fbTrack
REKLAMA
REKLAMA

Dane osobowe

Wizerunek w Internecie bez pełnej ochrony

Fotorzepa, Jerzy Dudek JD Jerzy Dudek
Kontrowersyjna decyzja generalnego inspektora ochrony danych osobowych potwierdza, że są problemy ze stosowaniem przepisów, gdy dane są zamieszczane w serwisach społecznościowych – uważają Xawery Konarski adwokat, wspólnik w Kancelarii Prawnej Traple, Konarski, Podrecki oraz Grzegorz Sibiga, adiunkt w Instytucie Nauk Prawnych PAN
W decyzji z 27 maja GIODO odmówił uwzględnienia skargi osoby, która żądała usunięcia jej danych (w tym wizerunku) zamieszczonych w serwisie Nasza-Klasa przez jego użytkowników („Rz” z 6 czerwca). Decyzja ma istotne znaczenie dla funkcjonowania serwisów społecznościowych, ponieważ GIODO zajął w niej trzy bardzo ważne stanowiska.
Po pierwsze: przedsiębiorca zarządzający serwisem (tutaj: Nasza-Klasa sp. z o. o.) ma status administratora danych umieszczanych przez użytkowników serwisu.
Po drugie: zamieszczanie danych przez inne osoby (użytkowników serwisu) niż podmiot nie narusza jego praw i wolności, jeżeli informacje są dostępne tylko dla użytkowników. Co więcej, zainteresowany nie może w drodze administracyjnej skutecznie zażądać usunięcia tych danych.
Po trzecie: do przedsiębiorcy zarządzającego znajduje zastosowanie wyłącznie odpowiedzialność przewidziana dla przechowującego dane w art. 14 ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (DzU nr 47, poz. 211 ze zm.; dalej: ustawa 2002).
Zarówno ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.; dalej: ustawa 1997), jak i stanowiąca jej pierwowzór unijna dyrektywa 95/46/WE przewidują, że w przetwarzaniu danych osobowych mogą brać udział dwie kategorie podmiotów: administrator danych (controller) oraz przetwarzający (processor). Podział ma istotne znaczenie, bo głównym adresatem obowiązków określonych w ustawie 1997 jest administrator, podczas gdy przetwarzający musi jedynie zastosować środki zabezpieczające dane oraz przetwarzać je zgodnie z umową zawartą na piśmie z administratorem. Warunkiem uzyskania statusu administratora jest „decydowanie o celach i środkach przetwarzania danych” (art. 7 pkt 4), natomiast obowiązki przetwarzającego określa art. 31.
Zastrzeżenie budzi zajęcie przez GIODO stanowiska, że Nasza-Klasa sp. z o.o. jest administratorem w stosunku do danych umieszczonych w serwisie przez jego użytkowników. Naszym zdaniem status ten przysługuje spółce wyłącznie względem informacji o użytkownikach, a więc osobach, które zarejestrowały się w serwisie i poprzez akceptację regulaminu wyraziły zgodę na przetwarzanie danych zawartych w formularzu rejestracyjnym. Dane te są wykorzystywane przez Naszą-Klasę sp. z o.o. w celu wykonania umowy o świadczenie usług drogą elektroniczną oraz ewentualnie w innych celach (np. marketingowych). W zakresie przetwarzania danych na te cele spółka niewątpliwie powinna być traktowana jako administrator danych.
Z inną sytuacją mamy natomiast do czynienia, gdy dane osobowe w serwisie zostały zamieszczone przez użytkowników (na swój temat oraz innych osób). Co istotne, spółka jedynie przechowuje te dane, nie wykorzystując ich na własne potrzeby. Sam użytkownik decyduje o umieszczeniu danych w serwisie, a zatem to jemu przysługuje status administratora.
Jaką rolę pełni przedsiębiorca? Wydaje się, że tylko przetwarzającego powierzone przez użytkownika dane osobowe, chociaż przeniesienie prostego podziału administrator – przetwarzający do specyfiki serwisu społecznościowego nie jest w pełni jednoznaczne.
Ustawa 1997 w art. 3a ust. 1 pkt 1 wyłącza jednak swoje stosowanie w wypadku „osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych”. To wyłączenie nie znajduje zastosowania w wypadku umieszczania danych innych osób w serwisie, ponieważ element „osobistego” korzystania z danych osobowych przybiera postać ich upublicznienia, a z danymi może zapoznać się potencjalnie nieograniczony krąg osób. Celem ustanowienia wyłączenia było natomiast ułatwienie korzystania ze zbioru danych osobowych dla własnych celów przez pojedynczą osobę fizyczną, która ten zbiór utworzyła.
Z punktu widzenia uprawnień podmiotu danych przyznanie użytkownikowi serwisu statusu administratora z pewnością nie jest zadowalające, ponieważ nieporównanie trudniej od niego wyegzekwować wykonanie obowiązków niż od instytucji przetwarzającej dane. Objęcie ustawowymi obowiązkami takiego użytkownika nie jest zresztą pewne, ponieważ ustawa ma zastosowanie do osób fizycznych, które przetwarzają dane „w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych” (art. 3 ust. 2 pkt 2), co w wypadku umieszczania danych w serwisie najczęściej nie będzie miało miejsca.
Przyjęcie przez GIODO, że to jednak Nasza-Klasa sp. z o.o. jest administratorem danych, ma dalsze, doniosłe konsekwencje. Podstawowym obowiązkiem administratora jest spełnienie przesłanek dopuszczalności przetwarzania danych określonych w art. 23 ust. 1 ustawy 1997. Jedna z nich to tzw. klauzula prawnie usprawiedliwionego celu (pkt 5), która dopuszcza przetwarzanie, gdy jest ono niezbędne do wypełnienia takich celów, a operacje na danych nie naruszają praw i wolności podmiotu danych. Przy analizie dopełnienia tych warunków należy wziąć pod uwagę wszystkie prawnie gwarantowane prawa i wolności, w szczególności prawo do prywatności (art. 47 konstytucji).
W tej sprawie dane umieszczono w serwisie bez wiedzy użytkownika i odmówiono jego żądaniom ich usunięcia. Dlatego nie do zaakceptowania jest stanowisko GIODO, że kluczowym argumentem dla stwierdzenia braku „naruszenia praw i wolności” jest fakt, iż dostęp do danych ma „jedynie” wielomilionowa rzesza zarejestrowanych użytkowników serwisu, a nie wszyscy internauci. Prawo do dysponowania własnymi danymi jest istotą autonomii informacyjnej jednostki, wynikającej z konstytucyjnych praw do prywatności oraz ochrony danych osobowych.
Nawet gdyby przyjąć, że w analizowanej sprawie dopełnione zostały warunki z klauzuli prawnie usprawiedliwionego celu, to ustawa w art. 32 ust. 1 pkt 8 przyznaje podmiotowi danych dodatkowy środek administracyjny wobec administratora. Zainteresowany może złożyć administratorowi sprzeciw wobec przekazywania jego danych innym administratorom. Ten środek administracyjny znajduje zastosowanie także w wypadku zamieszczania danych w Internecie, ponieważ dostęp do nich mają również inni administratorzy. Zgodnie z art. 32 ust. 3 ustawy 1997 administrator danych jest zobligowany do uwzględnienia sprzeciwu, a jeżeli tego nie uczyni, GIODO powinien nakazać mu spełnienie tego obowiązku na podstawie art. 18 ust. 1. W tej sprawie tak się nie stało.
Pozostaje pytanie: czy GIODO będzie badał wykonanie przez Naszą-Klasę sp. z o.o. wszystkich obowiązków administratora, np. obowiązku poinformowania osób, których dane zamieścili zarejestrowani użytkownicy (art. 25 ustawy 1997), czego przedsiębiorca do chwili obecnej na pewno nie uczynił.
W uzasadnieniu decyzji GIODO stwierdził, że Nasza-Klasa sp. z o.o. może się również powołać na wyłączenie odpowiedzialności określone w art. 14 ustawy 2002. Zgodnie z tym przepisem podmiot przechowujący w swoich zasobach teleinformatycznych cudze dane nie ponosi odpowiedzialności tak długo, jak długo nie wie o bezprawnym ich charakterze, a po uzyskaniu „wiarygodnej wiadomości” uniemożliwi dostęp do tych danych.
Konstrukcja tego przepisu zakłada, że podmiot przechowujący dane nie podejmuje względem nich żadnych decyzji, w szczególności nie określa celów ich przetwarzania. W tym właśnie znaczeniu są to dla niego „cudze dane”. W sposób więc oczywisty wyłączenie odpowiedzialności z art. 14 ustawy nie znajduje zastosowania do administratora danych, który decyduje o przetwarzaniu danych. Jakie ma to znaczenie dla omawianej sprawy? GIODO trafnie stwierdził, że nie jest kompetentny do rozstrzygania sporu między skarżącym a Naszą-Klasą odnośnie do uznania informacji przekazanych tej spółce przez skarżącego za „wiarygodną wiadomość o bezprawnym charakterze danych”.
Zagadnienie to nie ma jednak znaczenia dla wydania przez inspektora decyzji stwierdzającej (lub nie) naruszenie przepisów o ochronie danych osobowych. Z pkt 45 preambuły dyrektywy 2000/31/WE, która była wzorem dla polskiej ustawy, wynika, że zawarte w art. 14 tej ustawy wyłączenie odpowiedzialności nie ma wpływu na możliwość wydawania przez organy administracji decyzji o usunięciu uchybień.
W sytuacji więc, gdy GIODO w trakcie prowadzonego postępowania stwierdzi, że doszło do naruszenia zasad ochrony danych osobowych, może zawsze wydać stosowną decyzję nakazową, o której mowa w art. 18 ust. 1 ustawy 2002. Wprowadzona w art. 14 tej ustawy procedura „urzędowych” i „wiarygodnych” powiadomień niczego w tym względzie nie zmienia.
Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA