СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. №П-4719/16.06.2015г.
гр. София, 30.09.2015г.
ОТНОСНО: Искане за становище с вх. рег.№П-4719/16.06.2015г. от D.L.P.L.UG&CoKG **** и К.И., *****във връзка с приложението на Закона за защита на личните данни.
Комисията за защита на личните данни (КЗЛД), в състав: Председател: Венцислав Караджов, и Членове: Цанко Цолов, Цветелин Софрониев и Мария Матева, на редовно заседание, проведено на 16 септември 2015г.,разгледа постъпило в КЗЛД искане за становище с вх.№П-4719/16.06.2015г., с което г-н Д.Л. и г-жа К.И. сезират Комисията за защита на личните данни (КЗЛД) относно тълкуването на разпоредбата на чл.2, ал.1 във връзка с параграф1, т.16 от ДР на същия закон, като при своето произнасяне КЗЛД е помолена да вземе предвид следното:
На първо място искателите са посочили, че нормата на чл.2, ал.1 от ЗЗЛД поставя като предварително условие за класифицирането на дадена информация като лични данни последната да се отнася до физическо лице, което е идентифицирано или може да бъде идентифицирано, т.е. недвусмислено да е или да може да бъде установена неговата самоличност. Изразено е виждането, че по аргумент от противното може да се направи обосновано предположение, че по смисъла на коментираната разпоредба информация, събрана по начин, посредством който е невъзможно еднозначно да се определи кой е нейният титуляр, не следва да попада в обхвата на понятието лични данни.
Изтъкнато е също, че независимо от обстоятелството, че ЗЗЛД не дава легално определение на терминът „идентификационен номер", би могло да се приеме, че по смисъла на чл.2, ал.1 от ЗЗЛД такъв номер е само този, посредством който безспорно и категорично може да се установи самоличността на лицето, ползващо се с последния или фигуриращо в регистрационна система под него, като е изразено виждането, че аналогично, по аргумент от противното, не би следвало информация за номер, посредством който е невъзможно да се идентифицира лицето, което си служи с него, да се третира като лични данни по смисъла на чл.2, ал.1 от ЗЗЛД. Така например, чрез идентификационен номер, какъвто е баркодът може да се идентифицира дадена стокова единица и нейния производител, но не и купувача на крайния продукт.
Във връзка с изложеното в искането КЗЛД е помолена да се произнесе по следните въпроси, като искателите са приложили и своето виждане, както следва:
1. Попада ли понятието Media Access Control адрес или накратко МАС адрес в обхвата на дефиницията за „лични данни" по смисъла на чл.2, ал.1 от ЗЗЛД?
2. Налице ли са основания да се прави аналогия между понятията МАС адрес и IP
адрес?
3. Налице ли са основания да се счита, че разпознаването на МАС адрес попада в обхвата на специфичния надзор, осъществяван от Комисия за защита на личните данни?
Относно тълкуването на чл.2, ал.1 от ЗЗЛД:
Съгласно легалната дефиниция на чл.2, ал.1 от ЗЗЛД, лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци. Законодателят е разписал едно широко понятие, обхващащо данни от всякакво естество, които сами или в съвкупност с други данни могат да доведат до еднозначна идентификация на конкретно физическо лице. От гледна точка на съдържанието на информацията, понятието „лични данни“ включва данни, предоставящи всякакъв вид информация. Определението в закона съдържа четири основни градивни елемента, които следва да бъдат взети под внимание, а именно: „всяка информация“; „свързана с“; „идентифицирано или подлежащо на идентификация“; „физическо лице“.
По отношение на формата или носителя, на който се съдържа информацията, понятието „лични данни“ включва информация под каквато и да е форма, било то азбучна, цифрова, графична, фотографска или акустична. Например то включва информация, съхранявана на хартия, както и информация, съхранявана в компютърна памет, посредством двоичен код или на видеолента. Това е логично последствие от включването на автоматичното обработване на лични данни в приложното поле на понятието. По-специално, звуковите данни и изображенията се определят като лични данни от тази гледна точка, доколкото могат да представляват информация относно физическо лице.
Относно вторият основен елемент от понятието „свързана с” в най-общ план информацията може да се счита, че има връзка с дадено физическо лице, когато тя се отнася дотова лице. В много ситуации тази връзка може лесно да бъде установена, когато данните недвусмислено касаят конкретно физическо лице, данни от документ за самоличност, резултати от медицински изследвания и др. Има обаче и случаи, в които връзката между определена информация и конкретно физическо лице не е толкова ясно изразена.
В някои ситуации обаче информацията от данните може да се отнася най-вече до предмети, а не до физически лица. Тези предмети обикновено принадлежат на някого или може да бъдат обект на особено влияние от страна на физически лица или върху тях, или могат да поддържат някакъв вид физическа или географска близост с лица или с други предмети. Тогава само косвено може да се счита, че информацията има връзка с тези физически лица или предмети. Например стойността на дадена къща е информация за предмет. Правилата за защита на личните данни със сигурност няма да се прилагат, когато тази информация бъде използвана единствено, за да провери нивото на цените на недвижимите имоти в определен район. Обаче при определени обстоятелства подобна информация също следва да се счита за лични данни. Всъщност къщата е актив на собственика, което следователно би могло да се използва като информация, за да се определи например степента на задължение на това лице да плаща някакви данъци. В този контекст ще бъде безспорно, че такава информация следва да се разглежда като лични данни.
Следва да се има предвид, че едно лице може да бъде идентифицирано пряко по име или непряко по телефонен номер, регистрационен номер на автомобил, номер на социално осигуряване, номер на паспорт или чрез комбинация от значими критерии, които позволяват лицето да се разпознае в малка група, към която принадлежи (възраст, професия, местожителство и др.).Това твърдение ясно посочва, че степента, до която определениидентификатори са достатъчни, за да се постигне идентификация, е нещо коетозависи от контекста на конкретната ситуация. Едно доста често срещано фамилно име например няма да бъде достатъчно да идентифицира някого еднозначно, т.е. да го разграничи от цялото население на страната, би могло чрез него дабъде идентифициран ученик в класна стая например, или заедно с друга допълнителна информация, в т.ч. и идентификационен номер на устройство да доведе до идентификация на определено физическо лице в конкретна хипотеза. Така че въпросът дали едно лице, с което се свързва съответната информация, е идентифицирано или не, зависи от обстоятелствата в конкретния случай. Безспорно е обстоятелството, че има данни, които сами по себе си не биха могли да доведат до еднозначна идентификация на лицето и в тази връзка не би следвало да се разглеждат, като лични данни по смисъла на закона, но в конкретна хипотеза, в съвкупност те биха могли да доведат до съответната еднозначна идентификация на конкретно физическо лице и съответно в нея да попаднат в определението за лични данни по смисъла на чл.2, ал.1 от ЗЗЛД.
Относно поставения въпрос: „Попада ли понятието Media Access Control адрес или накратко МАС адрес в обхвата на дефиницията за „лични данни" по смисъла на чл.2, ал.1 от ЗЗЛД?”
Media Access Control адрес или накратко MAC адрес е уникален идентификатор, задаван на мрежовите адаптери (популярни като LAN-карти ) по технологията Ethernet от техния производител. При изписване представлява дванадесет символа в шестнадесетична броична система. Първите шест символа дават информация за производителя на хардуера, а останалите шест са уникални, и се предполага че няма два хардуера с еднакъв MAC адрес. Много често изглежда така — 6 символа име на производител, следвано от останалите 6 символа. MAC адреса се използва от комутаторите (елементи от компютърната мрежа) за определяне на пътя, по който да минават пакетите информация, за да достигнат крайната точка. Доставчиците на интернет защитават достъпа до мрежата си, като я заключват към МАК адресите на клиентите си. По този начин, ако някой се прикачи към чужд кабел няма да има достъп до интернет. Това се обяснява с факта, че се свързва друга LAN-карта, съответно друг МАС адрес, който е непознат за доставчика на интернет и сървърът му автоматично я блокира. Следва да се има предвид и обстоятелството, че МАК адреса може да се променя и/или уеднаквява, в случаите в които една услуга се предоставя от един доставчик на две различни устройства.
Съгласно изложеното до тук и взимайки предвид особеното естество на идентификатора – Media Access Control адрес, считам, че до толкова до колкото МАС адреса в конкретна хипотеза може сам или съвместно с друга допълнителна информация и данни да доведе до идентификация на конкретно физическо лице, същият може да попадне в категорията „лични данни” по смисъла на чл.2, ал.1 от ЗЗЛД.
Относно поставеният въпрос: „Налице ли са основания да се прави аналогия между понятията МАС адрес и IP адрес?”
IP адресъте уникален номер, наподобяващ телефонен номер, който се използва от машини (обикновено компютри), за да се свързват едни с други, когато изпращат информация през Интернетили локална мрежа, използвайки Интернет протокол(IP). Той позволява на машините, които изпращат информацията, да знаят къде да я изпращат, а на машините, които получават информацията, да знаят, че тя идва от желаното местоназначение.
С оглед естеството и спецификата на двата идентификатора – Media Access Control адрес и IP адрес считам, че между двата не би следвало да се прави аналогия.
Относно поставеният въпрос: „Налице ли са основания да се счита, че разпознаването на МАС адрес попада в обхвата на специфичния надзор, осъществяван от Комисия за защита на личните данни?”
До толкова, до колкото разпознаването на Media Access Control адрес в конкретна хипотеза може сам или съвместно с друга допълнителна информация и данни да доведе до идентификация на конкретно физическо лице, същият може да попадне в категорията „лични данни” по смисъла на чл.2, ал.1 от ЗЗЛД и в тази връзка, считам че попада или би могъл да попадне в обхвата на специфичния надзор, осъществяван от Комисия за защита на личните данни.
С оглед на гореизложеното и на основание чл.10, ал.1, т.4 от ЗЗЛД Комисията за защита на лични данни изрази следното
СТАНОВИЩЕ:
Съгласно легалната дефиниция на чл.2, ал.1 от ЗЗЛД лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци, т.е. всяка информация и данни, които самостоятелно или в съвкупност с други данни могат или биха могли, в конкретна хипотеза, да идентифицират и/или да доведат до еднозначна идентификация на конкретно физическо.
До толкова до колкото МАС адреса в конкретна хипотеза може сам или съвместно с друга допълнителна информация и/или данни да доведе до идентификация на конкретно физическо лице, същият може да попадне в категорията „лични данни” по смисъла на чл.2, ал.1 от ЗЗЛД.
С оглед особеното естество и специфика на двата идентификатора – Media Access Control адрес и IP адрес, между тях не би следвало да се прави аналогия.
Във всички случаи, в които Media Access Control адрес може самостоятелно или съвместно с друга допълнителна информация и/или данни да доведе до идентификация на конкретно физическо лице, същият може да попадне в категорията „лични данни” по смисъла на чл.2, ал.1 от ЗЗЛД и в тази връзка, попада и в обхвата на специфичния надзор, осъществяван от Комисия за защита на личните данни.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венцислав Караджов /п/ |
Цанко Цолов /п/ |
