Internet

Forum internetowe a ochrona danych osobowych

Adres poczty elektronicznej wraz z numerem IP komputera i nazwą użytkownika może tworzyć zbiór podlegający obowiązkowej rejestracji
Do korzystania z coraz bardziej popularnych forów internetowych niezbędne jest zwykle podanie pewnych danych. Najprawdopodobniej będzie to wymyślony przez użytkownika tzw. login (nazwa użytkownika) oraz hasło służące do każdorazowej rejestracji w systemie.
W celu aktywacji usługi dostępu do forum i na potrzeby prowadzenia ewentualnej późniejszej korespondencji podmiot prowadzący serwis pozyskuje również adres poczty elektronicznej. Dodatkowo, jak to bywa przy każdym systemie informatycznym, takie forum będzie automatycznie rejestrować numer IP komputera użytkownika podczas jego logowania lub dokonywania wpisów.
Czy zebrane w ten sposób informacje będą danymi osobowymi? Czy na osobie prowadzącej forum internetowe będą w związku z tym ciążyć obowiązki wynikające z ustawy o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.)?

Zgodnie z ustawą

Aby odpowiedzieć na te pytania, należy zastanowić się, jakie informacje mogą być uznane za dane osobowe. W rozumieniu art. 6 ust. 1 wymienionej ustawy za takie uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Dalej przepis wyjaśnia, że osobą możliwą do zidentyfikowania jest taka, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2). Jednocześnie informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3). W świetle cytowanej definicji za dane osobowe uznaje się zatem zarówno takie informacje, które pozwalają bezpośrednio na określenie tożsamości konkretnej osoby, jak również te, które nie pozwalają na jej natychmiastową identyfikację, są jednak przy pewnym nakładzie kosztów, czasu lub działań wystarczające do jej ustalenia. Nie będą  danymi osobowymi takie informacje, które nie pozwalają na ustalenie tożsamości osoby, bądź też na podstawie których jej zidentyfikowanie będzie wiązało się z poniesieniem nadmiernych kosztów, czasu lub działań. W związku z takim brzmieniem prze- pisów nie pozostaje nic innego, jak do każdej informacji podchodzić indywidualnie.

Raz tak, raz nie

Zwykle wymyślona przez użytkownika nazwa (login) może być zupełnie dowolnym słowem lub zbiorem znaków. Przykładowo ktoś może się zarejestrować na forum jako Poznaniak lub ABC. Trudno zakładać, że bez nadmiernych kosztów, czasu i działań dałoby się zidentyfikować na tej podstawie osobę kryjącą się za takim podpisem (chociaż jest to możliwe). Jednak równie dobrze użytkownik może posłużyć się swoim imieniem i nazwiskiem. Wtedy sprawa identyfikacji jest już prostsza. Podobnie będzie z adresem poczty elektronicznej. Może być on oparty na przykładowych słowach, np. czytelnikrp@xx.pl, ale równie dobrze ma prawo opierać się na imieniu i nazwisku posiadacza adresu, np. Jan.Nowak@xx.pl. O ile w pierwszym przypadku takiej informacji nie dałoby się zakwalifikować jako danych osobowych, o tyle w drugim już tak z reguły będzie. Tym samym należy przyjąć, że adres poczty elektronicznej będzie stanowił daną osobową, jeśli nie będą zachodziły przesłanki z wyżej zacytowanego art. 6 ust. 3. Elementarnym kryterium ułatwiającym uznanie adresu e-mail za daną osobową będzie w szczególności jej treść (składająca się z imienia i nazwiska).

Identyfikacja

Kwestia uznawania publicznych adresów IP za dane osobowe może budzić kontrowersje. W dużym stopniu  uznanie takiej informacji za dane osobowe będzie zależeć od charakteru, okoliczności, sposobu i celu, w jakim dane te są zbierane i wykorzystywane. Biorąc jednak pod uwagę takie elementy, jak: - sposób powiązania tych danych z innymi informacjami (loginem, pocztą), - ryzyko, że dane te mogą być porównane z innymi publicznie dostępnymi, - prawdopodobieństwo pozyskania w przyszłości  dodatkowych informacji, - prawdopodobieństwo, że dodatkowe dane niezbędne do identyfikacji mogą być pozyskane za pośrednictwem uprawnionych podmiotów, należy uznać, że adres IP jest informacją, która w wielu okolicznościach może służyć do ustalenia powiązań pomiędzy urządzeniem, któremu jest przypisana, i osobą, która z tego urządzenia korzysta. Zgodnie  zatem z przytoczoną definicją danych osobowych mogą to być informacje, które umożliwiają identyfikację osób, których dotyczą. Natomiast same ich nie identyfikują. „Uprawnione jest sformułowanie poglądu, zgodnie z którym wszelkie niepowtarzalne identyfikatory są danymi osobowymi, o ile umożliwiają ustalenie tożsamości osoby fizycznej. Współcześnie przez ustalenie tożsamości osoby fizycznej należy rozumieć nie tylko ustalenie imienia i nazwiska, lecz również ustalenie niepowtarzalnego identyfikatora przypisanego do osoby fizycznej, np. adresu poczty elektronicznej czy adresu IP komputera” (Andrzej Drozd, „Komentarz do ustawy”, Lex polonica). Reasumując, ocena, czy podany login, adres poczty lub pozyskany IP pozwala na jednoznaczne ustalenie tożsamości użytkownika, należy do podmiotu, który określonymi danymi dysponuje. To on powinien ocenić, czy ewentualne koszty, czas lub działania zmierzające do bezbłędnego ustalenia tożsamości nie są nadmierne. Należy jednak zakładać, że w wielu przypadkach informacje takie będą mogły zostać uznane za dane osobowe.

Konsekwencje

Uznanie wymienionych wyżej informacji za dane osobowe sprawia, że prowadzący forum internetowe staje się administratorem takich danych. W związku z tym ciążą na nim obowiązki wynikające z przepisów ustawy o ochronie danych osobowych. Jednym z nich jest dokonanie rejestracji takiego zbioru u generalnego inspektora ochrony danych osobowych. Jest to ogólna zasada. Wyjątki od niej, czyli sytuacje, w których zbiór nie podlega obowiązkowej rejestracji, wymienia art. 43 ustawy. Kto nie musi rejestrować zbioru danych W myśl art. 43 ust. 1 ustawy o ochronie danych osobowych z rejestracji zbioru danych zwolnieni są administratorzy danych: - zawierających informacje niejawne, - które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, - przetwarzanych przez właściwe organy na potrzeby postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, - przetwarzanych przez generalnego inspektora informacji finansowej, - przetwarzanych przez właściwe organy na potrzeby udziału Polski w systemie informacyjnym Schengen oraz wizowym systemie informacyjnym, - dotyczących osób należących do Kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby takiej instytucji, - przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, - dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego lub biegłego rewidenta, - tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, powiatów i sejmików wojewódzkich, wyborów na urząd prezydenta, wójta, burmistrza oraz dotyczących referendum ogólnokrajowego lub lokalnego, - dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności, - przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, - powszechnie dostępnych, - przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, - przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. Jak wynika z tego wyliczenia, większość przypadków dotyczy bardzo szczególnych kategorii danych gromadzonych przez wyspecjalizowane instytucje i na specyficzne potrzeby. Ponadto należy podkreślić, że art. 43 wprowadza wyjątki od ogólnej zasady wyrażonej w art. 40, zgodnie z którą administrator danych jest obowiązany zgłosić zbiór danych do rejestracji generalnemu inspektorowi. Dlatego tak ważne jest, aby w każdym przypadku przetwarzania danych osobowych  ich administrator dokonał oceny, czy ze względu na charakter przetwarzanych informacji ich zbiór podlega obowiązkowej rejestracji, czy jest z niego zwolniony na podstawie którejkolwiek z wyżej wymienionych przesłanek. Wyjątków tych nie wolno interpretować rozszerzająco. Ponadto należy zwrócić uwagę, że zwolnienie zbioru z obowiązku rejestracji jest możliwe tylko wówczas, gdy opisane wyjątki dotyczą wszystkich danych zawartych w zbiorze. Jeżeli zatem w ramach tworzonych zbiorów przetwarzane są, choćby wyjątkowo, (incydentalnie) inne dane  niż te wymienione w art 43 ust. 1  bądź w innych celach niż wskazane w tym przepisie, to zbiór danych podlega wówczas obowiązkowi zgłoszenia do rejestracji. Do innych podstawowych obowiązków należy zaliczyć obowiązek: - określony – w zależności od tego  czy dane są zbierane bezpośrednio od osoby, której dotyczą, czy też z innego źródła  – w art. 24 lub 25 ustawy, - dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą (zapewnienie przetwarzania zgodnego z prawem, zbieranie dla określonych celów, niepoddawanie przetwarzaniu niezgodnie z tymi celami  itd.) – art. 26 ustawy, - respektowania praw osób, których dane dotyczą, określonych w rozdziale 4, tj. prawa do kontroli procesu przetwarzania danych, - stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych (przed udostępnieniem osobie nieupoważnionej, zniszczeniem, przetwarzaniem niezgodnym z prawem, zmianą, utratą, uszkodzeniem). Wymogi te są określone w art. 36 – 39 ustawy, a w przypadku przetwarzania danych w systemie informatycznym w rozporządzeniu ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Czytaj też: Zobacz: » Twoje prawo » Internet, prawo komputerowe » Dane osobowe i dobra osobiste » Firma » Dane osobowe i dobra osobiste
Źródło: Rzeczpospolita

REDAKCJA POLECA

NAJNOWSZE Z RP.PL