Частина 3 Набори даних, які ідентифікують людину в рамках режиму охорони персональних даних. Абсолютна та відносна ідентифікація, недобросовісна конкуренція (доповнено в 2025 р.)

На початку 2025 року я переглянув знов українську судову практику після 2020 року, і виявилось, що висновки, викладені в 2020 році щодо розуміння персональних даних в Україні, були правильними і судова практика їх підтвердила.

Примітно, що неможливість оператора певної інформації ідентифікувати людину, якої стосується інформація, автоматично означає, що ця інформаціє не підпадає під категорію персональних даних. Тобто, вона одночасно не є конфіденційною і вона не є персональними даними конкретної людини.

Ідентифікація є можливою на підставі набору певних даних, але вичерпного переліку таких даних нема, бо він завжди залежить від ситуації — тобто від можливостей оператора інформації здійснити ідентифікацію протягом всього періоду, впродовж якого інформація про людину знаходиться під контролем оператора інформації.

Для розуміння того, що таке «персональні дані» і «ідентифікація» треба також більш детально розібратися з такими складовими визначення «персональні дані», як «фізична особа, яка ідентифікована, або може бути конкретно ідентифікована», тобто зрозуміти — 1) ким ідентифікована і 2) чи зобов’язаний цей хтось взагалі ідентифікувати.

Ці складові очевидно прийшли до українського законодавства з Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних Ради Європи, офіційний текст якої викладено англійською і французької, де відповідно зазначено «une personne physique identifiée ou identifiable» та «an identified or identifiable individual». Український закон «Про захист персональних даних» визначає, що персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Отже, для розуміння того, кого вважати ідентифікованою особою, а також особою, яку можливо конкретно ідентифікувати, слід звернутися як до документів самої Ради Європи так і до нашого власного законодавства.

Зокрема, Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data від 28 січня 1981 р. визначає, що у визначені фізична особа, яка може бути конкретно ідентифікована, вираз «може бути ідентифікована» не стосується ідентифікації дуже складними методами.

В 2011 році Рада Європи видала брошуру Recommendation CM/Rec (2010) 13 on the protection of individuals with regard to automatic processing of personal data in the context of profiling and Explanatory memorandum, і в п. 87–88 Explanatory memorandum вказано, що особа, яка може бути ідентифікована, це особа, яку можливо ідентифікувати шляхом застосування доступних засобів, незалежно від того, чи застосовуються при цьому для ідентифікації послуги третьої особи. І навпаки, дані є анонімними, якщо ідентифікація можлива лише за допомогою невиправдано важких зусиль. Невиправдано важкими зусиллями є зусилля необхідні для оператора інформації або будь-якої іншої третьої особи для здійснення надзвичайно довгих, дорогих і складних операцій порівняно з їхньою звичайною діяльністю. Це стосується, наприклад, технології, здатної ідентифікувати дані та розкривати анонімність. Таким чином, зважаючи на швидкий прогрес обчислювальних методів і технологій, час і зусилля на ідентифікацію людини, які сьогодні вважають “невиправдано важкими”, в майбутньому вже можуть і не бути такими.

З вищенаведеного видно, що, наприклад, питання, чи є у оператора інформації саме обов’язок проводити ідентифікацію не розгадається, оцінюється лише його гіпотетична здатність провести ідентифікацію самостійно чи із залученням третіх осіб, навіть не дивлячись на те, що у оператора інформації нема потреби чи обов’язку її проводити.

Як виявилося, проблема полягає в критеріях ідентифікації. Які критерії застосовувати в Україні — це питання більше політичне, а не юридичне, і, на мою думку, має остаточно бути вирішеним Верховною Радою шляхом уточнення закону, оскільки саме по собі визначення персональних даних в українському законодавстві, навіть зважаючи на його «копіювання» з міжнародного договору, не дає однозначної відповіді, які критерії ідентифікації мають бути застосовані. Нижче детальніше про це.

Ідентифікація можлива за абсолютним критерієм — будь-ким на підставі будь-якої доступної інформації, тобто коло осіб, які здатні ідентифікувати, і джерел інформації в такому випадку є необмеженим, та за абсолютно-відносними або відносними критеріями, за якими коло осіб, які здатні ідентифікувати, та джерел інформації тим чи іншим чином обмежується.

В нашій ситуації відповідним є такий відносний критерій ідентифікації як лише самим оператором інформації в межах наборів даних, які знаходяться у володінні такого оператора інформації, тобто незалежно від інших доступних йому джерел інформації поза його володінням (проте загальновідомі обставини мають також вважатися такими, що знаходяться у володінні оператора інформації).

Як видно з наведених документів Ради Європи, вона схильна дотримуватися критерію, більше наближеного до абсолютного, оскільки допускає залучення третіх осіб до ідентифікації — шляхом застосування доступних засобів, незалежно від того, чи застосовуються для ідентифікації послуги третьої особи.

Судячи з судової практики та деяких листів від Уповноваженого Верховної Ради України з прав людини, в Україні застосовується відносний критерій ідентифікації.

Хочу також одразу зазначити, що взагалі, важливо відрізняти наявність у розпорядженні оператора інформації механізму добування персональних даних, в тому числі з відкритих джерел, який допомагає ідентифікувати людину, від наявності у розпорядженні оператора інформації самих персональних даних, бо самі по собі знання про те, як ідентифікувати якусь людину (пошукати десь в Інтернеті), разом з засобами ідентифікації (механізм добування), ще не є обробкою персональних даних. Це як мати велосипед, але не їздити на ньому.

Одним з найбільш розлогих прикладів української практики є ухвала Апеляційного суду міста Києва у справі 22-ц/796/5948/2014, де суд роз’яснив, що не всі дані про особу її ідентифікують, оскільки партійність, релігійність, національність, стать, професія, будь-які біометричні, соціальні дані та навіть адреса проживання є за своєю природою родовими ознаками і можуть стосуватися одночасно багатьох людей. Проте, у разі поєднання даних про особу з її іменем та прізвищем, вони вважатимуться персональними даними. Аналогічне твердження міститься у листі Міністерства юстиції України від 15.11.2013 р. № 13232–0–26–13/61, у якому зазначено, що Рекомендацією СМ/Rес (2010) Комітету Міністрів Ради Європи державам-членам щодо захисту осіб у зв’язку з автоматизованою обробкою персональних даних в контексті їх профілювання визначено, що під персональними даними розуміється виключно інформація, за допомогою якої особа ідентифікується або може бути ідентифікована. Особа не може вважатись такою, що може бути ідентифікована, якщо її ідентифікація вимагає невиправдано великої кількості часу і зусиль. Повідомленням Європейської Комісії Європейського Парламенту, Раді, Економічно-соціальному комітету та Комітету регіонів “Комплексний підхід до захисту персональних даних в Європейському союзі” від 04.11.2010 р. ЄОМ(2010) 609 встановлено, що визначення поняття “персональні дані” має на меті охопити всю інформацію, пов’язану з ідентифікацією або можливістю ідентифікувати особу прямо чи непрямо. Таким чином, колегія суддів погоджується із висновком суду про те, що виключно прізвище та ім’я особи не є персональними даними, оскільки за цими даними не можливо конкретно ідентифікувати особу, а для ідентифікації конкретної особи за прізвищем та іменем необхідно додаткові дані про таку особу.

Отже, тут суд застосував відносний критерій ідентифікації, оскільки обмежив можливість ідентифікувати людину лише наявними у володінні відповідача даними — імені та прізвища, хоча в принципі, на підставі прізвища та імені пасажира можливо провести збір додаткових даних із зовнішніх відкритих джерел і за допомогою сукупності всіх таких даних ідентифікувати пасажирів, хоч і не всіх.

А одним з найсвіжіших прикладів є постанова Верховного Суду від 23 жовтня 2019 року у справі № 826/16382/17. В ній суд зазначив, що визначальним критерієм для віднесення будь-якої інформації до персональних даних є можливість, завдяки таким даним, конкретно ідентифікувати особу… завдяки ІР-адресі може бути ідентифіковано лише пристрій, з якого здійснено доступ до системи «Клієнт-банк», а не конкретну особу. Так само і тут, суд застосував відносний критерій ідентифікації,оскільки не став зазначати, що дозбиравши ще якусь додаткову інформацію та поєднавши її з інформацією про ІР-адресу, теоретично можливо ідентифікувати особу — користувача ІР-адреси. До цього лише слід додати, що за допомогою лише однієї ІР-адреси дійсно майже не можливо ідентифікувати людину, проте, якщо мати ще якусь інформацію щодо людини, то співставлення всіх даних разом може призвести до створення досьє на конкретно ідентифіковану людину, тобто віднесення інформації знову ж таки до персональних даних залежить від можливостей оператора інформації здійснити ідентифікацію людини.

В своєму листі № 11.-974/1267–14–106 від 27.05.2014 р. представник Уповноваженого Верховної Ради України з прав людини роз’яснив, що розрахунки за товари та послуги з використанням платіжної картки за допомогою платіжних терміналів здійснюються без ідентифікації особи суб’єктом господарювання у сфері продажу товарів та послуг. На підставі інформації про особу, яка у таких випадках залишається у суб’єкта господарювання після розрахунку — імені, прізвища та окремих цифр платіжної картки, — неможливо здійснити ідентифікацію особи, отже, це не обробка персональних даних особи в розумінні Закону України “Про захист персональних даних”. Як видно, відносний критерій ідентифікації застосував і представник Уповноваженого Верховної Ради України з прав людини, зазначивши інформації про особу, яка у таких випадках залишається у суб’єкта господарювання. Наведене в листі вірно, але за умови, що суб’єкт господарювання у сфері продажу товарів та послуг не збирає і іншу інформацію про свого покупця — робить відеозапис перебування покупця в магазині на касі або отримує його паспортні дані, попросивши покупця заповнити акційну анкетку, і т.п.

В постанові Київського апеляційного суду від 14.07.2021 р. у справі 757/63890/19-ц, яка залишена в силі Верховним Судом, зазначено, що не всі дані про особу її ідентифікують, оскільки партійність, релігійність, національність, стать, професія, будь-які біометричні, соціальні дані та навіть адреса проживання є за своєю природою родовими ознаками і можуть стосуватися одночасно багатьох людей. Проте, у разі поєднання даних про особу з її іменем та прізвищем, вони вважатимуться персональними даними.

Не однозначна за оцінкою фактів справа була розглянута Верховним Судом в 2020 р. Йдеться про справу № 569/3571/17-ц і постанову від 09.04.2020 р. Я не берусь оцінювати, чому суд не звернув увагу на обставини, на які, на мій погляд, мав би звернути її, але хочу показати аргументи суддів. В цій справі позивач обґрунтовувала позов тим, що на засіданні сесії Рівненської обласної ради, яке транслювалося у прямому ефірі телеканалу Рівне-1, відповідач принизив її честь і гідність, назвавши «дурнуватою». Підійшовши до головуючого на сесії, відповідач пояснив йому причину свого неголосування та сказав: «Там якась дурнувата баба кричала, інвалід, і я не зміг проголосувати». На думку позивача, вказане висловлювання стосувалося позивача, яка у момент голосування знаходилася поряд з відповідачем і є інвалідом, про що він знає. У поданих запереченнях відповідач прямо зазначив, що його висловлювання мало загальний і знеособлений характер та не стосувалося позивача особисто.Суд апеляційної інстанції встановив, що у висловлюванні відповідача не вказана конкретна особа, якої воно стосувалося, тому сам лише факт перебування заявника поруч із відповідачем в момент засідання ради і наявність у неї статусу інваліда не підтверджує беззаперечно, що поширена відповідачем інформація стосувалася її особи. Верховний Суд зазначив, що висновки апеляційного суду про недоведеність того, що у зазначеному висловлювані мова йшла конкретно про позивача, а це є обов`язковою умовою для висновку про порушення цим висловлюванням її особистих немайнових прав.

У справі № 161/20346/21, що розглядалась Волинським апеляційним судом (постанова 20.01.2022 р.) предметом розгляду було те, що селищний голова селища Торчин листом звернувся до начальника поліції, і цей лист він оголосив у відео-зверненні до мешканців громади, розмістивши відеозапис в мережі Фейсбук. У зверненні він фактично зазначив про непоодинокі прояви жорстокості, порушення правопорядку та залякування місцевих жителів зі сторони осіб певної національності, і зокрема, про випадок нападу на чоловіка, якому було спричинено тілесні ушкодження. У цьому зверненні він попросив всебічно та об`єктивно розслідувати випадок і дати правову оцінку щодо проживання жителів визначеної національності за конкретною адресою, інформувати громадськість про хід розслідування через великий резонанс справи. Суд зазначив, що в матеріалах справи відсутні будь-які належні та допустимі докази місця проживання або реєстрації конкретних осіб за вказаною у зверненні селищного голови адресою, що могло б свідчити про суб’єкта персональних даних, тобто фізичну особу, персональні дані якої обробляються, а не визначення кола осіб, що має місце в даному випадку.

Верховний Суд в справі № 757/15585/20 своєю постановою від 21.06.2022 р. теж пролив світло на ситуацію, яка стосувалась конфіденційної інформації і персональних даних, роз’яснивши, що позивач повинен був довести у цій справі, а суди встановити такі факти:

– поширення конфіденційних відомостей, а саме персональних даних позивача;

– те, що ці відомості чи сукупність відомостей про позивача є його персональними даними та мають обмежений доступ;

– наявність чи відсутність згоди позивача на поширення його персональних даних у мережі Інтернет.

26 квітня 2023 року Запорізький окружний адміністративний суд в справі № 280/11113/21 виніс рішеня, яким розяснив, що при передачі Оператором ГРМ постачальнику “останньої надії” ЕІС-кодів споживачів, які були зареєстровані в Реєстрі споживачів постачальника “останньої надії”, постачальник “останньої надії” не отримає будь-яких відомостей про фізичних осіб, які ідентифіковані або можуть бути конкретно ідентифікованими… При цьому будь-які відомості про фізичну особу не є персональними даними, оскільки не всі дані про особу її ідентифікують. Суд вважає, що за допомогою поштової адреси об’єкта споживача, жодним чином неможливо ідентифікувати фізичну особу…. При цьому, у разі поєднання даних про особу, зокрема адреси проживання з її іменем та прізвищем, виникне можливість ідентифікувати конкретну особу…. Враховуючи те, що на підставі ЕІС-коду та поштової адреси об’єкта споживача неможливо ідентифікувати фізичну особу, то такі дані у розумінні Закону України “Про захист персональних даних” не є персональними даними. Цю справу можна назвати аналогом справи SRB v EDPS (T-557/20).

Які ж сукупності відомостей допомагають конкретно ідентифікувати людину?

В Щорічній доповіді (2013 р.) Уповноваженого Верховної Ради України з прав людини про стан дотримання та захисту прав і свобод людини в Україні до таких даних віднесені ім’я, прізвище, по батькові, ІН, серія та номер паспортата інші відомості, що дають можливість ідентифікувати особу.

Зокрема, в ухвалі Вищого спеціалізованого суду України з розгляду цивільних і кримінальних справ від 27 липня 2016 року у справі № 760/9778/15-ц зазначено, що суд першої інстанції, з висновками якого погодився й апеляційний суд, дійшов обґрунтованого висновку про визнання протиправними дії ОСОБА_7 щодо передачі конфіденційної інформації стосовно військовослужбовця ОСОБА_6 без його дозволу ПрАТ «Сьогодні «Мультимедіа», оскільки той обсяг інформації, який був викладений у статті стосовно позивача (ім’я, попереднє місце проживання, місце отримання поранення, хто його звільняв з полону, ім’я командира, місце роботи родичів), дозволяє конкретно ідентифікувати особу позивача, тому отримання його згоди на публікацію цих даних було обов’язковим.

Постановою від 28.11.2019 р. в справі № 712/7293/19 Черкаський апеляційний суд визначив, що доводи апеляційної скарги про те, що поширена на веб-сторінці в соціальній мережі “Фейсбук” інформація, а саме, будівельний паспорт, що містить персональні дані ОСОБА_3 (прізвище, ім’я, по батькові, реєстраційний номер облікової картки платника податків, номер паспорту, ким та коли виданий, адресу місця проживання) не є персональними даними, на які поширюється вимоги щодо їх обробки за ЗУ “Про захист персональних даних”, є безпідставними, оскільки аналіз вищевказаних відомостей дає підстави стверджувати про їх достатність для конкретної ідентифікації як фізичної особи, так і місця знаходження її власності.

Здавалося, мінімальний набір даних, які дають можливість однозначно ідентифікувати особу, зазначено в п. 21 в постанові пленуму Верховного Суду України №2 від 12.06.2009 р. «Про застосування норм цивільного процесуального законодавства при розгляді справ у суді першої інстанції», а саме — встановлюючи особи учасників процесу, які з’явилися в судове засідання, суду на підставі даних паспорта, службового посвідчення чи іншого документа, що посвідчує особу, належить з’ясувати їх прізвище, ім’я та по батькові, дату народження, рід заняття і місце проживання. Звичайно, це не спрацює під час ідентифікації двох безробітних близнюків з однаковими іменами, які живуть за однією адресою.

Однак, набір ідентифікуючих даних за обсягом є ще меншим, завдяки іншому судовому рішенню. 22 листопада 2018 року у справі № 280/1289/17 Верховний Суд погодився, що обсяг інформації, який був викладений у газеті стосовно позивача (прізвище, ім’я, по батькові, адреса місця проживання), дозволяє конкретно ідентифікувати особу позивача, тому отримання його згоди на публікацію цих даних було обов’язковим.

Звичайно, прізвище, ім’я, по батькові, адреса місця проживання — цене єдиний набір даних, які в сукупності дозволяють ідентифікувати особу, проте це єдиний, на який можна точно покластися. Очевидно, що сама по собі адреса, чи самі по собі прізвище, ім’я, по-батькові не будуть вважатися персональними даними.

З практичної точки зору, наявність хоча б такого переліку ідентифікуючих даних дозволяє прийти до висновку, що не належать до персональних даних самі лише cookie, відомості про IP-адресу, інші дані, що збираються у зв’язку з активністю користувача на веб-сайті або в додатку користувача, за умови, що користувач не був ідентифікований оператором інформації, і за умови, що оператор не збирає таємно від користувача інші ідентифікуючі дані, що дають можливість ідентифікувати користувача.

З вищеописаного виникає ще одне питання. Припустимо, на якомусь веб-сайті у статті в публічному доступі наведені персональні дані конкретної людини, які її ідентифікують. Користувач Інтернету, заходячи на такий веб-сайт, завантажує в пам’ять свого комп’ютера ці відомості, тобто вони потрапляють у володіння користувача Інтернету, хоч і тимчасово на час сесії відвідування веб-сайту. Чи відбувається в такому випадку обробка персональних даних? На мій погляд, ні, бо комп’ютер, планшет і т.п. в такому випадку використовується як засіб доступу та ознайомлення з інформацією, а не як засіб збирання та збереження персональних даних, і тому така технічна особливість сучасної техніки не має вважатися обробкою персональних даних.

Проте відносний підхід не вирішує проблему надмірного збирання даних про людину, результатом якого стає формування інформаційного профілю цієї людини, хоча і без ідентифікації такої людини на підставі даних, наявних у оператора інформації, а наслідком цього може бути полегшення у майбутньому ідентифікації такої особи на підставі співставлення даних або, в найкращому випадку, дратівливого набридання такій конкретній людині.

Мабуть це вдасться вирішити законодавчою забороною обробляти саме певні категорії інформації про навіть неідентифікованих осіб, а також, коли за суб’єктів господарювання, які оманливо та надмірно збирають дані про особу, візьметься Антимонопольний комітет України, застосовуючи ст. 15–1 Закону України «Про захист від недобросовісної конкуренції» проти замовчування такими суб’єктами господарювання окремих фактів чи нечіткості формулювань у питаннях обробки ними персональних даних, адже обробку персональних даних за певних обставин можна розглядати як безпідставну конкурентну перевагу.

На мою думку, такий підхід в розумінні ідентифікованої фізичної особи гармонійно співіснує зі ст. 182 Кримінального кодексу України, в якій йдеться про конфіденційну інформацію про фізичну особу і зі ст. 34 Конституції України щодо свободи використання інформації. Дуже широке розуміння персональних даних, як це передбачається GDPR, призведе до розширення застосування цієї статті і до обмеження підстав обробки персональних даних, але про це буде в Частині 5 та 6.

To be continued…

Юрій Карлаш