Ochrona danych osobowych w Internecie - część 2

Dane o zwykłym charakterze, zgodnie z zasadą upoważnienia do korzystania z nich, nie mogą być przetwarzane w sposób całkowicie dowolny, choć zostały one całkowicie w sposób legalny pozyskane. Katalog uprawnień kontrolnych przysługujących osobom, których dane dotyczą nie jest wyczerpujący natomiast art.32 ustawy wskazuje jedynie na przykładowe możliwości.Wyrażone expressis verbis w art.32 ustawy to:

Prawo do uzyskania wyczerpujących informacji na temat:

1. Celu, zakresu i sposobie przetwarzania danych, które są zawarte w takim zbiorze.
2. Czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska.
3. Od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych.
4. Sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane.
5. Źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, zawodowej lub służbowej.
6. Prawo do żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieprawdziwe, nieaktualne, lub zostały zebrane z naruszeniem ustawy.
7. Prawo wniesienia sprzeciwu wobec przetwarzania danych w przypadku gdy administrator zamierza je przetwarzać w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi danych.
8. Prawo do wniesienia pisemnego umotywowanego żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację osoby, której dane dotyczą.

Końcowym dowodem jest, jak poważnie polski ustawodawca traktuje ochronę danych osobowych, są przepisy karne zawarte w ustawie o ochronie danych osobowych, sankcjonujące odpowiedzialność za naruszenie jej postanowień. W przypadku przetwarzania danych, których przetwarzanie jest niedopuszczalne lub w przypadku przetwarzania danych bez upoważnienia, dokonującemu tych czynności grozi kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2, a w przypadku danych sensytywnych grozi kara pozbawienia wolności do lat 3.
Ustawa również w art. 50 określa, iż Kto administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Artykuł 54 mówi, iż kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych w ustawie o ochronie danych osobowych, podlega grzywnie karze ograniczenia wolności albo pozbawienia wolności do roku.

Internetowe profile użytkowników

Bardzo ważną regulacją, jest wskazanie przesłanek dopuszczających tworzenie profili użytkowników Internetu. Zbieranie informacji o każdej naszej aktywności w sieci oraz łączenie ich w specjalne profile jest nagminną praktyką dla firm marketingowych, które w ten sposób mogą dokonywać precyzyjnych badań rynkowych w środowisku elektronicznym.

Przepisy ustawy o świadczeniu usług drogą elektroniczną, zezwalają na tworzenie takich baz i czasami jednak wprowadzają pewne ograniczenia. Celem funkcjonowania profili, mogą być względy reklamy, badania rynku. Ustawa nawet dopuszcza zestawienie informacji na temat rozpoczęcia, zakończenia oraz każdorazowego korzystania z usługi świadczonej drogą elektroniczną. W profilu mogą się więc znaleźć informacje o tym, z jakich usług skorzystał użytkownik, w jakie dni i o jakiej porze oraz jak długo. Tworzenie takich profili nie wymaga zezwolenia użytkownika sieci pod warunkiem, że zostaną usunięte wszelkie oznaczenia, które w jakikolwiek sposób będą go identyfikować, zakończenie sieci telekomunikacyjnej albo system teleinformatyczny, z którego korzystał. Dane te mogą zostać włączone do elektronicznych profili jedynie tylko wtedy, gdy użytkownik wyrazi na to zgodę. Jednocześnie przepisy ustawy zakazują zestawiania danych osobowych osoby korzystającej z usługi z jej pseudonimem.

Usługodawca, który przetwarza dane osobowe usługobiorcy, jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o:

1. Udostępnianych przez usługodawcę środkach technicznych, zapobiegających pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione danych osobowych przesyłanych drogą elektroniczną.

2. Możliwości korzystania z usługi świadczonej drogą elektroniczną anonimowo lub z wykorzystaniem pseudonimu.

3. Podmiocie, któremu powierza się przetwarzanie danych, ich zakresie i zamierzonym terminie przekazania, jeśli usługodawca zawarł z tym podmiotem umowę dotyczącą powierzania do przetwarzania danych.

Te informacje powinny, być udostępniane w sposób, który umożliwią łatwy dostęp do użytkowników sieci, np. na ogólnodostępnej stronie www. Przepisy regulują, też sytuację, w której użytkownik, korzystając z elektronicznej usługi, narusza prawo. W przypadku uzyskania przez usługodawcę wiadomości o korzystaniu przez usługobiorcę z usługi świadczonej drogą elektroniczną niezgodnie z regulaminem lub z obowiązującymi przepisami, usługodawca może przetwarzać dane osobowe usługobiorcy w zakresie niezbędnym do ustalenia odpowiedzialności usługobiorcy, pod warunkiem że utrwali dla celów dowodowych fakt uzyskania oraz treść tych wiadomości. Usługodawca, może powiadomić usługobiorcę o jego nieuprawnionych działaniach z żądaniem ich niezwłocznego zaprzestania, a także o skorzystaniu z uprawnienia do przetwarzania danych osobowych.
Zasadą pozostaje, że usługodawca nie może przetwarzać danych osobowych po zakończeniu usługi świadczonej drogę elektroniczną. Przepisy ustawy dopuszczają jednak możliwość przetwarzania danych:

1. W celu rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi, przy czym rozliczenie usługi świadczonej drogą elektroniczną przedstawione usługobiorcy nie może ujawniać rodzaju, czasu trwania, częstotliwości i innych parametrów technicznych poszczególnych usług, z których skorzystał usługobiorca, chyba, że zażądał on szczegółowych informacji w tym zakresie.

2. Jeżeli jest to niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę.

3. Jeżeli jest to niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi (np. naruszenia prawa lub regulaminu świadczenia usług).

4. Na podstawie odrębnych umów lub ustaw.

Zasady ochrony danych osobowych w środowisku elektronicznym

Ustawa wskazuje na zakres możliwego przetwarzania danych osobowych w związku z usługami świadczonymi drogą elektroniczną. Zgodnie z art. 18 ust. 1 ustawy o świadczeniu usług drogą elektroniczną usługodawca, może przetwarzać następujące dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi:

1. nazwisko i imiona usługobiorcy,
2. numer ewidencyjny PESEL,
3. adres zameldowania na pobyt stały,
4. adres do korespondencji (jeżeli jest inny niż adres zameldowania na pobyt stały)
5. adresy elektroniczne usługobiorcy.
6. dane służące do weryfikacji podpisu elektronicznego usługobiorcy.

Dopuszczalne jest przetwarzanie, także innych danych, jeżeli są one niezbędne ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia.
W sytuacji, gdy użytkownik odmówi udostępnienia wyżej wymienionych danych, odmowa świadczenia usługi, będzie możliwa jedynie w sytuacji, gdy przetwarzanie tych danych jest niezbędne ze względu na sposób funkcjonowania systemu teleinformatycznego. Ponadto istotnym pozostaje przepis, który nakłada na firmy udostępniające odpłatne usługi w Internecie, umożliwienie korzystania z nich w sposób anonimowy, lub przy użyciu pseudonimu. Warunkiem jest techniczna możliwość funkcjonowania usług, oraz zwyczajowe ich przyjęcie, iż można udostępniać je w taki sposób. W rezultacie przepisy pozwalają, na funkcjonowanie anonimowych usług internetowych. Rozwiązanie to w praktyce może okazać się bardzo istotne.

Karolina Jezierska

Ochrona danych osobowych w Internecie - część 1.