Ochrona danych osobowych w Internecie - część 1

W Internecie coraz częściej musimy podawać swoje dane osobowe. Strony WWW stosują rozmaite techniki, aby uzyskać informacje o naszych nawykach, upodobaniach, preferencjach. Później te informacje są wykorzystywane przez firmy marketingowe. Internet jest więc nieograniczonym źródłem informacji o jego użytkownikach, dlatego warto się zastanowić nad prawnymi podstawami ochrony danych osobowych.

Polski ustawodawca, wzorując się na regulacjach prawnych dyrektywy Unii Europejskiej z dnia 24. 10. 1995 roku, uchwalił 29 sierpnia 1997 roku ustawę o ochronie danych osobowych. Ustawa ta chroni prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych oraz określa zasady przetwarzania danych osobowych. Za dane osobowe, zgodnie z ustawą, uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, umysłowe, fizjologiczne, ekonomiczne, kulturowe, społeczne. Definicja ta wskazuje, iż danymi osobowymi mogą być informacje które w sposób bezpośredni identyfikują człowieka, takie jak imię, nazwisko, PESEL, NIP.

Przetwarzanie danych osobowych

Kolejnym pojęciem, na który warto zwrócić uwagę jest przetwarzanie danych osobowych. Art. 7 wyżej wymienione ustawy mówi, iż jest to proces polegający na zbieraniu, utrwalaniu, przechowywaniu, opracowywaniu, zmienianiu, udostępnianiu i usuwaniu wszelakich danych osobowych zwłaszcza w systemach informatycznych a więc i w Internecie.

Pliki cookies

Rozpowszechnioną praktyką w Internecie jest korzystanie z rozwiązania określonego mianem cookies, dzięki któremu możemy się dowiedzieć, jakie strony odwiedzał użytkownik, jakich usług korzystał i co wpisywał w formularzach. Cookies są to pliki tekstowe zapisywane na twardym dysku użytkownika ściśle związane ze stroną internetową, której dotyczą. Oznacza to, że mają do nich dostęp wyłącznie de serwisy internetowe, które wcześniej dokonały ich zapisu na dysku użytkownika. Firmy marketingowe w ten sposób zbierają informacje o nawykach użytkownika i przy kolejnych jego wizytach dostosowują swoją ofertę do indywidualnego profilu. Możemy sobie zadać wobec tego pytanie, czy informacje przechowywane w cookies pretendują do miana danych osobowych. Otóż odpowiedź brzmi przecząco, gdyż witryny internetowe obsługujące cookies nie są w stanie samodzielnie rozpoznać, kto w danej chwili korzysta z komputera. Z uwagi na to w większości przypadków informacje zbierane w ten sposób, nie będą uznawane za dane osobowe. Jeżeli informacji nie uważa się za uniemożliwiająca określenie tożsamości osoby, to sam zapis oznaczeń komputera łączącego się ze stroną WWW oraz odwiedzanych podstron, nie będzie danymi osobowymi. Nie sposób bowiem określić kto, kiedy i w jakim czasie korzystał z komputera. Jeśli jednak w trakcie odwiedzania strony WWW zostaną zachowane informacje pozwalające na jednoznaczne ustalenie tożsamości, wykorzystywanie cookies powinno uwzględniać przepisy chroniące dane osobowe.

Adres e-mail

Trudność może sprawiać kwalifikowanie adresów poczty elektronicznej jako danych osobowych. Adresy mogą przybierać rożnego rodzaju formy. Przykładowo, dopuszczalne będzie stworzenie adresu np.: beata.nowacka@op.pl, jak i 1701@op.pl. Może też być tak, iż mogą pojawić się adresy firmowe typu logistyka@firma.pl. Wobec tego przyjmuje się, że nie każdy adres mailowy będzie stanowić dane osobowe. Tylko te adresy poczty elektronicznej, które pozwalają na identyfikacje dysponentów są przewidziane ochroną danych osobowych.

Zbiór danych osobowych

Aby dane osobowe mogły podlegać ochronie ustawy, konieczne jest aby były one zgromadzone w zbiorze danych, a więc w ich zestawie dostępnym według określonego kryterium i posiadającym strukturę, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

GIODO

Nad prawidłowością realizowania postanowień ustawy o ochronie danych osobowych oraz w celu sprawowania kontroli nad działalnością administratorów danych czuwa specjalnie w tym celu powołany organ jakim jest Generalny Inspektor Ochrony Danych Osobowych. Do jego kompetencji należy również rozpatrywanie skarg w związku z wykonywaniem ustawy i wydawanie koniecznych decyzji administracyjnych, prowadzenie rejestru zbiorów danych, opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych, inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyka ochrony danych osobowych.

Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora ochrony Danych Osobowych zwanego dalej Biurem. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej w drodze decyzji administracyjnej nakazuje, przywrócenie staniu zgodnego z prawem, w szczególności:

1. usunięcie uchybień,
2. usunięcie danych osobowych,
3. zabezpieczenie danych lub przekazanie ich innym podmiotom,
4. zastosowanie środków zabezpieczających zgromadzone dane osobowe,
5. wstrzymanie przekazywania danych osobowych do państwa trzeciego,
6. uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostepnienie danych osobowych.

W kwestii przetwarzania danych osobowych są wprowadzone dwie generalne zasady. Pierwsza z nich mówi, że żaden podmiot, który przetwarza dane osobowe nie staje się ich właścicielem, natomiast czynności dokonywane przez niego na zbiorze danych podejmowane są w oparciu o konstrukcję prawną upoważnienia. W drugiej zasadzie jest mowa o adekwatności danych osobowych. Zasada ta polega na tym, iż dane osobowe mogą być gromadzone w takim zakresie jaki jest niezbędny i wystarczający do zamierzonego celu.

W ustawie o ochronie danych osobowych są też wskazane zasady szczególne, których spełnienie gwarantuje legalność przetwarzania danych osobowych. Aby przetwarzanie danych przez administratora było dopuszczalne:

1. nie może być ono sprzeczne z przepisami prawa,
2. konieczna jest zgoda osoby, której dane dotyczą, chyba że chodzi tylko o usunięcie danych,
3. jest niezbędne do wypełnienia usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 ustawy, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą,
4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5. przetwarzane dane muszą być niezbędne osobie, której dane dotyczą, w celu wywiązania się z umowy, której jest stroną, lub na jej życzenie w celu podjęcia niezbędnych działań przed zawarciem umowy.

Najistotniejsze wśród nich to zobowiązanie do informowania osób, których dane są przetwarzane o:

1. adresie siedziby administratora i jego pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna, o miejscu jej zamieszkania oraz imieniu i nazwisku,
2. celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
3. prawie wglądu do swoich danych oraz ich poprawiania,
4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Ponadto ustawa stanowi, że administrator powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Dane powinny być merytorycznie poprawne i przetwarzane zgodnie z prawem.

Następne zagadnienie, które poruszę to rodzaje danych osobowych. Rozróżniamy dane osobowe o zwykłym charakterze oraz dane osobowe o charakterze sensualnym czyli tzw. dane wrażliwe.

Dane osobowe wrażliwe

Dane wrażliwe to takie, które ujawniają pochodzenie etniczne, poglądy polityczne, przekonania religijne, przynależność finansową, pochodzenie rasowe lub etniczne, przynależność wyznaniową, partyjną, związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym. Tego typu dane ustawa zabrania przetwarzać poza wskazanymi wyraźnie wyjątkami. Dane sensytywne mogą być przetwarzane jeżeli:

1. osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,
2. przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą wtedy, gdy stworzone są pełne gwarancje ich ochrony,
3. przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby, gdy osoba, której dane dotyczą nie jest fizycznie lub prawnie zdolna do wyrażenia zgody do czasu ustanowienia opiekuna prawnego lub kuratora,
4. jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych,
5. przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
6. przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudniania pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,
7. przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,
8. przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą.
9. jest to niezbędne do prowadzenie badań naukowych,
10. przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sadowym lub administracyjnym.

Karolina Jezierska

Ochrona danych osobowych w Internecie - część 2.