Prawo nie nadąża za rozwojem technologicznym. W mediach coraz częściej pojawiają się, skądinąd uzasadnione, głosy, że dotychczasowe rozwiązania legislacyjne są niewystarczające czy wręcz anachroniczne.
Zanim jednak zostaną stworzone i uchwalone odpowiednie przepisy, musimy wiedzieć, jak w zmieniającej się dynamicznie rzeczywistości stosować obowiązujące regulacje prawne.
Jednym z problemów, na co uwagę zwrócił także generalny inspektor ochrony danych osobowych (GIODO), jest stosowanie przepisów ustawy o ochronie danych osobowych z 29 sierpnia 1997 (uodo) do danych zamieszczanych w serwisach społecznościowych, takich jak GoldenLine czy nk.pl.
Właściciel serwisu
Administratorem danych osobowych według uodo jest podmiot, który przetwarza dane osobowe w związku z prowadzoną przez siebie działalnością zarobkową, zawodową lub statutową oraz ma siedzibę albo miejsce zamieszkania na terytorium Polski.
Osoba fizyczna lub prawna, która ma siedzibę w państwie trzecim, może być uznana za administratora danych osobowych, jeżeli przetwarza je przy wykorzystaniu środków technicznych (np. serwerów) znajdujących się na terytorium Polski. Amerykański Facebook, który nie ma w Polsce ani oddziału, biura ani serwerów, nie podlega kontroli GIODO.
Przede wszystkim jednak to administrator danych osobowych decyduje o celach i środkach przetwarzania danych osobowych. Właściciel serwisu internetowego w zakresie, w jakim przetwarza dane osobowe zarejestrowanych użytkowników, bez wątpienia wypełnia przesłanki pozwalające określić go mianem administratora danych osobowych. Decyduje bowiem o celach i środkach przetwarzania danych osobowych użytkowników serwisu, takich jak imię, nazwisko, adres e-mail, data urodzenia.
Obowiązki administratora
Na administratora danych osobowych uodo nakłada wiele obowiązków. Dane w serwisie mogą być przetwarzane, wyłącznie gdy spełniona jest co najmniej jedna z ustawowych przesłanek (np. zgoda osoby, której dane dotyczą). Poza tym mogą być używane jedynie w zakresie i celu, dla jakiego zostały zebrane. Najczęściej będzie to korzystanie z funkcjonalności serwisu, podnoszenie poziomu usług, prowadzenia statystyk czy obsługa odpłatnych aplikacji dostępnych w ramach serwisu.
Okres przetwarzania danych użytkowników nie powinien być dłuższy, niż jest to konieczne do osiągnięcia celu przetwarzania. Nie oznacza to jednak, że właściciel serwisu ma obowiązek usunąć je natychmiast po zlikwidowaniu przez użytkownika jego profilu czy konta.
Użytkownicy serwisu powinni otrzymać jasną i zrozumiałą informację: kto gromadzi ich dane osobowe, w jakim zakresie, w jakim celu są zbierane i o podmiotach, którym mogą zostać przekazane. Ponadto administrator danych osobowych jest zobowiązany zrealizować przewidziane w uodo żądania użytkowników oraz zgłosić do rejestracji zbiór danych osobowych swoich użytkowników, a także dokonywać aktualizacji informacji w nim zawartych.
Na administratorze danych ciążą też obowiązki związane z powierzeniem przetwarzania danych osobowych, ich zabezpieczeniem technicznym i organizacyjnym oraz przekazaniem do państwa trzeciego.
Zamiana ról
Jednak w pewnych sytuacjach, w myśl przepisów uodo, za administratorów danych osobowych mogą być uznani także twórcy aplikacji dostępnych w ramach serwisu Web 2.0 albo partnerzy reklamowi, którzy mogą zbierać od użytkowników np. adresy IP komputerów i przetwarzać je dla własnych celów, a nawet użytkownicy takiego serwisu.
Ci ostatni tradycyjnie posiadają status „osoby, której dane dotyczą”, ale jeżeli umieszczają w serwisach dane osobowe osób trzecich, mogą zostać uznani za ich administratorów. W tym wypadku, w zależności od sytuacji, właściciel serwisu będzie uznany bądź za kolejnego administratora tych danych, bądź za przetwarzającego dane na zlecenie użytkownika.
Należy jednak podkreślić, że taka sytuacja ma miejsce jedynie w przypadku, gdy użytkownicy serwisu przetwarzają dane w związku z prowadzoną przez siebie działalnością zawodową lub zarobkową. Osoby fizyczne, które przetwarzają dane wyłącznie w celach prywatnych, nie podlegają przepisom uodo. Tak jest w większości przypadków, kiedy użytkownik serwisu społecznościowego oznacza na zdjęciu swojego znajomego lub podaje jego adres e-mail, aby zaprosić go do grona swoich znajomych.
Warto jednak zwrócić uwagę, że istnieją serwisy, które z założenia są przeznaczone do rozwijania kontaktów biznesowych czy zawodowych między użytkownikami (np. GoldenLine czy LinkedIn). Gdy użytkownik takiego serwisu zamieści tam dane osobowe np. swoich współpracowników, nie będziemy mogli mówić o przetwarzaniu danych osobowych wyłącznie w celach osobistych czy domowych. W konsekwencji taki użytkownik może być uznany za administratora danych osobowych, ze wszystkimi wynikającymi z tego obowiązkami.
Bez niepotrzebnego rygoryzmu
Czy jednak wskazane powyżej ustawowe obowiązki dotyczące administratorów danych osobowych ciążą także na użytkownikach serwisów w zakresie, w jakim są oni administratorami danych osobowych?
Z formalnego punktu widzenia jak najbardziej. Wydaje się jednak, że rygorystyczne stosowanie wobec użytkowników serwisów społecznościowych, którzy zamieszczając dane osobowe swoich znajomych wcielają się tym samym w rolę administratora, wszystkich przepisów uodo jest niepraktyczne, a w rzeczywistości wręcz niewykonalne. W zasadzie nie ma możliwości kontroli nad tym, czy użytkownik serwisu, będąc administratorem danych, wypełnia zgodnie z prawem nałożone na niego obowiązki.
Rygorystyczne stosowanie przepisów uodo mogłoby doprowadzić do sytuacji, w której np. użytkownik GoldenLine, uznany za administratora danych, musiałby zgłosić do rejestracji zbiór danych osobowych lub zawrzeć z właścicielem serwisu umowę powierzenia przetwarzania tych danych. Realizacja takich postulatów wydaje się niewykonalna.
Należy przy tym mieć na uwadze, że zarówno dyrektywa 95/46/WE, jak i wzorowana na niej uodo zostały opracowane i przyjęte przede wszystkim z myślą o ochronie prawa do prywatności jednostki w obliczu zautomatyzowanego przetwarzania danych osobowych przez instytucje państwowe, przedsiębiorstwa czy międzynarodowe korporacje.
Pomysł analogicznego stosowania przepisów wobec użytkowników serwisów Web 2.0 nie wydaje się zgodny z intencją ustawodawcy. Warto jednak zwrócić uwagę na odmienny trend, widoczny w orzecznictwie europejskim
Komentują:
Ewa Kacpere, kradca prawny w Hogan Lovells
Łukasz Czynienik, prawnik w Hogan Lovells
W wyroku z 6 listopada 2003 (w sprawie C-101/01 Bodil Lindqvist przeciwko ?klagarkammaren i Jönköping, OJ C7 z 10 stycznia 2004, s. 3) Trybunał Sprawiedliwości Unii Europejskiej uznał, że zamieszczenie na stronie internetowej danych osób, które umożliwią ich identyfikację przez nieograniczoną liczbę osób, nie jest objęte wyłączeniem określonym w art. 3 ust. 2 dyrektywy 95/46.
Wyłączenie to jest tożsame z art. 3a uodo i określa, kiedy nie trzeba stosować przepisów dotyczących przetwarzania danych osobowych. Załóżmy, że użytkownik serwisu społecznościowego umieścił w profilu dane swoich znajomych. Jednocześnie nie zastosował odpowiednich ustawień prywatności, więc dane znajomych są wyłapywane przez wyszukiwarki.
Według przytoczonego orzeczenia w takiej sytuacji użytkownik staje się administratorem danych osobowych, co jest wyrazem tendencji do poszerzania kręgu podmiotów i działań, do których stosuje się regulacje dotyczące ochrony danych osobowych.
Rozwój serwisów Web 2.0 jest tylko jednym z przykładów ilustrującym potrzebę zmian obowiązujących przepisów. Do czasu ich wprowadzenia powinno się rozważnie stosować wobec użytkowników serwisów konkretne przepisy uodo.
W obecnym stanie prawnym przede wszystkim uzasadnione wydaje się wymaganie od użytkownika umieszczającego w serwisie społecznościowym dane osobowe swoich znajomych (zdjęcia, imiona i nazwiska, adresy e-mail), by legitymował się podstawą prawną do ich przetwarzania, a więc na przykład zgodą zainteresowanej osoby.
W praktyce nie można jednak żądać, aby użytkownik zawierał z właścicielem serwisu umowę powierzenia przetwarzania danych osobowych.
Prace nad kolejnymi zmianami uodo już się rozpoczęły. Należy mieć nadzieję, że tym razem nie będzie to trwało
– tak jak w przypadku zmian, które zaczęły obowiązywać od 7 marca br.
– kolejne trzy lata. W takim wypadku prawo nigdy nie nadąży za rozwojem nowych technologii.
Atrakcyjne serwisy
Serwis społecznościowy to interaktywna platforma internetowa pozwalająca użytkownikom na tworzenie grup znajomych oraz zamieszczanie własnych treści, takich jak: zdjęcia, wypowiedzi czy filmy.
Serwisy te, w odróżnieniu od tradycyjnych stron internetowych (Web 1.0), gdzie użytkownicy Internetu są jedynie biernymi odbiorcami, są w znacznej mierze oparte na treściach dostarczanych przez nich samych (Web 2.0).
To właśnie możliwość współtworzenia treści przesądza o dużej atrakcyjności takich serwisów, jak Nasza-Klasa, Bebo, Twitter, Facebook czy MySpace. Jednocześnie właśnie ta cecha utrudnia odpowiedź na istotne z prawnego punktu widzenia pytanie, kto jest administratorem przetwarzanych w serwisach danych osobowych.
Czytaj też artykuł:
Samo przechowywanie informacji jest już ich przetwarzaniem
Zobacz więcej w serwisie:
Twoje prawo » Internet, prawo komputerowe » Dane osobowe i dobra osobiste
