въпроса относно динамичните IP адреси. По отношение на статичните IP адреси се приема, че те биха могли да попаднат в обхвата на личните данни по смисъла на Директива 95/46/ЕО, доколкото е възможно те да предоставят достатъчно информация за историята на посещенията на един потребител и теоретично така би било възможно той да бъде идентифициран.

Г-н Брайер (член на Пиратската партия) твърди пред германския съд, че интернет сайтовете на федерални служби, които той посещава, регистрират и съхраняват IP адреса му и по този начин биха могли да си изградят представа за интересите му. За тази цел според него е необходимо да даде съгласие. Службите регистрират и съхраняват освен датата и часа на ползването и IP адресите на посетителите, за да се защитят от кибератаки, както и с цел осъществяване на наказателно преследване на подобни атаки.

Федералният върховен съд сезира Съда на ЕС, за да се установи дали в този смисъл динамичните IP адреси представляват лични данни по отношение на администратора на интернет сайта и дали по този начин се ползват от защитата, предвидена за такива данни.

Въпреки че динамичният IP адрес на г-н Брайер не позволява директното му идентифициране, се приема, че той би могъл да бъде индиректно идентифициран от комбинацията на IP адреса му и информацията, която интернет доставчикът има за него. В този случай IP адресът представлява лични данни по отношение на администратора на лични данни (федералните служби), когато същият разполага със законни средства, позволяващи му да идентифицира посетителя благодарение на допълнителната информация, с която разполага доставчикът на интернет услуги на посетителя. Според съда администраторът на лични данни или трета страна, на която са прехвърлени данните, би могъл да ги обработва без съгласието на потребителя при наличие на законна цел, каквото е в случая осигуряването на продължителното поддържане на уебсайта.

Значение за бизнеса

Като извод от казаното по-горе може да се приеме, че както статичните IP адреси, така и динамичните IP адреси в немалко случаи биха могли да се приемат за лични данни и спрямо тях е необходимо да се спазват правилата за събиране и обработване на лични данни. Този извод е важен както за дружествата, които желаят да проверяват достъпните за тях IP адреси за вируси или кибератаки, така и за дружествата, използващи IP адреси за онлайн аналитични, статистически и рекламни цели (напр. в платформите за електронна търговия). Като цяло препоръчително е всяко дружество, което разполага с уебсайт в Европа, да прецени дали разполага с IP адреси, въз основа на които да може да идентифицира дадено физическо лице, и да предприеме стъпки за спазването на приложимите правила за защита на лични данни.

В контекста на новия регламент за лични данни

Общият регламент (ЕС) 2016/679 за защита на личните данни, който ще влезе в сила през май 2018 г., предвижда, че някои категории онлайн данни биха могли да се приемат за лични данни и сред тях наред с други са включени и IP адресите. С наближаване влизането в сила на новите правила все повече категории данни се налага да бъдат класифицирани като лични данни и дружествата, администратори на лични данни, ще са длъжни да приложат все по-стриктните изисквания по отношение защитата на личните данни, за да се подготвят за промените.
  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Прочетете и това

Какви са санкциите по Програмата за селски райони при неизпълнение на бизнес плановете Какви са санкциите по Програмата за селски райони при неизпълнение на бизнес плановете

В момента тече мониторинговият период и стопаните трябва да са готови за проверки на проектите

28 авг 2019, 1797 прочитания

ЕК въведе нови правила за финансови корекции на европроектите ЕК въведе нови правила за финансови корекции на европроектите

Санкциите вече ще бъдат точно определен процент

31 юли 2019, 2586 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "Консулт" Затваряне
Осигуровки при незаконно уволнение

Времето, за което лицето е стояло без работа, се счита за трудов стаж

Още от Капитал
Сбогом, кабели

Първите дошли в автосектора се изнасят първи към по-евтини дестинации

Мениджърът, който удвои гиганта VMware

Пат Гелсингър, изпълнителен директор на американската технологична компания, пред "Капитал"

Внимавай с Aliexpress

Кои са най-честите рискове при покупки от китайската онлайн платформа

Да копаеш дъното за Доган

Държавата изненадващо отпусна 220 млн. лв. за драгиране на плавателния канал в пристанище Варна. Съмненията са, че пристанището на Ахмед Доган ще е основният печеливш, а държавните терминали ще трябва да го догонват

Книга: "Истории от 90-те"

Сборникът "Истории от 90-те" дава поглед към размирното десетилетие без излишна сантименталност

20 въпроса: Христо Христозов

"Практиката показва, че бързите решения имат висока цена и рядко са устойчиви"

X Остават ви 0 свободни статии
0 / 10