Zbiór danych osobowych

ochr doZbiór danych osobowych to podstawowe pojęcie z zakresu ochony danych osobowych. Czy jesteś administratorem takich zbiorów?

 Jeśli jesteś przedsiębiorcą, twoimi klientami są osoby fizyczne, zatrudniasz pracowników, świadczysz usługi i twoi klienci przekazują ci dane osób fizycznych to najprawdopodobniej przetwarzasz dane osobowe i dotyczą cię regulacje dotyczące  ochrony danych osobowych.

Z tego, co można zaobserwować przedsiebiorcy zwłaszcza ci mikro mają niezbyt dużą świadomość prawną w zakresie zasad ochrony danych osobowych. Czasami wątpliwości dotyczą kwestii szczegółowych czy mamy do czynienia z danymi osobowymi osób fizycznych, czy dane przetwarzamy w zbiorze, czy jesteśmy administratorem czy przetwarzającym i wielu innych. Odpowiedzi na powyższe pytania są o tyle istotne, że rzutują na zakres obowiązków oraz odpowiedzialności określonej w przepisach.

Czy na przykład zbiorem danych osobowych bedą umowy poukładane chronologicznie w segregatorach według daty ich zawarcia.

Zbiór danych osobowych w świetle ustawy o ochronie danych osobowych musi mieć strukturę uporzadkowaną, nie może być przypadkowym zestawem. Zbiór to zestaw danych dostępnych według określonych kryteriów.

Według Gółwnego Inspektora Danych Osobwych żeby  jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy o ochronie danych osobowych, wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.

W świetle tego stanowiska  zbiór umów na przykład kupna-sprzedaży ułożonych chronologicznie według daty zawarcia, jeśli tylko zostanie stworzona możliwość dostępu do danych osobowych według jakiegokolwiek kryterium będzie zbiorem danych osobowych w rozumieniu uodo.

Wsiąść do pociągu byle jakiego czyli prawo do bycia zapomnianym

pociąg

Gdy myślę o prawie do bycia zapomnianym przypomina mi się piosenka Maryli Rodowicz, aby wsiąść do pociągu byle jakiego i zostawić wszystko w tyle, swoją całą przeszłość.

W dobie rozwijającego się internetu oraz mediów społecznościowych czasami mogą dostać się do sieci z własnej woli lub nawet wbrew niej informacje o nas, których po latach a może wcześniej się wstydzimy. W takiej sytuacji pragnęlibyśmy, aby informacje te po prostu z sieci zniknęły. Czasami usunięcie konta na portalu społecznościom nie wystarcza, bo wiadomo informacja raz umieszczona w sieci  wymyka się spod kontroli.

Aktualnie w Parlamencie Unii Europejskiej  procedowane jest rozporządzenie w sprawie ochrony danych osobowych osób fizycznych. Jedną z nowych instytucji zawartych w tymże akcie prawnym jest właśnie prawo do bycia zapomnianym. Według rozporządzenia prawo do bycia zapomnianym daje osobie prawo do żądania usunięcia dotyczących jej danych osobowych oraz zaprzestania dalszego ich rozpowszechniania. Żądanie takie można by złożyć administratorowi danych, który obowiązany byłby do wszelkich uzasadnionych kroków, w tym użycia wszelkich środków technicznych by poinformować osoby trzecie przetwarzające takie dane, iż osoba wnioskuje o usunięcie wszelkich linków z informacjami jej dotyczącymi.

Generalny Inspektor Danych Osobowych dr. Wojciech Rafał Wiewiórowski tłumaczy, iż prawo do bycia zapomnianym można rozumieć na dwa sposoby: „po pierwsze, jako prawo do tego, żeby informacja o nas nie pojawiała się w Internecie, jeśli tego nie chcemy. Drugi sposób rozumienia tego prawa to sytuacja, w której zostały już udostępnione w Internecie informacje, czy to przez  osobę, której dane dotyczą czy też przez inne osoby i by nie istniały w publicznym obiegu chce się je wycofać.” Jednakże GIODO podkreśla, że usunięcie tych danych jest bardzo trudne, żeby nie powiedzieć niemożliwe, bo raz zamieszczone informacje w sieci pozostają tam na zawsze.

Wojciech Rafał Wiewiórowski zwraca też uwagę na kolizję, która występu­je pomiędzy prawem do bycia zapomnianym, a wol­nością wypowiedzi. W ciekawej rozmowie z Beatą Marek mówi on: „pamiętając przede wszystkim, że nasz przepis konstytucyjny dotyczący swobody wypowiedzi jest tym samym przepisem, w którym zapisane jest prawo do przetwarzania informacji. W związku z tym to jest nie tylko wolność słowa, ale również wolność przetwarzania informacji…. Poprzez wycofanie informa­cji o sobie (mówię teraz tylko o informacji legalnie umieszczonej w sieci) możemy tak naprawdę wpły­wać na to, jak wygląda pamięć historyczna.”

Dla zilustrowania sytuacji GIODO podaje przykłady. Interesujący przykład, gdzie zabójca aktora Waltera Sedlmayra zażądał od Wikipedii usunięcia informacji o tym, że jest mordercą (tłumacząc to tym, że ma on problem z powrotem do społeczeństwa, gdyż jego nazwisko jest ciągle łączone z przestępstwem dokonanym wiele lat wcześniej). Niemiecka Wiki­pedia wycofała dane osobowe zabójcy, ale bez trudu można znaleźć te dane w angielskiej wersji Wikipe­dii oraz w archiwach gazetowych.

 W tle debaty nad rozporządzeniem unijnym, w tym prawem do bycia zapomnianym toczą się w UE także interesujące postępowania sądowe. Rozstrzygnięcia, które zapadły bądź zapadną mogą stanowić istotny wkład merytoryczny oraz niewykluczone stanowić podstawę do odpowiednich modyfikacji zapisów rozporządzenia w zakresie prawa do bycia zapomnianym.

Aktualnie tocząca się przed Trybunałem Sprawiedliwości Unii Europejskiej tzw. sprawa Google Spain powoli zbliża się do swojego finału. Trybunał rozstrzygnie w niej, czy można żądać od wyszukiwarki wymazania informacji o sobie, a więc czy istnieje „prawo do bycia zapomnianym”. Sprawa o to, czy można zniknąć z wyszukiwarki toczy się na skutek uporu pewnego Hiszpana, który nie chciał, by w Internecie dostępna była informacja o licytacji jego nieruchomości. Rozstrzygające dla sprawy powinno być ustalenie czy działalność wyszukiwarki, polegająca na lokalizowaniu opublikowanych już wcześniej informacji, a następnie ich udostępnianie, stanowi przetwarzanie danych, a Google jest ich administratorem.

Kolejnym ciekawym wyrokiem, wydanym w podobnej sprawie przez Europejski Trybunał Praw Człowieka był wyrok w sprawie przeciwko Polsce o naruszenie prawa do poszanowania życia prywatnego i reputacji. W 2002 r. prawnicy Szymon Węgrzynowski i Tadeusz Smolczewski wygrali proces z „Rzeczpospolitą” o zniesławienie. Poszkodowani zorientowali się, że w archiwum na stronie internetowej Rzeczpospolitej wciąż dostępny jest oczerniający ich artykuł. Gdy postępowanie sądowe zainicjowane przez nich w Polsce nie przyniosło oczekiwanych rezultatów wystąpili oni ze skargą do Europejskiego trybunału Praw Człowieka. Trybunał uznał jednak, że nie doszło do naruszenia praw człowieka.

Archiwa internetowych wydań gazet mają charakter edukacyjny i pozwalają na szybkie wyszukiwanie informacji o opisanych wydarzeniach. Trybunał zauważył jednak, że treści dostępne w Internecie mogą w większym stopniu, niż czyni to papierowa prasa, ingerować w prawo do prywatności.

Zdaniem Trybunału zamiast usuwania artykułów z istniejących archiwów gazet rozwiązaniem byłoby dodanie, obok nich, odpowiedniej informacji na temat zapadłych wyroków sądowych. Tym samym pozwoliłoby to na zachowanie równowagi pomiędzy wolnością prasy i wypowiedzi a prawem jednostki do ochrony swojej reputacji.

Prawo do bycia zapomnianym w brzmieniu pierwotnie zaproponowanym w rozporządzeniu byłoby trudne o ile w ogóle możliwe do zrealizowania przez administratorów danych osobowych, dlatego z pewnością powinno być zmodyfikowane. Miejmy nadzieję, że w ramach debaty nad tym prawem zostaną wyważone prawa jednostki do bycia zapomnianym z poszanowaniem innych praw, o których wspominał GIODO i które były przedmiotem zasygnalizowanych wyżej sporów sądowych.

“Twójstyl.pl” ofiarą piractwa

okladka_202874928351e7cf61592a7W chwili obecnej prawie wszyscy mamy już świadomość jaką wartość może mieć nazwa domeny. Początkowo główną funkcją domen internetowych była lokalizacja stron WWW w internecie. Jednak z czasem, gdy internet rósł w siłę domeny internetowe zaczęły być przedmiotem obrotu handlowego na masową skalę. Dzisiaj już prawie każdy zdaje sobie sprawę, iż dobra domena to połowa sukcesu, że może być cennym narzędziem reklamy i marketingu.

W sytuacji, gdy coś staje się poszukiwanym towarem zawsze znajdą się tacy, którzy chcieliby nieuczciwie na tym towarze zarobić i tak pojawił się cybersquatting czyli piractwo internetowe. Polega ono na rejestrowaniu domen z użyciem znanych znaków towarowych w celu ich komercyjnego wykorzystania, odsprzedania bądź zablokowania dostępu do internetu konkurentom. Ofiarą piractwa internetowego padł „Twójstyl.pl”. Właściciel domeny na skutek niedopatrzenia nie uiścił opłaty rocznej z tytułu utrzymania domeny, co zauważyła piracka spółka i zarejestrowała domenę na swoją rzecz. Tym samym uzyskała dostęp do szerokiej rzeszy czytelników czasopisma „Twój STYL” a co najważniejsze możliwość oferowania im swoich usług.

Sąd Polubowny ds. Domen Internetowych przy Polskiej Izbie Informatyki i Telekomunikacji orzekł, iż takie działanie, jak opisane wyżej nastąpiło w złej wierze. Za takie działanie uznaje się rejestrację cudzej domeny dla uzyskania własnych korzyści ekonomicznych, zainteresowania użytkowników internetu swoimi stronami WWW lub innymi miejscem w sieci.   Sąd nie miał wątpliwości, iż zarejestrowanie przez pozwaną spółkę domeny zawierającej rozpoznawalny, renomowany znak towarowy wypełnia znamiona piractwa domenowego. Ponadto  Sąd uznał, iż takie działanie narusza ustawę o zwalczaniu nieuczciwej konkurencji a także nosi cechy czynu niedozwolonego oraz narusza dobra osobiste powodowej spółki właściciela znaku towarowego „Twój STYL”.

Jak widać podstaw, na których pokrzywdzony może oprzeć swoje roszczenie związane z naruszeniem praw do domeny internetowej jest sporo a linia orzecznicza nie pozostawia wątpliwości, że piractwo domenowe nie może być tolerowane.

Bez ciasteczek w sieci nie ma życia

cookies ciest

Cookies (ciastka) to małe pliki tekstowe zawierające informacje wysyłane przez serwer do przeglądarki użytkownika końcowego, są zapisywane i zatrzymywane na jego komputerze. Pozwalają na jednoznaczną identyfikację komputera użytkownika.

Cookies kojarzone są w szczególności ze śledzeniem aktywności internautów w celu tworzenia reklam behawioralnych opartych na obserwacji zachowań użytkowników przez pewien okres czasu (powtarzające wizyty na stronach, słowa kluczowe, wytwarzanie treści internetowych). Jednakże jest też wiele innych rodzajów cookies wykorzystywanych do innych celów na przykład statystycznych.

Dużo ostatnio mówi się o cookies w kontekście niedawnej nowelizacji prawa telekomunikacyjnego. W zasadzie odwiedzając każdą witrynę pojawia nam sie mniej lub bardziej widoczne okienko z informacją, że strona używa plików cookies oraz najczęsciej, że więcej informacji znajduje się w polityce prywatności.

Tak w rzeczywistości jest. Jednakże ciągle znakomita więszkość użytkowników posiada mgliste wyobrażenie na temat plików cookies a jeszcze mniej czyta oczywiście regulaminy i  polityki prywatności. Niemniej jednak na administratorze witryn  internetowych ciąży obowiązek informacyjny odnośnie cookies umieszczanych na komputerach użytkowników. Rewolucji w przepisach jednakże nie widać, gdyż rygoryzm pod postacią uzyskania wyraźnej zgody został złagodzony zgodą dorozumianą, wynikającą z ustawień przeglądarki użytkownika końcowego. Oznacza to, że w zasadzie zmiany w przepisach są niewielekie. Przedsiębiorcy mogą umieszczać cookies na urządzeniach użytkowników końcowych pod warunkiem, że dopełnią obowiązku informacyjnego. Zakres wymaganych informacji obejmuje informacje o celu przechowywania i uzyskiwania dostępu do danych informatycznych oraz dotyczące zasad związanych z ustawieniami przeglądarek internetowych, w tym dokonywaniem zmian w ich ustawieniach.

Ustawa nakazuje, aby sposób poinformowania był jednoznaczny, łatwy i zrozumiały oraz aby był zrealizwany uprzednio i bezpośrednio. Z realizacją tych obowiązków bywa różnie. Często polityki prywatności w zakresie cookies to kopiowane z innych stron ogólne sformułowania, które nie dostarczają użytkownikowi jasnych informacji na ich temat. Jest to o tyle ważne, że używanie plików cookies jest powszechne a korzystanie z internetu dzieki nim jest przyjemniejsze (tak przeczytałam w polityce prywatności jednej z wiodących internetowych firm).

Każdy kto chciałby zablokować całkowicie cookies w swojej przeglądarce a następnie surfować po sieci przekona się, że jest to utrudnione a czasami niemożliwe. Nie da rady. W związku z tym nie ma co uciekać przed nieuniknionym i tym bardziej przedsiębiorcy powinni należycie wypłeniać obowiązek informacyjny, aby użytkownik nie bał się cookies skoro i tak jest na nie skazany. Dla przedsiębiorców jest to o tyle istotne, że niewykonanie obowiązków infomacyjnych dotyczących cookies zagrożone jest karą pieniężną nakładaną przez Prezesa UKE.

Google Glass

google glass

Kolejna  elektroniczna zabawka jest w fazie testowania i niewykluczone, że niedługo trafi na rynek. Fani nowych technologii są zachwyceni nowym produktem firmy Google. Okulary z wbudowaną kamerą, mikrofonem, GPS oraz dostępem do internetu. Z wyglądu przypominające zwykle okulary niepokoją jednak europejskie organy ochrony danych osobowych. Powodem jest przede wszystkim to, iż organy kontrolne obawiają się czy, aby nowoczesne okulary nie staną się wszechwiedzącym okiem, które niewiadomo komu i niewiadomo w jakich celach swoja wiedzę może przekazywać.

W czerwcu b.r europejskie organy ochrony danych osobowych wystosowały do firmy Google list wzywający do dialogu na temat funkcjonowania nowego urządzenia komputerowego. W liście sformułowano szereg pytań na temat tegoż funkcjonowania. Ewentualne odpowiedzi pomogłyby ocenić inspektorom poziom zagrożenia inwigliacją wszechwiedzących oczu.

Zwolennicy urządzenia odpierają ataki twierdząc, iż podobne funkcjonalności mają już funkcjonujące na rynku urządzenia takie jak smartfony na przykład. Zrezygnowano jednak tymczasem z funkcji rozpoznawania twarzy, jako wzbudzającej najwięcej obaw i kontrowersji.

Jaki będzie los wszechwiedzących okularów dla naszej prywatności i jak im się przysłużą europejscy inspektorzy ochrony danych osobowych to pytania na razie bez odpowiedzi. Niemniej jednak  śledząc rozwój wydarzeń nie zaszkodzi rozglądać się czy aby przypadkiem ktoś testujący google glass w Polsce nie stoi obok.

Uwaga na cudze dane osobowe

znajomi

Bardzo podoba mi się stanowisko GIODO dr. Wojciecha R. Wiewiórowskiego na temat tego, co dorośli mogą robić ze swoimi danymi osobowymi, swoją prywatnością. Mianowicie wielokrotnie powtarza on, iż jest daleki od piętnowania ludzkiej potrzeby obnażania swojej prywatności.

Najsłynniejszy portal społecznościowy FB jest areną obnażania tejże prywatności na szereg różnych sposobów. Jednakże dopóty dzielimy się ze światem wiadomościami, które dotyczą nas osobiście wszystko jest w porządku. Jesteśmy dorośli i mamy pełne prawo dysponować swoją prywatnością.

Nie może jednak znaleźć akceptacji fakt zamieszczania, na przykład na FB, informacji dotyczących osób trzecich bez ich wyraźnej zgody. Dotyczy to wszelkich informacji, zdjęć, filmów, publikacji dotyczących osób trzecich. Zamieszczając wspólne zdjęcie z imprez, wycieczki, spotkania bezwzględnie należy upewnić się, że osoby których prywatność odkrywamy mają tego świadomość i godzą się na to.

Niestety nie jest to kwestia do końca rozstrzygnięta przez przepisy w zakresie ochrony danych osobowych. Sam GIODO uważa, iż jest to jedna z trudniejszych kwestii, wymagająca wyraźnego uregulowania. Osoby trzecie, których dobra osobiste byłyby takimi publikacjami naruszone zawsze mogą na drodze cywilnej domagać się ochrony swoich praw a w przypadku popełnienia przestępstwa złożyć zawiadomienie na policję.