Globalne porozumienie w sprawie ochrony danych

Czekają nas duże zmiany w kwestii przetwarzania danych osobowych i to już niebawem, warto zatem śledzić ten temat.

merkel

Kanclerz Niemiec Angela Merkel w niemieckim czaspopiśmie “Welt am Sonntag” ostatnio stwierdziła, iż jest  za zawarciem globalnego porozumienia w sprawie ochrony danych osobowych, aby w jego rezultacie służby specjalne nie miały możliwości ingerować w sferę prywatną ludzi.

Poprzednie  pokolenia doprowadziły do przyjęcia Powszechnej Deklaracji Praw  Człowieka i utworzenia Światowej Organizacji Handlu. My, w XXI wieku,  też powinniśmy być zdolni do zawarcia globalnych porozumień –  powiedziała  zaledwie kilka tygodni temu Merkel. Komunikacja  cyfrowa stawia nas przed całkowicie nowymi problemami w skali  światowej, dlatego musimy zmierzyć się z tymi wyzwaniami – zaważyła  szefowa niemieckiego rządu zapewniając, że Niemcy zaangażują się w  uregulowanie tej sprawy.

Merkel wyjaśniła, że punktem wyjścia do  działań powinien być oenzetowski Międzynarodowy Pakt Praw Obywatelskich i  Politycznych przyjęty przez ONZ, a przede wszystkim artykuł 17. tego dokumentu, traktujący o  ochronie prywatności. Szefowa rządu naszego zachodniego sąsiada powiedziała także, że gdy  – podpisywano ten  pakt, nikt jeszcze nawet nie myślał o przekazywaniu danych za pomocą  techniki cyfrowej. Dodatkowy protokół do paktu mógłby teraz wypełnić tę lukę, zapewniając bardziej skuteczną ochronę  danych osobowych. – Niemcy zastanawiają się nad podjęciem takiej inicjatywy –  zaznaczyła.

Przedsiębiorco jaki jest twój regulamin

Każdy przedsiębiorca prowadzący biznes w internecie ma świadomość różnych formalności, których należy dopełnić. I chociaż biznes internetowy jest dużo bardziej odformalizowany niż ten prowadzony w realu jednak i on wymaga spełnienia szeregu obowiązków.

Jednym z takich obowiązków jest napisanie regulaminu dla usług świadczonych przez internet. Przepisy mówią, iż usługa świadczona drogą elektroniczną to taka usługa, która jest świadczona bez jednoczesnej obecności stron (na odległość). W tym zakresie mieści się również zawieranie umów drogą elektroniczną, mimo, iż wykonanie świadczenia odbywać się może w realu.

Każdy więc przedsiębiorca, który zamierza rozpocząć świadczenie usług w internecie czy też sprzedawać za jego pośrednictwem towary musi udostępnić na swojej stronie regulamin świadczenia usług drogą elektroniczną. Przepisy określają niezbędne elementy takiego regulaminu, ale oczywiście nie ma przeszkód, aby zawierał on również inne ważne zagadnienia. Niezbędne elementy to przede wszystkim określenie rodzaju i zakresu świadczonych usług, warunki zawierania i rozwiązywania umów, tryb postępowania reklamacyjnego.

Patrząc na witryny internetowe, w ramach których świadczone są usługi drogą elektroniczną, sprzedawane towary itd. większość z nich posiada przedmiotowy regulamin.

Regulaminy, warunki korzystania z usług są to dokumenty stanowiące umowę, która reguluje relacje pomiędzy usługodawcą internetowym a użytkownikiem. Jednakże, co istotne takie regulaminy nie są uzgadniane indywiduanie w przeciwieństwie do umów tradycyjnych. Postanowienia regulaminów są niejako narzucane usługobiorcy przez przedsiębiorcę internetowego. Użytkownik może je albo zaakceptować albo zrezygnować z usługi.

Na rynku usług internetowych przybywa przedsiębiorców, przybywa też i usług. Na wszystkich ciąży obowiązek sporządzenia wyżej wymienionego regulaminu. Bywa, że przedsiębiorcy najpierw uruchamiają usługę a potem sporządzają regulaminy lub sporządzają regulaminy  doraźne, aby potem je zmieniać. Jednak ani jedno ani drugie rozwiązanie nie będzie zgodne z prawem. Jednocześnie rejestr klauzul niedozwolonych prowadzonych przez Prezesa UOKiK zawiera szereg postanowień dotyczących zmian regulaminów, które zostały uznane za niedozwolone postanowienia umowne.

W następnym wpisie postaram się zająć zasygnalizowaną problematyką zmiany regulaminu zwłaszcza w kontekście wydanych w tym zakresie orzeczeń SOKiK.

Biznes w sieci

przedsieb schow

Rozpocząć biznes w internecie może każdy. Jak zapewniają specjaliści od e- marketingu bez konieczności ponoszenia wysokich kosztów w każdej chwili możemy rozpocząć swoją przygodę z internetem, wystarczy laptop oraz dostęp do internetu.

I rzeczywiście internet wydaje się stosunkowo łatwym środowiskiem dla początkującego biznesmena, pozbawionym wielkich formalności, przynajmniej na pierwszy rzut oka.

Gdy tak sobie oglądam witryny serwisów internetowych, nawet często funkcjonalne, rozbudowane i nieźle działające mnie prawnika uderza brak podstawowych informacji o firmie. Strona mieni się kolorami, okienkami, zdjęciami i różnymi zachętami a ja szukam uparcie, kto stoi za tym sklepikiem, serwisem, witryną. Podstawowa wydawałoby się informacja o właścicielu firmy, ale niestety czasami naprawdę trzeba się naklikać, aby znaleźć podstawowe dane.

Prawo wyraźnie wymaga, aby firmy świadczące usługi w internecie w sposób wyraźny, jednoznaczny i bezpośrednio dostępny podały podstawowe dane na swój temat. Są to takie dane jak imię, nazwisko, miejsce zamieszkania i adres albo nazwa lub firma oraz siedziba i adres a także adresy elektroniczne. Jeśli natomiast świadczone usługi wymagają specjalnego zezwolenia to znaleźć się muszą również informacje na ten temat. Podobnie, gdy usługi świadczą podmioty, które wykonują zawody regulowane odrębnymi przepisami muszą ujawnić samorząd zawodowy, do którego należą, tytuł zawodowy, którego używają, numery w odpowiednich rejestrach czy informacje o obowiązujących ich kodeksach etyki.

Warto zacząć od podstawowych informacji i umieszczenia ich na stronie w sposób wyraźny, jednoznaczny i bezpośrednio dostępny. W ten sposób wykonamy podstawowe obowiązki nałożone na przedsiębiorcę w sieci oraz zaspokoimy tym samym podstawową wiedzę o nas naszych kontrahentów. Wiadomości na ten temat odpowiednio wyeksponowane już w pierwszych chwilach kontaktu z naszą firmą pozwolą potencjalnemu klientowi posiąść podstawową wiedze na temat naszej firmy.

W moim mniemaniu, mimo, iż są to podstawowe informacje dość często dostrzegam trudności z jednoznacznością i bezpośredniością przekazu i dostępu do tych podstawowych informacji określających tożsamość firmy. Moim zdaniem jest to duży błąd, gdyż świadomość i kultura prowadzenia biznesu w internecie wzrasta i pytanie o tożsamość naszego potencjalnego kontrahenta jest pytaniem podstawowym.

W następnym artykule poruszę inny ważny obowiązek przedsiębiorcy internetowego a mianowicie obowiązek posiadania regulaminu świadczenia usług drogą elektroniczną.

A pracownik buszuje po “naszej klasie”

Czy pracownik buszujący po Facebook’u w godzinach pracy może czuć się bezpiecznie. Czy pracodawca ma prawo kontrolować pracownika i jego aktywność w serwisach społecznościowych. Myśle, że nie jeden pracodawca ma dylemat czy może a jeśli tak to na jakich zasadach.

Na pierwszy rzut oka sprawa wydaje się dość prosta. Pracownik zobowiązany jest do świadczenia pracy określonego rodzaju na rzecz pracodawcy. Pracodawca zatrudniając pracownika do określonej pracy ma prawo od niego wymagać przestrzegania przyjętej u niego organizacji pracy. Regulaminy obowiązujące u pracodawcy mogą przewidywać, że w czasie pracy zakazane jest korzystanie z serwisów społecznościowych oraz, że pracodawca ma prawo do kontroli pracownika w tym zakresie. Pracownik, który nie podporządkowałby się regulaminom musi liczyć się z konsekwencjami włącznie z wypowiedzeniem umowy o pracę.

Jednakże nie w każdym przypadku pracodawcy przysługiwać będzie prawo śledzenia swoich pracowników na Facbook’u czy “naszej klasie”.  Pracodawca musi przede wszystkim poinformować pracowników jakie zasady ich obowiązują w tym zakresie. Czyli uregulować kwestię korzystania z sieci, w tym z serwisów społecznościowych w regulaminie, wprowadzić stosowne zarządzenie,  którym poinformuje pracowników o tych zasadach i uprzedzi o konsekwencjach ich nieprzestrzegania.

Pracodawca, który nie wprowadził stosownych regulacji w sposób formlany, nie poinfomował pracowników o zakazie korzystania z portali społecznościowych, nie ma prawa do śledzenia aktywności pracowników w tym obszarze.

Generalny Inspektor danych osobowych podkreśla, iż  „ zawsze informujemy pracownika zanim zaczniemy kontrolować, a kontrola dotyczyć może tylko działań podejmowanych po tym, jak pracownik zapoznał się z informacją o kontroli”.

Pracodawca, który podjął kontrolę, bez wcześniejszego wprowadzenia czytelnych zasad w zakresie korzystania z sieci, w tym portali społecznościowych łamie prawo.

GIODO podkreśla, iż „naruszenie tajemnicy korespondencji i tajemnicy komunikacji może stanowić niedozwoloną ingerencję w dobra chronione przez prawo karne i prawo cywilne” a także ustawę o ochronie danych osobowych.

 Najostrzejszymi sankcjami za takie postępowanie są sankcje karne, o których mowa choćby w art. 267 k.k. Ten przepis nie dotyczy tylko listów, ale również wszelkiego rodzaju innych przesyłek, również korespondencji w formie elektronicznej. Jest to przestępstwo ścigane na wniosek pokrzywdzonego w tym przypadku pracownika. Jego popełnienie zagrożone jest karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.

Reasumując pracodawca powinien rozważyć z jakich kanałów komunikacji pozwoli korzystać sowim pracownikom oraz na jakich zasadach. Następnie poinformować o tych zasadac h pracowników i o ewentualnych kontrolach w tym zakresie.

Zbiór danych osobowych

ochr doZbiór danych osobowych to podstawowe pojęcie z zakresu ochony danych osobowych. Czy jesteś administratorem takich zbiorów?

 Jeśli jesteś przedsiębiorcą, twoimi klientami są osoby fizyczne, zatrudniasz pracowników, świadczysz usługi i twoi klienci przekazują ci dane osób fizycznych to najprawdopodobniej przetwarzasz dane osobowe i dotyczą cię regulacje dotyczące  ochrony danych osobowych.

Z tego, co można zaobserwować przedsiebiorcy zwłaszcza ci mikro mają niezbyt dużą świadomość prawną w zakresie zasad ochrony danych osobowych. Czasami wątpliwości dotyczą kwestii szczegółowych czy mamy do czynienia z danymi osobowymi osób fizycznych, czy dane przetwarzamy w zbiorze, czy jesteśmy administratorem czy przetwarzającym i wielu innych. Odpowiedzi na powyższe pytania są o tyle istotne, że rzutują na zakres obowiązków oraz odpowiedzialności określonej w przepisach.

Czy na przykład zbiorem danych osobowych bedą umowy poukładane chronologicznie w segregatorach według daty ich zawarcia.

Zbiór danych osobowych w świetle ustawy o ochronie danych osobowych musi mieć strukturę uporzadkowaną, nie może być przypadkowym zestawem. Zbiór to zestaw danych dostępnych według określonych kryteriów.

Według Gółwnego Inspektora Danych Osobwych żeby  jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy o ochronie danych osobowych, wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.

W świetle tego stanowiska  zbiór umów na przykład kupna-sprzedaży ułożonych chronologicznie według daty zawarcia, jeśli tylko zostanie stworzona możliwość dostępu do danych osobowych według jakiegokolwiek kryterium będzie zbiorem danych osobowych w rozumieniu uodo.

Wsiąść do pociągu byle jakiego czyli prawo do bycia zapomnianym

pociąg

Gdy myślę o prawie do bycia zapomnianym przypomina mi się piosenka Maryli Rodowicz, aby wsiąść do pociągu byle jakiego i zostawić wszystko w tyle, swoją całą przeszłość.

W dobie rozwijającego się internetu oraz mediów społecznościowych czasami mogą dostać się do sieci z własnej woli lub nawet wbrew niej informacje o nas, których po latach a może wcześniej się wstydzimy. W takiej sytuacji pragnęlibyśmy, aby informacje te po prostu z sieci zniknęły. Czasami usunięcie konta na portalu społecznościom nie wystarcza, bo wiadomo informacja raz umieszczona w sieci  wymyka się spod kontroli.

Aktualnie w Parlamencie Unii Europejskiej  procedowane jest rozporządzenie w sprawie ochrony danych osobowych osób fizycznych. Jedną z nowych instytucji zawartych w tymże akcie prawnym jest właśnie prawo do bycia zapomnianym. Według rozporządzenia prawo do bycia zapomnianym daje osobie prawo do żądania usunięcia dotyczących jej danych osobowych oraz zaprzestania dalszego ich rozpowszechniania. Żądanie takie można by złożyć administratorowi danych, który obowiązany byłby do wszelkich uzasadnionych kroków, w tym użycia wszelkich środków technicznych by poinformować osoby trzecie przetwarzające takie dane, iż osoba wnioskuje o usunięcie wszelkich linków z informacjami jej dotyczącymi.

Generalny Inspektor Danych Osobowych dr. Wojciech Rafał Wiewiórowski tłumaczy, iż prawo do bycia zapomnianym można rozumieć na dwa sposoby: „po pierwsze, jako prawo do tego, żeby informacja o nas nie pojawiała się w Internecie, jeśli tego nie chcemy. Drugi sposób rozumienia tego prawa to sytuacja, w której zostały już udostępnione w Internecie informacje, czy to przez  osobę, której dane dotyczą czy też przez inne osoby i by nie istniały w publicznym obiegu chce się je wycofać.” Jednakże GIODO podkreśla, że usunięcie tych danych jest bardzo trudne, żeby nie powiedzieć niemożliwe, bo raz zamieszczone informacje w sieci pozostają tam na zawsze.

Wojciech Rafał Wiewiórowski zwraca też uwagę na kolizję, która występu­je pomiędzy prawem do bycia zapomnianym, a wol­nością wypowiedzi. W ciekawej rozmowie z Beatą Marek mówi on: „pamiętając przede wszystkim, że nasz przepis konstytucyjny dotyczący swobody wypowiedzi jest tym samym przepisem, w którym zapisane jest prawo do przetwarzania informacji. W związku z tym to jest nie tylko wolność słowa, ale również wolność przetwarzania informacji…. Poprzez wycofanie informa­cji o sobie (mówię teraz tylko o informacji legalnie umieszczonej w sieci) możemy tak naprawdę wpły­wać na to, jak wygląda pamięć historyczna.”

Dla zilustrowania sytuacji GIODO podaje przykłady. Interesujący przykład, gdzie zabójca aktora Waltera Sedlmayra zażądał od Wikipedii usunięcia informacji o tym, że jest mordercą (tłumacząc to tym, że ma on problem z powrotem do społeczeństwa, gdyż jego nazwisko jest ciągle łączone z przestępstwem dokonanym wiele lat wcześniej). Niemiecka Wiki­pedia wycofała dane osobowe zabójcy, ale bez trudu można znaleźć te dane w angielskiej wersji Wikipe­dii oraz w archiwach gazetowych.

 W tle debaty nad rozporządzeniem unijnym, w tym prawem do bycia zapomnianym toczą się w UE także interesujące postępowania sądowe. Rozstrzygnięcia, które zapadły bądź zapadną mogą stanowić istotny wkład merytoryczny oraz niewykluczone stanowić podstawę do odpowiednich modyfikacji zapisów rozporządzenia w zakresie prawa do bycia zapomnianym.

Aktualnie tocząca się przed Trybunałem Sprawiedliwości Unii Europejskiej tzw. sprawa Google Spain powoli zbliża się do swojego finału. Trybunał rozstrzygnie w niej, czy można żądać od wyszukiwarki wymazania informacji o sobie, a więc czy istnieje „prawo do bycia zapomnianym”. Sprawa o to, czy można zniknąć z wyszukiwarki toczy się na skutek uporu pewnego Hiszpana, który nie chciał, by w Internecie dostępna była informacja o licytacji jego nieruchomości. Rozstrzygające dla sprawy powinno być ustalenie czy działalność wyszukiwarki, polegająca na lokalizowaniu opublikowanych już wcześniej informacji, a następnie ich udostępnianie, stanowi przetwarzanie danych, a Google jest ich administratorem.

Kolejnym ciekawym wyrokiem, wydanym w podobnej sprawie przez Europejski Trybunał Praw Człowieka był wyrok w sprawie przeciwko Polsce o naruszenie prawa do poszanowania życia prywatnego i reputacji. W 2002 r. prawnicy Szymon Węgrzynowski i Tadeusz Smolczewski wygrali proces z „Rzeczpospolitą” o zniesławienie. Poszkodowani zorientowali się, że w archiwum na stronie internetowej Rzeczpospolitej wciąż dostępny jest oczerniający ich artykuł. Gdy postępowanie sądowe zainicjowane przez nich w Polsce nie przyniosło oczekiwanych rezultatów wystąpili oni ze skargą do Europejskiego trybunału Praw Człowieka. Trybunał uznał jednak, że nie doszło do naruszenia praw człowieka.

Archiwa internetowych wydań gazet mają charakter edukacyjny i pozwalają na szybkie wyszukiwanie informacji o opisanych wydarzeniach. Trybunał zauważył jednak, że treści dostępne w Internecie mogą w większym stopniu, niż czyni to papierowa prasa, ingerować w prawo do prywatności.

Zdaniem Trybunału zamiast usuwania artykułów z istniejących archiwów gazet rozwiązaniem byłoby dodanie, obok nich, odpowiedniej informacji na temat zapadłych wyroków sądowych. Tym samym pozwoliłoby to na zachowanie równowagi pomiędzy wolnością prasy i wypowiedzi a prawem jednostki do ochrony swojej reputacji.

Prawo do bycia zapomnianym w brzmieniu pierwotnie zaproponowanym w rozporządzeniu byłoby trudne o ile w ogóle możliwe do zrealizowania przez administratorów danych osobowych, dlatego z pewnością powinno być zmodyfikowane. Miejmy nadzieję, że w ramach debaty nad tym prawem zostaną wyważone prawa jednostki do bycia zapomnianym z poszanowaniem innych praw, o których wspominał GIODO i które były przedmiotem zasygnalizowanych wyżej sporów sądowych.