Аналіз статті 4(1) та преамбули 30 GDPR встановлює, що онлайн-ідентифікатори є явними формами персональних даних, коли вони дозволяють ідентифікувати фізичну особу. У тексті регламенту зазначається: «ідентифікатором може бути „ім’я, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор“» (GDPR, ст. 4(1)). Преамбула 30 додатково роз’яснює, що до них належать дані, «надані пристроями, програмами, інструментами та протоколами, як-от IP-адреси, ідентифікатори файлів cookie або інші ідентифікатори, наприклад, мітки радіочастотної ідентифікації» (GDPR, Преамбула 30).
Результати показують, що онлайн-ідентифікатори набули значної ваги через поширення цифрових технологій. Ключові висновки з емпіричної літератури та нормативних документів включають:
- IP-адреса (Internet Protocol): IP-адреси, призначені пристроям, загальновизнано є персональними даними згідно з GDPR, оскільки вони можуть прямо чи опосередковано ідентифікувати осіб.
- Файли cookie: Постійні файли cookie можуть зберігати унікальні значення, пов’язані з активністю користувача, що дозволяє створювати профілі та відстежувати. Робоча група з питань захисту даних статті 29 (WP29) підтверджує, що файли cookie є онлайн-ідентифікаторами (Висновок WP29 02/2013).
- Вебмаяки та піксельні теги: Ці механізми збирають дані про відвідування вебсайтів та взаємодію користувачів, часто в поєднанні з файлами cookie або інформацією про пристрій.
- Мобільні рекламні ідентифікатори: Унікальні рекламні ідентифікатори на смартфонах дозволяють відстежувати користувачів у різних додатках і на різних сайтах.
- Цифрові відбитки пристроїв: Методи агрегації характеристик браузера та пристрою для унікальної ідентифікації конфігурацій апаратного/програмного забезпечення.
- RFID-мітки: Невеликі електронні пристрої, що зберігають дані, які в поєднанні з іншою інформацією можуть дозволити ідентифікацію.
Агрегація таких ідентифікаторів з часом, особливо в поєднанні з іншими даними (наприклад, обліковими даними, метаданими пристрою), становить значний ризик повторної ідентифікації, навіть якщо окремі ідентифікатори самі по собі не розкривають особу. Це узгоджується з критерієм «виокремлення», що обговорювався у справі CJEU Breyer (C-582/14), яка роз’яснила, що динамічні IP-адреси за певних обставин можуть вважатися персональними даними.
Підсумовуючи:
- Онлайн-ідентифікатори згідно з GDPR охоплюють широкий спектр технічних маркерів, включаючи, але не обмежуючись, IP-адреси, файли cookie, цифрові відбитки пристроїв та RFID-мітки.
- Ці ідентифікатори класифікуються як персональні дані, коли вони можуть прямо чи опосередковано призвести до розпізнавання або виокремлення особи.
- Поєднання онлайн-ідентифікаторів з іншими унікальними маркерами збільшує ймовірність та ризик ідентифікації, що вимагає надійних стратегій дотримання вимог та захисту конфіденційності.
