What data is personal? What data is personal and confidential? How all this is regulated by Ukrainian laws?

1. Персональні дані та цифрові
сліди
V Всеукраїнська школа з ІТ- та Інтернет права
15-16 вересня 2018 року
Юрій Карлаш

2. Цифровими слідами є
Інформація про діяльність, стани, процеси та події, яка
фіксується переважно на матеріальних носіях
комп’ютерної техніки

3. Цифрові сліди умовно ділять на:
Цифрові відбитки
• Виникають в результаті поведінки самого користувача і
характеризують, ідентифікують його особу, його діяльність.
Цифрові тіні
• Виникають в результаті взаємодії окремого користувача з
комп'ютерною технікою і характеризують, ідентифікують якусь
іншу особу, її діяльність.

4. 1. В яких ситуаціях залишаються сліди?
• Придбання комп’ютерної техніки з оформленням документів,
укладання договору з Інтернет-провайдером, в яких вказуються
ідентифікуючі покупця дані; безготівковий розрахунок за неї;
відеозапис продавцем покупця під час покупки;
відеоспостереження та відеозапис користувача в Інтернет-кав’ярні
(“прив’язка” особи до комп’ютерної техніки);
• Реєстрація на сайті, через різноманітні програми-додатки –
введення свого імені, імейла, номеру телефону, місця проживання
чи доставки;
• Вмикання геолокації;
• Відвідування веб-сайтів і відображення цього в історії браузера;

5. 2. В яких ситуаціях залишаються сліди?
• Участь в опитуваннях (якою квіткою ви були у минулому житті?);
• Перебування в мережі, саме по собі користування комп’ютером,
телефоном, іншим пристроєм;
• Додавання друзів, поміток про участь у заходах;
• Відображення даних в “журналах” відвідувань/підключень, які
ведуть хостинг-провайдери, Інтернет провайдери;
• Розміщення фотографій на відкритих чи закритих для загального
доступу сторінках веб-сайтів;

6. 3. В яких ситуаціях залишаються сліди?
• СМСки, пости, твіти та ін.;
• Здійснення пошукових запитів щодо себе, інших осіб;
• Здійснення он-лайн оплат;
• Збереження даних в формах автозаповнення;
• Проставляння мітки “Запам’ятати мене”
• І багато іншого...

7. Хто має зиск з цифрових слідів?
• Особи, чиї бізнес-моделі побудовані на доступі, аналізі, поширенні даних,
моделюванні або врахуванні поведінки людей (цільовий маркетинг), в тому числі
порядні журналісти, юристи;
• Шахраї, злочинці, колектори, збоченці, терористи, приватні спецслужби,
непорядні журналісти, юристи і т. п.;
• Державні органи, спецслужби;
P.S.
Ноам ХОМСКИЙ: 10 способов промывания мозгов (Александр Прилипко)
https://day.kyiv.ua/ru/article/media/noam-homskiy-10-sposobov-promyvaniya-mozgov
ЗНАТЬ О ЛЮДЯХ БОЛЬШЕ, ЧЕМ ОНИ САМИ О СЕБЕ ЗНАЮТ
Благодаря достижениям науки и современным технологиям СМИ получили в свое распоряжение такие знания о
социуме, которые позволяют опережать и предвидеть тенденции и реакции общества. Медиа обладают
огромным информационным ресурсом и способны управлять людьми в большей мере, чем они сами.
Каждому гражданину страны при совершении простых житейских операций: покупок товаров, оформлении
собственности, кредитов, обмене документов — система навязывает тысячу способов оставить о себе как
можно больше информации. Обобщив и систематизировав ее, можно получить мощный инструмент
воздействия на человека.

8. Як це працює?
Ловушка в интернете: что цифровые следы могут рассказать о вас (Артур
Хачуян) http://www.forbes.ru/tehnologii/362961-lovushka-v-internete-chto-cifrovye-
sledy-mogut-rasskazat-o-vas
…По статистике шести банков, если женатый мужчина смотрит профайлы
молодых девушек в социальных сетях, то с вероятностью 85-87% он
заинтересуется кредитным предложением….
…Провальная история крупнейшей в России сети секс-шопов: они решили
провести эксперимент и сделали форму на сайте.
Когда человек заходил на сайт, ему предлагалось подождать несколько минут,
после чего сайт полностью подстраивался под его материальные интересы.
Под каждой категории товаров было написано почему ему показывают
именно этот товар — потому что он состоял в какой-то группе, потому что он
пользуется услугами таких-то сервисов и так далее.
Но вовлеченность покупателей этого магазина за три месяца тестирования не
увеличилась: люди сразу пугались, что за ними следят, и закрывали сайт.
1) Особи, чиї бізнес-моделі побудовані на доступі, аналізі, поширенні даних,
моделюванні або врахуванні поведінки людей:

9. Як це працює?
Examining the MH17 Launch Smoke Photographs (Daniel Romein)
https://www.bellingcat.com/resources/case-studies/2015/01/27/examining-the-mh17-launch-smoke-
photographs/
Оскільки ми знаємо, що літак рейсу MH17 був вражений приблизно в 16:20, часовий покажчик камери був
виставлений приблизно на 4 хвилини - 4 хвилини і 30 секунд попереду реального часу. Метадані (або дані
Exif) вихідних файлів показують, що всі налаштування дати та часу відображають дату 17 липня 2014 року
та час 16:25:41 і 16:25:48.
Метадані, пов'язані з фотографіями, зберігаються у форматі "Змінний формат файлів зображень" або
EXIF.
Метадані EXIF можуть включати:
- Координати широти та довготи місця, де було зроблено фотографію;
- Налаштування камери, такі як світлочутливість ISO, швидкість затвора, фокусна відстань, діафрагма,
баланс білого та тип об'єктива;
- Марка та модель камери;
- Дата та час зйомки фотографії;
- Назва програм, які використовуються для перегляду чи редагування фотографії;
Кому цікаво, можна перевірити фото тут https://readexifdata.com/, але не забувайте про те, що з кожною
спробою залишите сліди.
1) Журналісти, юристи, особи, які здійснюють розслідування:

10. Як це працює?
Закон України “Про виконавче провадження”
Ст. 4 Вимоги до виконавчого документа
1. У виконавчому документі зазначаються:
3) дата народження боржника - фізичної особи;
Цивільний-процесуальний кодекс України
Стаття 157. Виконання ухвали про забезпечення позову
1. Ухвала суду про забезпечення позову є виконавчим документом та
має відповідати вимогам до виконавчого документа, встановленим
законом.
Правда,… така ухвала підлягає виконанню незалежно від відкриття
виконавчого провадження.
2) Колектори:

11. Як це працює?
День народження можна знайти на сторінці особи в Facebook.
Потрібні додаткові перевірки, наприклад, подивитися, в який день мали
місце привітання від друзів та інших осіб.
2) Колектори:

12. Як це працює?
Browser autofill used to steal personal details in new phishing attack (Samuel Gibbs)
https://www.theguardian.com/technology/2017/jan/10/browser-autofill-used-to-steal-personal-
details-in-new-phising-attack-chrome-safari
Переклад українською:
Фінський веб-розробник і гакер Вільямі Куосманен виявив, що декілька веб-браузерів,
включаючи Google Chrome, Apple Safari і Opera, а також деякі плаґіни та утиліти,
такі як LastPass, можуть бути обдурені таким чином, що вони передадуть особисту
інформацію користувача за допомогою систем автозаповнення на основі профілю
користувача.
Механізм фішінгової атаки є дуже простим. Куосманен виявив, що коли користувач
намагається заповнити інформацію в деяких простих текстових полях, таких як ім'я та
адреса електронної пошти, система автозаповнення, яка призначена для уникнення
нудного повторення стандартної інформації, такої як ваша адреса, буде вводити ще й іншу
інформацію з профілю користувача в будь-які інші текстові поля - навіть якщо ці поля не
відображаються на сторінці.
Це означає, що коли користувач вводить, здавалося б, більш-менш загальновідому
інформацію про себе в поле на сайті, система автозаповнення може одночасно
віддавати набагато більш конфіденційну інформацію, якщо користувач увімкнув
систему автозаповнення.
2) Шахраї:

13. Як це працює?
https://support.google.com/chrome/answer/142893?co=GENIE.Platform%
3DDesktop&hl=uk
2) Шахраї:

14. Як це працює?
http://reyestr.court.gov.ua/Review/75907358
Справа № 509/3582/18
УХВАЛА
ІМЕНЕМ УКРАЇНИ
14 серпня 2018 року Овідіопольський районний суду Одеської області у складі:
слідчого судді Гандзій Д.М.
при секретарі Задеряки Г.М.
розглянувши у відкритому судовому засіданні в смт. Овідіополь Одеської області клопотання старшого слідчого СВ
Авангардівського ВП Овідіопольського ВП ГУНП в Одеській області капітана поліції ОСОБА_1, погоджене з
процесуальним керівником прокурором Іллічівської місцевої прокуратури ОСОБА_2,
про тимчасовий доступ до речей і документів, по кримінальному провадженню внесеному до Єдиного реєстру досудових
розслідувань за № 12018160380000838 від 25.04.2018 року,
з правовою кваліфікацією за ч. 1 ст. 185 КК України, -….
Зобов’язати працівників «Київстар» ЄДРПОУ 21673832, юридичною адресою якого є м. Київ, вул. Дегтярівська, 53,
надати старшому слідчому СВ Авангардівського ВП Овідіопольського ВП ГУНП в Одеській області капітану поліції
ОСОБА_1, слідчим слідчої групи, оперуповноваженому ВКП Подільського УП ГУНП в м. Києві ОСОБА_4 тимчасовий
доступ до наступної інформації з можливістю вилучення вказаної інформації на паперовому та
електронному носії інформації:
1.Адреси розташування та номери базових станцій; дата, час та тривалість з’єднань; ідентифікаційні ознаки терміналу, з
яким відбувався сеанс зв’язку (абонентський номер SIM-картки, IMEI, MAC-адреса, IP-адреса); типи з’єднань
(вхідні, вихідні з’єднання, SMS, MMS, GPRS, вихід до мережі Інтернет, переадресація, тощо) абонента мобільного зв’язку
з ідентифікаційними ознаками терміналу «Айфон 7»,ІМЕІ №359166075994752 за період з 25.04.2018 до часу
фактичного виконання ухвали володільцем інформації (за наявності таких відомостей)
3) Державні органи:

15. Статус інформації про особу визначається
Юрисдикцією держави, дія якої поширюється на будь-що з переліченого -
збирання, зберігання, розповсюдження інформації
Україна Інші держави, території, простори
Закон України “Про міжнародне приватне право”
Ст. 22 Особисті немайнові права
1. До особистих немайнових прав застосовується право держави, у якій мала місце дія чи
інша обставина, що стала підставою для вимоги про захист таких прав, якщо інше не передбачене
законом.
Ст. 49 Право, що застосовується до зобов'язань про відшкодування шкоди
1. Права та обов'язки за зобов'язаннями, що виникають внаслідок завдання шкоди, визначаються
правом держави, у якій мала місце дія або інша обставина, що стала підставою для вимоги
про відшкодування шкоди.

16. Статус інформації в Україні
Цивільний кодекс України
Ст. 302 Право на інформацію – особисте немайнове право
Ст. 200 Інформація – нематеріальне благо
Суб'єкт відносин у сфері інформації може вимагати усунення порушень його права та
відшкодування майнової і моральної шкоди, завданої таким правопорушенням.
В 2011 році з Закону України «Про інформацію» вилучено ст. 38 про «право власності на
інформацію», зокрема про те, що інформація, створена кількома громадянами або юридичними
особами, є колективною власністю її творців. Порядок і правила користування такою
власністю визначаються договором, укладеним між співвласниками.
Інститут «права власності» на інформацію в новому Законі замінений інститутом «володіння
інформацією» і правом відповідної особи робити інформацію публічною, надаватиприпиняти доступ
обмеженому колу осіб, забороняти зберігання і поширення інформації.
У статті 23 Закону України «Про інформацію» з'явилася згадка про інформаційну продукцію та
інформаційні послуги, як результати матеріалізація й упредметнення інформації.

17. Базові обмеження “обігу” даних про особу
Закон України “Про інформацію”
Ст. 20 Доступ до інформації
Будь-яка інформація є відкритою, крім тієї, що віднесена законом до інформації з
обмеженим доступом.
Ст. 11 Інформація про фізичну особу
Не допускається збирання, зберігання, використання та поширення конфіденційної
інформації про особу БЕЗ ЇЇ ЗГОДИ, крім випадків, визначених законом, і лише
в інтересах національної безпеки, економічного добробуту та захисту прав людини.
Інформація про фізичну особу (персональні дані) – відомості чи сукупність відомостей
про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Отже, свобода збирання, зберігання, використання, поширення інформації, пов'язаної
з фізичною особою, залежить від того, чи є така інформація:
1) Персональними даними (перша лінія захисту фізичної особи)
2) Конфіденційними персональними даними (більш посилений режим захисту фізичної
особи);

18. Конфіденційність і персональні дані
Персональні дані можуть бути:
1) конфіденційними;
2) відкритими;
Закон України “Про захист персональних даних”
Ст. 5 Об’єкти захисту
Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною
особою.
Закон України “Про інформацію”
Ст. 11 Інформація про фізичну особу
До конфіденційної інформації про фізичну особу належать, зокрема дані про:
- національність;
- освіту;
- сімейний стан;
- релігійні переконання;
- стан здоров’я;
- адресу;
- дату і місце народження.
Цей перелік необмежений. Відсутня правова визначеність щодо обсягу інформації про особу, яка в тій
чи іншій ситуації буде конфіденційною
Невичерпний перелік законів, які визначають конфіденційний характер інформації про особу, наведено в п. 5.6
Постанови Пленуму Вищого адміністративного суду України № 10 від 29 вересня 2016 року “Про практику
застосування адміністративними судами законодавства про доступ до публічної інформації”

19. Неідентифікована особа = відсутність у
інформації про неї статусу конфіденційної
Закон України “Про інформацію”
Ст. 11 Інформація про фізичну особу
Інформація про фізичну особу (персональні дані) – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути
конкретно ідентифікована.
Висновок від зворотного
http://www.reyestr.court.gov.ua/Review/59288070
У х в а л а
іменем України
27 липня 2016 року м. Київ
Колегія суддів судової палати у цивільних справах Вищого спеціалізованого суду України з розгляду цивільних і кримінальних справ у
складі:…
Судами встановлено, що 19 серпня 2014 року з метою виконання службових (бойових) завдань старшину ОСОБА_6, старшого інструктора
розвідувальної роти, на підставі наказу першого заступника керівника Антитерористичного центру при Службі безпеки України № 95 від 19 серпня 2014
року було зараховано до складу сил, які залучаються та беруть участь в антитерористичній операції на території Донецької та Луганської областей.
ОСОБА_6 у зв'язку з отриманим пораненням під час проведення антитерористичної операції перебував у Головному військово-медичному клінічному центрі
«Головний військовий клінічний госпіталь» Міністерства оборони України.
ОСОБА_7 розмовляв з позивачем 13 жовтня 2014 року під час перебування останнього в госпіталі з метою написання статті як журналіста
для ПрАТ «Сьогодні Мультимедіа», яка була опублікована ІНФОРМАЦІЯ_1.
Позивач зазначає, що він просив журналіста не використовувати його інформацію для публікації, проте ОСОБА_7, скориставшись його станом
після операції, отримав подробиці його особистого життя, використав їх у своїй статті, яка була опублікована ПрАТ «Сьогодні Мультимедіа» в
газеті «Сегодня» від ІНФОРМАЦІЯ_1 НОМЕР_1 у розділі «Спецпроект» на сторінці 9. Стаття має назву: «ІНФОРМАЦІЯ_2».
Отже, суд першої інстанції, з висновками якого погодився й апеляційний суд, дійшов обґрунтованого висновку про визнання протиправними дії
ОСОБА_7 щодо передачі конфіденційної інформації стосовно військовослужбовця ОСОБА_6 без його дозволу ПрАТ «Сьогодні «Мультимедіа»,
оскільки той обсяг інформації, який був викладений у статті стосовно позивача (ім'я, попереднє місце проживання, місце отримання поранення, хто
його звільняв з полону, ім'я командира, місце роботи родичів), дозволяє КОНКРЕТНО ІДЕТИФІКУВАТИ ОСОБУ позивача, тому отримання його
згоди на публікацію цих даних було обов'язковим.

20. Неідентифікована особа = відсутність у
інформації про неї статусу персональних даних
http://www.reyestr.court.gov.ua/Review/59288070
АПЕЛЯЦІЙНИЙ СУД МІСТА КИЄВА
Справа № 22-5948/14 Головуючий у 1 інстанції: Кирилюк І.В.
Доповідач: Нежура В.А.
У Х В А Л А
Іменем України
20 травня 2014 року колегія суддів судової палати в цивільних справах Апеляційного суду м. Києва в складі:…
Виходячи із аналізу наведених правових норм, суд першої інстанції правильно зазначив, що не всі дані про особу її ідентифікують, оскільки партійність,
релігійність, національність, стать, професія, будь-які біометричні, соціальні дані та навіть адреса проживання є за своєю природою родовими ознаками і
можуть стосуватися одночасно багатьох людей. Проте, у разі поєднання даних про особу з її іменем та прізвищем, вони вважатимуться
персональними даними.
Аналогічне твердження міститься у листі Міністерства юстиції України від 15.11.2013 р. № 13232-0-26-13/61, у якому зазначено, що Рекомендацією СМ/Rес
(2010) Комітету Міністрів Ради Європи державам-членам щодо захисту осіб у зв'язку з автоматизованою обробкою персональних даних в контексті їх
профілювання визначено, що під персональними даними розуміється виключно інформація, за допомогою якої особа ідентифікується або може бути
ідентифікована.
Особа не може вважатись такою, що може бути ідентифікована, якщо її ідентифікація вимагає невиправдано великої кількості часу і зусиль.
Повідомленням Європейської Комісії Європейського Парламенту, Раді, Економічно-соціальному комітету та Комітету регіонів "Комплексний підхід до захисту
персональних даних в Європейському союзі" від 04.11.2010 р. ЄОМ(2010) 609 встановлено, що визначення поняття "персональні дані" має на меті охопити всю
інформацію, пов'язану з ідентифікацією або можливістю ідентифікувати особу прямо чи непрямо.
Таким чином, колегія суддів погоджується із висновком суду про те, що виключно прізвище та ім'я особи не є персональними даними, оскільки за
цими даними не можливо конкретно ідентифікувати особу, а для ідентифікації конкретної особи за прізвищем та іменем необхідно додаткові дані про
таку особу.
Лист Заступника Керівника Секретаріату Уповноваженого Верховної Ради України з прав людини №3/9-3277585.16/26-131 від 16 листопада
2016 року https://adlegem.com.ua/yuridichna-kompanIya-ad-legem-blog
Тобто, за загальним правилом віднесення IP-адреси абонента до персональних даних залежить від форми правовідносин між абонентом та
телекомунікаційним оператором (на умовах письмового договору або за передоплатою). Тобто, при укладенні з абонентом договору, ІР-адреса абонента
вважатиметься його персональними даними, адже даватимуть телекомунікаційному оператору змогу ідентифікувати такого абонента.
Водночас IP-адреса особи, яка не є ідентифікованою (користується телекомунікаційними послугами без укладення письмового договору або добровільної
особистої реєстрації на веб-сайті телекомунікаційного оператора), за загальним правилом, не належатиме до персональних даних.

21. Технології збирання даних власниками веб-
сайтів
1) Cookies (реп'яшки);
2) Flash cookies;
3) Etag;
4) Веб-маяки;
5) Інші технології (Hotjar, fingerprinting, etc.), які дозволяють зчитувати
або зберігати інформацію з/на кінцевий пристрій користувача;

22. Cookies
Файли, які завантажуються відвідуваним веб-сайтом на кінцевий пристрій
користувача.
Зберігаються на пристрої тимчасово (протягом відвідування веб-сайту) або
протягом довшого періоду.
Бувають дійсно необхідними для нормальної роботи з веб-сайтом протягом його
відвідування, а також бувають такі, що використовуються для веб-аналітики,
рекламування послугтоварів.
Приклади:
- Допомагають зберігати один раз обраний для покупки товару в “Кошику” під час
подальшого відвідування різних веб-сторінок Інтернет-магазину;
- Допомогають без додаткових перевірочних дій заходити користувачу на сторінки
веб-сайтів, доступ до яких надається після певної авторизації користувача, якщо
користувач обрав функцію “Запам'ятати мене”;
- Допомагають визначити, яку рекламу показати користувачу, враховуючи
відвідані ним раніше веб-сайти;

23. Інші технології
Flash cookies - файли, які завантажуються на кінцевий пристрій користувача через
інші програми, окрім веб-браузера. Призначені для зберігання інформації, наприклад,
про місце, де користувач припинив перегляд відео з рекламою, налаштувань про
гучність, про результати рахунку он-лайн гри, в яку грав користувач, про придбані
товари та ін.
Etag – запити, якими обмінюється веб-браузер з веб-ресурсом для перевірки того,
чи змінювалося наповнення сторінки відвідуваного веб-сайту порівняно із кешованою
версією веб-сторінки, збереженої на пристрої користувача. Технологія надає
інформацію про те, як довго застаріла кешована версія сторінки зберігалася на
комп'ютері.
Веб-маяки – графічні файли вбудовані у веб-сторінку. Використовуються для
визначення IP-адреси, типу браузера, тривалості перебування на сторінці, підрахунку
кількості користувачів, які відвідали сторінку.
Аналітичні скрипти – програми веб-ресурсу, які записують поведінку користувача під
час відвідування веб-ресурсу (випадково вставлена в пошукову форму інформація, але
без натискання в подальшому кнопки “пуск”, заповнення он-лайн форм не до кінця і
подальше закриття діалогового вікна без завершення заповнення, відслідковування
руху миші – див. Исследование: более 400 крупных популярных сайтов
записывают пользовательские сессии, Анастасия Краснянская,
https://m.habr.com/post/357444)
Device Fingerprinting – визначення індивідуальних налаштувань пристрою – часова
зона, мова, системні шрифти, налаштувань екрану та ін.

24. На що звертати увагу під час обробки даних?
На механізм отримання даних з кінцевого пристрою, який використовується в
технології:
1) Чи власник веб-ресурсу отримує від пристрою користувача лише інформацію, яку
пристрій надсилає йому, БЕЗ розміщення власником веб-ресурсу засобів збирання даних
на пристрої користувача?
2) Чи власник веб-ресурсу отримує від пристрою користувача інформацію, яку пристрій
надсилає йому ЗАВДЯКИ розміщенню власником веб-ресурсу засобів збирання даних на
пристрої користувача?
Article 29 Data Protection Working Party (EU).
Opinion 8/2010 on applicable law
The application of the Directive would not be triggered by means used for transit purposes only, but
it would be triggered by more specific equipment e.g. if the service uses calculating facilities, runs
java scripts or installs cookies with the purpose of storing and retrieving personal data of users.
Закон України “Про міжнародне приватне право”
Ст. 22 Особисті немайнові права
1. До особистих немайнових прав застосовується право держави, у якій мала місце дія чи
інша обставина, що стала підставою для вимоги про захист таких прав, якщо інше не
передбачене законом.

25. Цифрові сліди в дії
http://reyestr.court.gov.ua/Review/68885193 Ухвала
іменем України
11 вересня 2017 рокум. Київ Колегія суддів судової палати у цивільних справах
Вищого спеціалізованого суду України з розгляду цивільних і кримінальних справ у складі:…
Відповідно до висновку експерта Науково-дослідного центру судової експертизи з питань інтелектуальної власності у висновку № 161/15
від 05 серпня 2015 року, що шляхом використання функціональних можливостей веб-ресурсу АДРЕСА_1, вмісту його службових
відомостей (cookies, «tmp», лог-файлів, налаштувань авторизації, протоколів підключення та і діяльності користувачів
тощо) виявлено відомості щодо дій зареєстрованого користувача веб-ресурсу АДРЕСА_2компанії «HeadMen» (ідентифікатору
АДРЕСА_3) у частині, що стосується перегляду/завантаження резюме.
У дослідній частині висновку зазначено, що використання ресурсу АДРЕСА_1кожному користувачу системи після проходження процедури
реєстрації на ресурсі надається унікальний ідентифікатор користувача (далі - ID номер).
Зареєстрований користувач ресурсу АДРЕСА_1 компанія «HeadMen» має унікальний ідентифікатор ідентифікатору АДРЕСА_3. Під час
авторизації на ресурсі використовуючи свій обліковий запис, має можливість переглядати будь яке резюме із бази даних регіону Росія.
За результатом аналізу системних файлів ресурсу щодо активності АДРЕСА_3 зроблено висновок про те, що зазначений ID у якості
донора здійснював перегляд та завантаження (закачування) резюме для користувачів - рецепиєнтів.
За результатом вивчення системних файлів, файлів моніторі діяльності II) зафіксовано, що користувач ресурсу АДРЕСА_1 зареєстрований
під АДРЕСА_3 (в особі менеджерів компанії «HeadMen» - 22 особи).
За результатом аналізу відомостей ресурсу встановлено, що з використанням облікового запису «HeadMen» (АДРЕСА_3) в період
часу з 01 березня 2015 року по 31 квітня 2015 року на ресурсі біли переглянуті/завантажені - 1614 резюме посилання на які були
сформована 20- ма іншими ID (ID - рецепіентами) (а. с. 89-92 т. 1).

26. Цифрові сліди в дії
http://reyestr.court.gov.ua/Review/34535513
Справа № 1-17/11
Провадження №1/761/7/2013
В И Р О К
іменем України
24 жовтня 2013 року
Шевченківський районний суд м. Києва в складі:
Продовжуючи свої злочинні дії, ОСОБА_2, переслідуючи корисливі спонукання, та з метою незаконного збагачення шляхом злочинної
діяльності, в період часу з 12.06.07 по 16.06.07, знаходячись в офісі ПП «Неопол» (ЄДРПОУ 25635900), що в м. Києві по вул.
Дегтярівській 33-А, де працюючи відповідно до наказу 41-2/ВК від 12.06.07 на посаді системного адміністратора, користуючись
повним та необмеженим доступом до всіх мережевих ресурсів користувачів, несанкціоновано втрутився в роботу автоматизованої
системи «Клієнт-Банк», та отримав атрибути доступу для входу до такої системи.
16.06.07 о 09 год. 36 хв., системний адміністратор ОСОБА_2, здійснив вхід на офіційну сторінку у мережі Інтернет за адресою
www.vabank.com, де використовуючи несанкціоновано отримані атрибути доступу для входу в систему «Клієнт-Банк» та пароль
входу до такої системи, несанкціоновано проник до системи «Клієнт-Банк», і без дозволу керівника ПП «Неопол» (ЄДРПОУ 25635900), та
уповноважених ним осіб, які мають право доступу до такої системи, о 09 год. 59 хв. підробив інформацію, а саме електронне
платіжне доручення № 3230 від 16.06.2007, яке в собі містило інформацію для переказу грошових коштів з розрахункового рахунку
ПП «Неопол» (ЄДРПОУ 25635900), № 2600730017907 в розмірі 35047 грн. на рахунок ОСОБА_5 № НОМЕР_2, якому про злочинні наміри
ОСОБА_2 не було відомо, з призначенням платежу, плата за послуги ремонту офісу згідно договору № 34 від 03.02.07, що заподіяло ПП
«Неопол» (ЄДРПОУ 25635900) значної шкоди, на суму 35047 грн., що більше ніж в сто разів перевищує неоподаткований мінімум доходів
громадян.
Згідно висновку експертизи об'єкту інформації № 124 від 27.12.2007 року, у тимчасових файлах «COOKIES», які містяться на
жорсткому диску s/n S00MJ10Y412298 80GB, який вилучений із системного блоку на якому працював ОСОБА_2, мається інформація
про те, що 16.06.2007 року о 09.26. користувачем «ІНФОРМАЦІЯ_4» був здійснений вхід на офіційну сторінку у мережі Інтернет
за адресою www.vabank.com, що опосередковано підтверджує той факт, що 16.06.2007 користувач «ІНФОРМАЦІЯ_4» міг
здійснити дії із системою електронних платежів клієнт-банк, використовуючи можливі отримані раніше паролі.

27. Цифрові сліди в дії
АНТИМОНОПОЛЬНИЙ КОМІТЕТ УКРАЇНИ
ОДЕСЬКЕ ОБЛАСНЕ ТЕРИТОРІАЛЬНЕ ВІДДІЛЕННЯ
РІШЕННЯ АДМІНІСТРАТИВНОЇ КОЛЕГІЇ
21.12.2017 м. Одеса № 28-р/к Справа №13-08/2017
Про порушення законодавства про захист економічної конкуренції та накладення штрафу
Адміністративна колегія Одеського обласного територіального відділення Антимонопольного комітету України
розглянувши матеріали справи №13-08/2017 про порушення законодавства про захист економічної конкуренції з боку
Малого підприємства у формі Товариства з обмеженою відповідальністю «Нептун» (код ЄДРПОУ-20943790) та
Малого підприємства «Озон» (код ЄДРПОУ-20943850) у вигляді антиконкурентних узгоджених дій, які стосуються
спотворення результатів торгів (тендерів),...
За інформацією, наданою оператором авторизованого електронного майданчика ТОВ НВП «Інформаційні
Технології» (вих. № 255 від 17.05.2017) для забезпечення доступу до участі в торгових процедурах, встановлено, що
тендерні пропозиції МП «Озон» та МП у формі ТОВ «Нептун» для участі в Торгах були завантажені на
електронний майданчик з однієї унікальної мережевої адреси вузла в комп'ютерній мережі, побудованої за
протоколом IP (Internet Protocol address)....
Отже, подання тендерних пропозиції з однієї IP-адреси МП «Озон» та МП у формі ТОВ «Нептун», які виступають
конкурентами в Торгах не є природним та свідчить про те, що під час участі у процедурах закупівель та
підготовки пропозицій конкурсних торгів Відповідачі діяли спільно, узгоджуючи свої дії та були обізнані щодо
цінових пропозицій один одного, що обумовлено завантаженням тендерної документації з комп’ютера з
унікальною IP адресою, яка не може бути присвоєна іншому пристрою.
За інформацією Лиманської об’єднаної ДПІ Одеської області, наданою листом від 24.07.2017 № 982, встановлено, що
обома Відповідачами податкова звітність здійснювалася з однієї унікальної мережевої адреси вузла в
комп'ютерній мережі, побудованої за протоколом IP (Internet Protocol address).

28. Цифрові сліди в дії
АНТИМОНОПОЛЬНИЙ КОМІТЕТ УКРАЇНИ
РІШЕННЯ ТИМЧАСОВОЇ АДМІНІСТРАТИВОЇ КОЛЕГІЇ
17 серпня 2017 р. Київ № 2-р/тк-тв
Порушення товариства з обмеженою відповідальністю «Інтергіпс вчинене шляхом розповсюдження серед клієнтів та
постачальників плюс» електронних листів з неправдивою інформацією про цей суб’єкт господарювання та його
діяльність.
У жовтні 2016 року клієнти та постачальники Заявника почали звертатися до нього з проханням надати роз’яснення
щодо отриманих ними електронних листів, надісланих від імені ТОВ «Ремцентр+» (електронна адреса
remcentr_plus@ukr.net) (див. фотокопію). Зазначені електронні листи містили відомості про Заявника та його 3 діяльність, які
можуть завдати шкоди діловій репутації цього суб’єкта господарювання.
У відповідь на вимоги про надання інформації від 29.11.2016 № 02-05/4041 та від 21.12.2016 № 02-05/4332, листом від
24.01.2017 б/н (вх. Відділення № 01-11-298 від 01.02.2017) ТОВ «Ремцентр+» повідомило Відділенню, що не володіє
інформацією про фізичну/юридичну особу, яка є власником електронної адреси remcentr_plus@ukr.net, та про те,
що Товариство не розповсюджувало із вказаної електронної адреси інформацію, яка дискредитує Заявника. ТОВ «Ремцентр+»
також повідомило, що використовує електронну адресу remcentr2013@ukr.net як робочий засіб зв’язку під час
здійснення своєї господарської діяльності.
Листами від 14.03.2017 № 1403/01 (вх. Відділення № 01-11-764 від 15.03.2017) та від 22.03.2017 № 2203/02 (вх. Відділення №
01-11-851 від 23.03.2017) ТОВ «Інтергіпс плюс» повідомило, що заголовок Електронних листів містить інформацію про
IP-адресу 91.224.11.35 та доменне ім’я «mailerplus.com.ua», за допомогою яких розповсюджувались зазначені Електронні
листи.
За результатами пошуку в мережі Інтернет домену «mailerplus.com.uа» Заявником було знайдено веб-сторінку, розміщену
за посиланням http://mailerplus.com.ua/preview/uid/USCm5FpJsoducQWufSlWxogCgNkvW9_dNdR1DIQXpkujrRPK315Bqw/, яка
містить інформацію про сервіс масової розсилки смс-повідомлень та електронних листів по базах юридичних та фізичних
осіб (https://smsukraine.com.ua/). Як було встановлено, зазначений сервіс розсилки електронних повідомлень належить
товариству з обмеженою відповідальністю «Інвестум» (далі – ТОВ «Інвестум»).

29. Цифрові сліди в дії
У зв’язку з цим, Відділенням було направлено до ТОВ «Інвестум» вимогу про надання інформації від 17.03.2017 № 02-05/1115.
ТОВ «Інвестум» також повідомило, що 17.10.2016 о 12:29:52 за допомогою Системи було здійснено розсилку вищевказаних
Електронних листів та зазначено інформацію про відправника цих листів, а саме: remcentr_plus@ukr.net. Під час своєї
реєстрації клієнтом ТОВ «Інвестум», який замовив розсилку Електронних листів, було зазначено таку інформацію: логін –
+380674452696, назва компанії – Ремцентр, ім’я к
З метою з’ясування інформації про фізичну чи юридичну особу, яка протягом жовтня 2016 − поточного періоду 2017 років
використовує номер мобільного телефону +380674452693, Відділенням було направлено до ПрАТ «Київстар» вимоги
про надання інформації від 28.03.2017 № 02-05/1252 та від 25.04.2017 № 02-02/1615.лієнта – Олег, e-mail – bk-
palasbud@ukr.net.
Листом від 05.05.2017 № 11192/02 (вх. Відділення № 01-11-64-К від 10.05.2017) (інформація з обмеженим доступом) повідомило,
що в період з 20.12.2001 та на дату надсилання цього листа номер мобільного телефону був зареєстрований на......... При
цьому, відповідно до інформації з Єдиного державного реєстру підприємств та організацій України (ЄДРПОУ) керівником ТОВ
«Ремцентр+»........ Отже, виявлена Відділенням інформація свідчить про використання керівником ТОВ «Ремцентр»
номера мобільного телефону +380674452693 для реєстрації у Системі.
З огляду на те, що IP-адреса 195.245.221.58 належить до категорії динамічних IP-адрес, встановити особу, яка
використовувала цю IP-адресу, не вбачається можливим. Разом з тим, відповідно до інформації з веб-сайту
https://www.whois.com/ IP-адреса 109.237.91.27 належить товариству з обмеженою відповідальністю «Т.Е.С.Т.» (далі –
ТОВ «Т.Е.С.Т.»).

30. Цифрові сліди в дії
У зв’язку з цим, Відділенням було направлено до ТОВ «Т.Е.С.Т.» вимогу про надання інформації від 28.03.2017 № 02-02/1253.
Листом від 12.04.2017 № 105 (вх. Відділення № 01-11-1083 від 14.04.2017) ТОВ «Т.Е.С.Т.» повідомило, що відповідно до
умов договору від 01.08.2016 № П-0108, укладеного між ТОВ «Т.Е.С.Т.» і ТОВ «Глобальні комунікації», ТОВ «Глобальні
комунікації» використовує IP-адресу 109.237.91.27 для надання телекомунікаційних послуг його власному абоненту.
З метою з’ясування інформації про абонента ТОВ «Глобальні комунікації», якому протягом жовтня 2016 − поточного
періоду 2017 років надавалась у користування IP-адреса 109.237.91.27, Відділенням було направлено до ТОВ «Глобальні
комунікації» вимогу про надання інформації від 25.04.2017 № 02-02/1616.
Листом від 10.05.2017 № 23 (вх. Відділення № 01-11-67-К від 11.05.2017) ТОВ «Глобальні комунікації» повідомило, що
відповідно до умов договору про надання телекомунікаційних послуг (інформація з обмеженим доступом) надає IP-
адресу 109.237.91.27 у користування ТОВ «Ремцентр+».
Отже, виявлена Відділенням інформація свідчить про використання ТОВ «Ремцентр+» IP-адреси 109.237.91.27 для
здійснення входу до Системи з метою направлення вищевказаних Електронних листів.

31. Висновки
1) На правовий статус інформації впливає те, в якій країні здійснюється
збирання інформації;
2) Якщо це Україна, то відносно збирача діють виключення щодо
обробки персональних даних, передбачені ст. 25 Закону України “Про
захист персональних даних” - для журналістських та творчих потреб; фізична
особа використовує дані для особистих або побутових потреб;
3) Якщо володілець сукупності персональних даних має витратити
невиправдано велику кількість часу і докласти зусиль для ідентифікації
особи протягом строку зберігання даних, такі дані не є персональними і на
них не поширюється Закон України “Про захист персональних даних”;
4) Якщо володілець сукупності персональних даних має витратити
невиправдано велику кількість часу і докласти зусиль для ідентифікації
особи протягом строку зберігання, якщо такі дані формально підпадають під
категорію конфіденційної інформації, такі дані не є конфіденційною
інформацією.