Ochrona danych osobowych na portalach w Internecie

Przedsiębiorcy prowadzący portale, serwisy lub aukcje internetowe dysponują często znaczną bazą danych osobowych. Jest to niejako wpisane w ich działalność, w ramach której osoby zainteresowane zakładają swoje konta i uzyskują dostęp do pewnych zasobów.

Nie jest niczym nadzwyczajnym i na pewno nie budzi kontrowersji, że firmy te muszą pozyskiwać w tym celu odpowiednie dane.

Jednak wiąże się to dla nich ze szczególnym obowiązkiem przestrzegania odpowiednich przepisów w zakresie ochrony danych osobowych. I nie chodzi tu wyłącznie o podstawowy akt prawny w tym zakresie, jakim jest [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=ECA67EA126896D5665CD137DA8FF8A2C?id=166335]ustawa o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.)[/link], lecz również [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=01D22CC5BD73CFCCD2EDDCED6EC42FAA?id=173419]rozporządzenie ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU z 2004 r. nr 100, poz. 1024)[/link].

Niestety, zdarza się, że przedsiębiorcy zapominają o części ciążących na nim w tym względzie obowiązków, o czym świadczą decyzje generalnego inspektora ochrony danych osobowych, nakazujące usunięcie ujawnionych uchybień. Jedna z nich [b](DEC/DIS-247/9383/10)[/b] dotyczyła osoby prowadzącej serwis internetowy.

Naruszenie przepisów polegało w tym wypadku na:

- niedopełnieniu obowiązków informacyjnych wynikających z art. 24 ust. 1 ustawy,

- naruszeniu przepisów art. 36 ust. 1 ustawy,

- naruszeniu przepisów § 7 rozporządzenia.

[srodtytul]Adres trzeba podać[/srodtytul]

W przypadku zbierania danych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem jest osoba fizyczna, o miejscu swojego zamieszkania oraz imieniu i nazwisku,

- celu zbierania danych, w szczególności o znanych mu w czasie udzielania informacji przewidywanych odbiorcach lub kategoriach odbiorców danych,

- prawie dostępu do treści swoich danych oraz ich poprawiania,

- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

W trakcie kontroli, która poprzedziła wydanie wspomnianej decyzji, wykazano, że przedsiębiorca nie dopełnił wobec użytkowników serwisu internetowego obowiązku informacyjnego. Istotne jest to, aby wszystkie wymagane dane były widoczne na stronie internetowej i aby z łatwością dało się z nimi zapoznać.

Ponadto w trakcie tej kontroli ustalono, że system informatyczny nie zapewniał odnotowania daty pierwszego wprowadzenia danych do systemu oraz uniemożliwiał przygotowanie raportu z informacjami dla każdej osoby, której dane zostały w nim zarejestrowane.

[srodtytul]Raport do wglądu użytkownika[/srodtytul]

Na czym polegał błąd przedsiębiorcy? Przede wszystkim należy przypomnieć o treści art. 38 ustawy, który wskazuje, że administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru oraz komu są przekazywane.

Dlatego też, zgodnie z § 7 ust. 1 rozporządzenia, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, powinien on zapewniać odnotowanie:

- daty pierwszego wprowadzenia danych do systemu,

- identyfikatora użytkownika wprowadzającego dane osobowe do systemu (chyba że dostęp do systemu informatycznego i przetwarzania w nim danych ma wyłącznie jedna osoba),

- źródła danych, w przypadku zbierania ich od innej osoby niż tej, której dotyczą,

- informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie tego udostępnienia (chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych).

Co więcej w myśl ust. 3 tego paragrafu każda osoba, której to dotyczy, ma prawo zażądać przygotowania raportu zawierającego wymienione wyżej dane. Innymi słowy system ten musi być tak zaprogramowany, aby umożliwiał sporządzenie i wydrukowanie takiego zestawienia. A przedsiębiorca na wniosek użytkownika portalu ma obowiązek mu go udostępnić.

[srodtytul]Kryptografia[/srodtytul]

W trakcie innej kontroli GIODO, dotyczącej portalu społecznościowego, dostrzeżone uchybienia polegały na

- braku opracowania i wdrożenia pisemnych procedur dotyczących sposobu rozpatrywania przez przedsiębiorcę skarg osób na przetwarzanie ich danych na portalu, i

- niezastosowaniu środków kryptograficznej ochrony podczas procesu logowania, wprowadzania danych do formularza rejestracyjnego oraz zmieniania (edytowania) danych w tzw. profilu użytkownika.

Zgodnie z prawem administrator danych ma obowiązek prowadzić dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ich ochronę. Musi być ona odpowiednia do zagrożeń i kategorii uzyskiwanych danych.

W myśl § 3 ust.1 rozporządzenia na wymienioną tu dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Co istotne musi być ona prowadzona w formie pisemnej i zawierać m.in.

- wykaz budynków, pomieszczeń lub ich części, tworzących obszar, w którym przetwarzane są dane,

- wykaz zbiorów danych wraz ze wskazaniem programów stosowanych do ich przetwarzania,