Część serwisów zbiera jedynie adresy e-mailowe i loginy użytkowników. Małgorzata Kałużyńska-Jasak, rzecznik GIODO, podkreśla jednak, że nie każdy adres e-mailowy jest danymi osobowymi. Nie zawsze można bowiem na jego podstawie – choćby pośrednio – zidentyfikować osobę fizyczną.
– Informacji nie uważa się za pozwalającą określić tożsamość osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań – tłumaczy Kałużyńska.
Adres e-mailowy będzie danymi osobowymi, gdy można dzięki niemu ustalić tożsamość osoby albo gdy jego elementy (np. nazwa domeny pracodawcy) pozwalają bez trudności ustalić osobę. Gdy ktoś zbiera takie e-maile i następnie je przetwarza, to – jako ich administrator – musi zgłosić zbiór do rejestracji. Z obowiązku rejestracji zwalnia się administratorów danych powszechnie dostępnych, czyli takich, z którymi może się zapoznać w zbiorze (bez szczególnego nakładu sił i środków) nieograniczony krąg podmiotów. Zwolnienie dotyczy też jedynie sytuacji, gdy powszechnie dostępne są wszystkie dane osobowe zawarte w zbiorze, a nie tylko niektóre.
Jednym z wielu obowiązków właściciela portalu społecznościowego jest zabezpieczenie danych przed nieuprawnionym dostępem, zmianami, utratą albo zniszczeniem, zatrudnianie administratora bezpieczeństwa informacji itp. Tak wynika z art. 36 ustawy o ochronie danych osobowych. To będzie m.in. przedmiotem zapowiedzianej w ubiegłym tygodniu kontroli GIODO, zwłaszcza że zabezpieczenie danych w formie elektronicznej nie jest łatwe, bo są one narażone na ataki i próby wykradzenia przez osoby nieuprawnione.
Pamiętajmy, że prawo do kontroli własnych danych przysługuje nie tylko zarejestrowanym użytkownikom portali społecznościowych (takich jak nasza-klasa.pl), ale każdej osobie, której dane są w nim przetwarzane. W szczególności każdy ma prawo zażądać informacji, czy jego dane znajdują się w takim portalu, np. żeby sprawdzić, czy ktoś nie podszył się pod niego. W przypadku portalu nasza-klasa.pl niektóre funkcje – np. forum, przeglądarka – są dostępne tylko dla zarejestrowanego użytkownika. Każdej innej osobie powinny także zostać udzielone informacje na jej temat, gdy tego zażąda. Ponieważ podszywanie się pod inną osobę staje się poważnym problemem tego portalu, dokładając szczególnej staranności, należy rozważyć wprowadzenie szybkiej procedury sprawdzania takiej wiadomości. Obowiązek udzielenia informacji spoczywa na administratorze danych, którym w tym wypadku jest spółka prowadząca portal. Gdy nie wykona ona tego obowiązku, to osobie administrującej grozi odpowiedzialność karna przewidziana w art. 54 ustawy o ochronie danych osobowych.
Masz pytanie, wyślij e-mail do autora: m.kosiarski@rp.pl
