Становище на КЗЛД относно искане с вх. № 1659/ 07.04.2011г. от зам. директора на Главна дирекция „Борба с организираната престъпност” във връзка с приложението на Закона за защита на личните данни

Комисията за защита на личните данни (КЗЛД), в състав: председател: Венета Шопова, и членове: Мария Матева и Веселин Целков, на редовно заседание, проведено на 27 април 2011г. (Протокол №19), разгледа искане с вх.№1659/07.04.2011г. подадено от зам. Директора на Главна дирекция „Борба с организираната престъпност"- комисар Б.Б., във връзка с приложението на Закона за защита на личните данни.

Получено е искане за становище с вх.№1659/07.04.2011г. от зам. Директора на Главна дирекция „Борба с организираната престъпност"- комисар Б.Б., с молба за изразяване на становище дали IP адресът представлява лични данни в конкретния, представен по-долу казус.

По данни от постъпилото искане в Главна дирекция „Борба с организираната престъпност" е постъпил сигнал от Държавна агенция закрила на детето, че на интернет адрес http://www.album.bg/sexy_fotos/page-lсе разпространяват еротични снимки на деца. Във връзка с получения сигнал, от страна на ГДБОП- сектор „Компютърни престъпления, интелектуална собственост и хазарт" е извършена проверка на горепосочения сайт, при която проверка е установено, че след извършена задължителна първоначална регистрация, на интернет страницата могат да се публикуват снимки и коментари, като въпросния интернет сайт е част от „Д.Н.". Във връзка с това, на основание чл.148, ал.1 от Закона за министерството на вътрешните работи (МВР) е отправено запитване до „Д.Н." за предоставяне, съгласно чл.93, т.22 от Наказателния кодекс (НК), на всички компютърни данни (данни от регистрацията и IP адреси, от които е достъпвано) относно потребителя, засечен, че е публикувал въпросните снимки с еротично съдържание. В отговор на това, управителят на „Д.Н." ЕООД- г-н Л.К., че не дават IP адреси, че обжалват всяко разпореждане пред съда и че ще внесат жалба. Към 30.03.2011г. в ГДБОП не е получен официален отговор и не постъпила исканата информация, дори напротив, входирана е жалба в Софийски районен съд, за това, че е изискана информация от страна на Главна дирекция „Борба с организираната престъпност" на IP адреса, от който са публикувани въпросните снимки.

В постъпилото в КЗЛД искане за становище, от страна на ГДБОП, е изразено мнение, че във въпросния казус, IP адресът не представлява лични данни, тъй като само чрез него, реално не може да се „достигне" до конкретно лице, тъй като той дава информация за това кой е доставчикът на интернет услуги, опериращ с този адрес, като е посочено, че единствено с разпореждане на съда могат да бъдат изискани от доставчиците на интернет услуги данни за това, кой е потребителят, стоящ зад конкретен IP адрес.

Интернет доставчик /интернет провайдър/, е лице или организация, осигуряващи достъп до Интернет. Доставчиците осигуряват достъп до Интернет, обикновено срещу заплащане, след сключен договор между тях и съответния потребител/клиент. Достъпът се предоставя чрез различни технологии: чрез телефонна линия (комутируема връзка) и широколентова връзка (кабел или DSL/цифрова услуга, която осигурява високоскоростни трансфери на данни по медни телефонни линии/), оптични мрежи за пренасяне на данни, изградени от Интернет-доставчиците или взети под наем от телекомуникационните компании. В голяма част от случаите интернет доставчиците предлагат не само достъп до Интернет, а и други услуги, като предоставяне на физическо място за разполагане на оборудване на клиентите в техническите центрове на доставчиците, изграждане на уеб сайтове и даване на уеб-пространство, регистрация на домейни, безплатна поща, безплатно дисково пространство и др. Конкретно физическо или юридическо лице, което желае да ползва някои от по-горе изброените услуги, в това число и достъп до интернет, предприема необходимите действия по сключването на договор с определен доставчик на интернет. От своя страна и в изпълнение на задълженията си по сключения договор, интернет доставчикът извършва необходимото, за да осигури възможност на своя клиент да ползва предоставените от него услуги, а именно технически да свърже крайният клиентски хардуер с мрежата. За тази цел на крайното устройство /понякога, но не винаги чрез свързване с МАС адреса на LAN картата/ се генерира съответен IP адрес от свободния ресурс, с който разполага интернет доставчика, който позволява именно от това устройство да бъде достьпена мрежата. В голяма част от случаите той се генерира автоматично от сървъра и не представлява реквизит от сключения между интернет доставчика и клиента договор. IP адресът представлява 32-битово (4 байтово) двоично число, което уникално идентифицира един хост (компютър или друг хардуер), свързан към Интернет или други Интернет хостове за целите на комуникация чрез трансфер на пакети /контролна информация и потребителски данни/. Всеки IP адрес се състои от две части, като първите три секции идентифицират мрежата, а последната секция идентифицира мрежовия интерфейс на индивидуалния компютър. Заедно те идентифицират от една страна мрежата, в която се намира устройството и конкретното устройство в тази мрежа, като комбинацията от мрежов адрес и адрес на хоста е уникална за всеки компютър, като частта от адреса на мрежата е една и съща за всички компютри в дадена подмрежа, докато хост частта трябва да бъде уникална за всеки отделен компютър в нея. Ако се направи съпоставка между адреса и пощенския адрес може да се каже, че първите три секции дават обща информация за държава, област, улица, а последната секция дава номера на конкретната къща /в мрежата/, което дава уникалност на адреса, тъй като на една улица може да има само една къща под определен номер. В тази връзка следва да се посочи, че IP адресът идентифицира крайното устройство /до толкова, до колкото на база на него няма изградена вътрешна под мрежа/, а не конкретно физическо лице. Следователно информацията, която би могъл да ни даде IP адреса, ще касае крайното устройство- хардуер, от който е достьпена мрежата, т.е. IP адреса дава информация за компютъра (хоста), който от своя страна би могъл да се свърже с конкретно лице посредством сключен договор с интернет доставчик до толкова, до колкото на база на него е генериран и съответният IP адрес. Във всички случаи обаче за да функционира този хардуер, е необходима човешка намеса. IP адресът обаче не може да даде сам по себе си информация относно лицето, което към определен момент е достъпило мрежата /чрез него може да се получи информация за осъществения трафик в мрежата/. IP адресът дава информация единствено за мрежата, крайното устройство от което е достъпено и за лицето, на което е предоставен в изпълнение на задължения по сключен договор с определен интернет доставчик. IP адресите на потребителите, които сърфират в световната мрежа (World Wide Web) се използват основно за осъществяване на връзките им със сървърите на уебсайтовете /интернет страници/. В зависимост от връзката на даден потребител с Интернет, IP адресът може да бъде един и същ всеки път, когато той се свързва с Интернет- статичен IP адрес, или различен за всяка сесия, като частта, която идентифицира мрежата остава същата, а се мени само секцията идентифицираща хоста- динамичен IP адрес- той се мени на определен интервал от време (примерно 24ч.). Статичният IP адрес се задава за определен компютър (хардуер), като постоянен негов адрес, което позволява на сървъра да идентифицира съответното устройство при всяко достъпване на мрежата. Обстоятелството, че статичният IP адрес е точно зададен от интернет доставчика IP адрес за определен компютър/устройство, който остава постоянен, непроменящ се за дълъг период от време създава възможност за доставчиците на интернет и управителите на локални мрежи да идентифицират потребителите на интернет, към които са отнесли конкретен IP адрес. Същото следва да се съотнесе и спрямо динамичните IP адреси, тъй като тези IP адреси се предоставят от интернет доставчика и за него съществува реална възможност системно да регистрира във файл и да съхранява датата, часа и продължителността на връзката при достъпване на мрежата от конкретен потребител /компютър, друг хардуер/. От това следва изводът, че и в двата случая може да се получи информация за достъпването на мрежата към определен момент от съответен потребител (хост- компютърна система в мрежата) чрез определен IP адрес, предоставен на база сключен договор между интернет доставчик и конкретно физическо или юридическо лице- клиент.

Съгласно легалната дефиниция на чл.2, ал.1 от ЗЗЛД „лични данни" са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Тоест всяка информация- идентификационен номер или един или повече специфични признаци, отнасяща се до конкретно физическо лице, което може да бъде идентифицирано пряко или непряко чрез нея съставлява лични данни. Идеята, която е заложил законодателят в така регламентираното в закона понятие за лични данни е именно създаването на едно по-широко понятие за лични данни, с цел да се обхване цялата информация, която по един или друг начин би могла да се свърже с едно конкретно, подлежащо на идентификация физическо лице. В тази връзка следва да се посочи, че в определението за лични данни има няколко важни момента, които е необходимо да се изследват при извършване на преценка относно съотнасянето на определен обем и вид информация като лична, а именно:

– „Лични данни са „всяка информация", т.е. съдържанието на информацията, влизаща в понятието лични данни, ще включва данни от различно естество и предоставящи всякакъв вид информация относно физическото лице. Това може да бъде информация засягаща личния и семеен живот, работни/служебни отношения, икономическо състояние, социално поведение и др. В тази връзка следва да се има предвид, че чрез IP адреса може да се получи информация относно социалното поведение в мрежата, интересите, контактите на съответния потребител.

– Тази информация трябва да се „отнася"/да бъде свързана с физическо лице, т.е. трябва да има връзка между информацията и конкретно физическо лице. В конкретния случай информацията, а именно IP адреса, се отнася до конкретен предмет (компютър, друг вид хардуер). Във всички случаи обаче този предмет (компютър, друг вид хардуер) принадлежи на определено лице. Както бе посочено до тук IP адресът се предоставя от интернет доставчика, в изпълнение на сключен между него и съответния клиент (физическо или юридическо лице) договор за предоставяне на определен обем услуги при определени условия, като в голям брой от случаите IP адресът се генерира автоматично при конфигуриране на крайното устройство за достъп до мрежата и не фигурира в договора. За интернет доставчика обаче не представлява проблем да свърже, към определен момент, един IP адрес с конкретно крайно устройство и съответното лице, с което е сключил договор, на база на който е предоставил съответната услуга, но за него не съществува възможност да даде информация е ли това лицето достъпило мрежата към определен момент посредством този IP адрес, /т.е. дали лицето, сключило договора е достъпвало мрежата към определен момент/. В тази връзка следва да се има предвид, че обработването на IP адреса и обвързването му с лицето на база договор въз основа на който същият е предоставен, в много от случаите, може да доведе до въздействие върху правата и интересите на това лице. Чрез конкретен IP адрес съществува възможност да бъде проследен трафикът, осъществен в мрежата и ако се приеме, че този трафик е осъществен от лицето, сключило договор с интернет доставчика, следва изводът, че на база IP адреса може да се придобие представа за интересите и поведението на физическото лице в мрежата. От тази гледна точка IP адресът може да се разглежда като данни, свързани с конкретно физическо лице, тъй като дава или може да даде информация за неговото поведение в мрежата, неговите интереси, социални контакти и др.

Във връзка с горното следва извода, че IP адресът може да се разглежда като информация, която позволява идентификация на физическото лице- клиент, сключило договор с определен интернет доставчик.

Ако обаче целта на обработване на IP адреса е да се установи/идентифицира лицето, достъпило мрежата към определен момент, то тогава, в голям брой случаи, единствено и само IP адресът като информация, която дава, може да бъде недостатъчен за това. В конкретния казус от определен IP адрес към определен момент е достъпена мрежата и е осъществен определен трафик- качени са снимки на малолетно/непълнолетно дете с еротично съдържание. Съответните органи са се обърнали към администраторите на съответния уебсайт за предоставяне на информация относно IP адреса, от който е достъпена мрежата и е качена снимката. На база дотук изложеното, приемаме, че за тях не представлява проблем да предоставят данни, с които вече разполагат и предоставят информация за IP адреса и осъществения трафик. Тази информация обаче сама по себе си не идентифицира лицето, достъпило мрежата и осъществило трафика. Тя ще може да се разглежда като лична единствено тогава, когато може да се направи връзка между нея и определено физическо лице. Приемаме, че на база предоставения IP адрес може да се получи информация относно интернет доставчика и съответно лицето, сключило договор с него. В този случай вече ще имаме конкретно идентифицирано или идентифицируемо физическо лице на база сключен договор с определен интернет доставчик и във връзка с него предоставен IP адрес, но не и сигурни данни относно физическото лице, достъпило мрежата. Във връзка с целта, за която е необходима тази информация, а именно идентифициране на лицето, извършило съответния трафик към определен момент, тази информация, а именно IP адресът е недостатъчна относно неговата идентификация. Следва обаче да се има предвид, че към лицето, което е идентифицирано на база сключен договор и предоставен IP адрес би могло да се създаде едно по-различно отношение от отношението към другите лица в мрежата и то ще бъде именно в резултат на обработването на тези данни. Обстоятелството, че конкретно физическо лице би могло да претърпи определено въздействие върху правата и интересите си в следствие на обработване на IP адреса, последният може да се приеме за лична информация съобразно особеностите на конкретни възможни хипотези касаеща единствено лицето, което може да бъде идентифицирано въз основа на съответната информация. По отношение на лицето, реално достъпило мрежата и осъществило определен трафик в конкретен период от време IP адреса ще се укаже идентификатор, който сам по себе си не позволява разграничаване/установяване на това лице.

В тази връзка разглеждаме и следната хипотеза: Лицето „А" има договор с интернет доставчик, чиято мрежа поддържа интернет протокол, който му дава достъп до определен интернет сайт /примерно data.bg/. Лицето „В" иска да осъществи трафик /да изтегли определен обем данни/ като достъпи примерно data.bg, но то има договор с друг интернет доставчик, чиято мрежа поддържа интернет протокол, който не му предоставя достъп до този сайт. Лицето „А" може да достъпи интернет страницата, да изтегли данните и след което да го изпрати на „В", но „А" няма достатъчно свободно пространство на твърдия диск на компютъра си. За да помогне на „В", „А" предлага да му бъде посредник (инсталира си прокси сървър), за да може „В" да свали определен обем данни. Лицето „В" се "връзва" към прокси сървъра на „А" и започва да тегли съответната информация на пакети. За тази цел, „В" трябва да знае три неща за прокси сървъра на „А", а именно: IP адрес, номер на порта и тип на проксито. IP адрес е адресът на компютъра на „А" в Интернет. Именно чрез него „В" ще достъпи въпросния интернет сайт и ще осъществи трафика. В този случай „В" ще ползва проксито на „А", като използва голяма част от трафика му, защото в мрежата реално „А" в този момент едновременно ще сваля и ще праща (т.е. ще осъществява трафик). В тази ситуация, ако се изиска предоставянето на IP адрес с цел установяване на лицето, достъпило мрежата- т.е. въпросния сайт data.bgв определен момент и осъществило съответния трафик (изтеглило или качило определена информация/обем данни) IP адресът, на база на който ще се проследи трафика, ще ни отведе до проксито на „А", тъй като реално в мрежата той осъществява трафика, т.е. мрежата е достьпена чрез IP адреса на „А" . В този случай не е невъзможно, но е изключително трудно да се стигне до лицето „В", като за това ще бъде необходима повече информация от тази, която ще ни даде IP адреса.

На основание на гореизложеното следва извода, че относно идентифициране на лицето, достъпило мрежата към определен момент, IP адресът сам по себе си не може да разграничи/идентифицира това физическо лице, но в комбинация с друга допълнителна информация то това би било възможно. IP адресът следва да се разглежда като лични данни единствено и само в случаите, в които посредством нея или с нейна помощ може да бъде идентифицирано конкретно, подлежащо на идентификация физическо лице съобразно особеностите на съответните възможни хипотези.

В светлината на дотук изложеното и разглеждайки IP адреса като идентификационен номер, предоставящ информация относно мрежата и хоста (крайния хардуер, от който се достъпва мрежата) IP адресът ще съставлява лични данни, само до толкова, до колкото в конкретна хипотеза той може да бъде свързан с конкретно физическо лице.

С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД Комисията за защита на личните данни изразява следното

1. IP адресът следва да се разглежда като информация, съставляваща лични данни, във всички случаи, в които позволява или спомага за пряка или непряка идентификация на потребител- физическо лице.

2. С цел да се защитят основните права и свободи на физическите лица и в частност правото им на личен живот при обработването на свързани с тях лични данни, IP адресът във всички случаи следва да се разглежда като информация от личен характер

3. Всеки администратор следва да обработва IP адрес при наличие на поне едно от посочените в чл.4 от ЗЗЛД условия за допустимост и при спазване на принципите за законосъобразност, целесъобразност и пропорционалност.