NEXT 3/2009 - Dane osobowe pod ochroną

Bez względu na to, czy prowadzisz sklep internetowy, czy prywatny serwis hobbistyczny, nie możesz dowolnie zbierać informacji o swoich użytkownikach. Niedopełnienie obowiązków wynikających z przepisów prawa może spowodować poważne konsekwencje.

Zdaniem eksperta

Jakub Kaniewski aplikant adwokacki, specjalista z zakresu prawa internetu Przyjęcie, że dany podmiot jest jednocześnie administratorem danych osobowych, jest niezwykle ważne z punktu widzenia zakresu obowiązków, jakimi jest on obarczony. Ich nieprzestrzeganie rodzi bowiem poważne konsekwencje w sferze odpowiedzialności prawnej. Za naruszenie przepisów o ochronie danych osobowych grozi kara od grzywny do pozbawienia wolności nawet do lat 3. Poza tym w takim przypadku trzeba się liczyć również z odpowiednią interwencją ze strony Głównego Inspektora Ochrony Danych Osobowych oraz roszczeniami o charakterze cywilnym, np. za naruszenie dóbr osobistych. Zatem każdy, kto zarządza odpowiednią bazą danych, powinien bardzo wnikliwie zapoznać się z przepisami obowiązującymi w tej materii.

Wielu wątpliwości, zwłaszcza w odniesieniu do zagadnień związanych z internetem, dostarcza samo pojęcie „dane osobowe”. Do jego interpretacji kluczowy będzie zapis art. 6 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.). Wynika z niego, że dane osobowe są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, umożliwiające jej bezpośrednie wskazanie (nie będzie to więc np. adres IP).

Łatwa identyfikacja

Duże znaczenie ma również sposób pozyskania danych. Ich zdobycie nie może bowiem wymagać nadmiernych kosztów, czasu lub działań i musi być możliwe do wykonania przy wykorzystaniu łatwo i powszechnie dostępnych źródeł.

Takim źródłem staje się właśnie internet, a za daną może być uznany nawet adres e-mail. Na tym tle pojawia się jednak sporo problemów. Bo przecież nie możemy uznać za daną osobową adresu, np. kotek@wp.pl, czy jankowalski@wp.pl (Janów Kowalskich jest w Polsce mnóstwo), ale już np. jankowalski@nextmag.pl pozwoli wskazać, że chodzi o konkretną osobę zatrudnioną w magazynie NEXT. Tu pojawia się jednak kolejne zagadnienie – danych osobowych służbowych, które praktycznie nie podlegają żadnej ochronie prawnej.

Administrator danych

Dane użytkowników mogą być przetwarzane jedynie przez tzw. administratora danych osobowych. Może nim być każdy z nas (np. właściciel serwisu, tworzący bazę swoich użytkowników), a precyzyjniej, za administratora ustawa uważa organ, jednostkę organizacyjną, podmiot lub osobę fizyczną.

Prawo wymaga dużo większej ostrożności od administratorów, którzy przetwarzają dane swoich użytkowników w ramach prowadzonej działalności. Zagadnienie to precyzuje ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. nr 144, poz. 1204 z późn. zm.), która reguluje zasady ochrony danych osobowych użytkowników korzystających z usług świadczonych drogą elektroniczną.

Usługą świadczoną w tej postaci będzie np. prowadzenie sklepu internetowego. Podmioty zajmujące się tego typu działalnością wiążą podwyższone standardy ochrony danych osobowych. Dzieje się tak ze względu na niejednokrotnie wręcz wymagane podawanie pewnych informacji, umożliwiających spełnienie danej usługi (np. adres dostawy). Ustawa precyzuje tu zakres możliwego przetwarzania danych osobowych.

Nie wydaje się natomiast konieczne zgłaszanie tak utworzonych zbiorów Generalnemu Inspektorowi Ochrony Danych Osobowych. Wynika to z ogólnego celu przetwarzania tego typu danych – wykonania usługi i wystawienia faktury czy innego rachunku, co nie podlega rejestracji.

Natomiast jeśli korzystając z elektronicznej usługi, jej użytkownik narusza prawo, np. postępuje niezgodnie z regulaminem lub z obowiązującymi przepisami, usługodawca może przetwarzać jego dane w zakresie niezbędnym do ustalenia odpowiedzialności. Musi jednak utrwalić dla celów dowodowych fakt uzyskania oraz treść tych wiadomości (o czym nie musi go informować).

Użytkownicy prywatni

Powyższe zasady nie wiążą natomiast prywatnych użytkowników i twórców stron WWW. Szczególnie istotny, w odniesieniu do tej kategorii osób, może być ponadto zapis ustawy mówiący o tym, że nie stosuje się jej do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych.

W zasadzie każdy prywatny twórca witryny WWW mógłby się na niego powołać i zapomnieć o istnieniu ustawy. To, czy jednak ten warunek zostanie spełniony, zależy niejednokrotnie od pojedynczych przypadków i analizy konkretnej sprawy. Dla zobrazowania tej myśli posłużmy się przykładem: utworzenie bazy osób odwiedzających blog w zasadzie może zostać uznane za osiągnięcie tego celu. Jeśli jednak dołączymy do niego newsletter, którym będziemy rozsyłać ofertę sklepów o tematyce, której nasz dziennik jest poświęcony, do tego działając w porozumieniu z tymi sklepami, wówczas nasze działanie może zostać uznane za świadczenie usług drogą elektroniczną.

Przedstawione zagadnienia pokazują wyłącznie zarys tej skomplikowanej problematyki. Osoby, których dotyczą omawiane regulacje, powinny koniecznie poszukać szczegółowych informacji na ten temat.

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• Aaaby znaleźć pliki »
  serwis internetowy Rapid Library
• Java CMS »
  DOTCMS 1.5
• Dane i sprzęt pod pełną kontrolą »
  kontrola przepływu danych w sieci
• Od XML-a do XHTML-a »
  przetwarzanie dokumentów XML
• Komputer w komputerze »
  test porównawczy maszyn wirtualnych