Przetwarzanie danych osobowych w Internecie

[informacje podane w tej pracy magisterskiej mogą być już nieaktualne – zmienił się stan prawny]

1. Uwagi ogólne

Przetwarzanie danych osobowych w sieciach komputerowych nie jest obecnie przedmiotem odrębnych przepisów. W związku z tym zastosowanie znajdują przepisy ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 1997 r., nr 133, poz. 883). Sytuacja ta ulegnie zmianie wraz z wejściem w życie ustawy – prawo telekomunikacyjne, która w pewnym zakresie regulować będzie również i przetwarzanie danych osobowych w sieciach komputerowych. Ustawa ta (wzorowana na Dyrektywie DE nr 97/66), mająca charakter przepisów szczególnych w stosunku do ustawy o ochronie danych osobowych, jedynie w ograniczonym jednak zakresie odnosi się do przetwarzania danych osobowych. W związku z tym, w przypadku przetwarzania danych osobowych w Internecie, do zdecydowanej większości praw przyznanych podmiotom danych osobowych, jak i obowiązków nałożonych na administratorów danych nadal odnosić się będą przepisy ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r.

2. Adres e-mail jako kategoria danych osobowych

Pojęcie „danych osobowych” zostało zdefiniowane w art. 6 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem, rozróżnić należy dwie kategorie danych osobowych:

1. informacje, dzięki którym, dana osoba może zostać zidentyfikowana,
2. informacje dotyczące osoby, która jest już (lub może być) zidentyfikowana dzięki innym posiadanym przez podmiot przetwarzający, informacjom odnoszącym się do danej osoby.

Innymi słowy, ustawa swoim zakresem obejmuje zarówno informacje niezbędne do identyfikacji (imię, nazwisko, miejsce zamieszkania), jak i informacje wzmacniające stopień identyfikacji (np. wiek, wykształcenie etc.). Adres e-mail, co do zasady, może stanowić obie wskazane powyżej kategorie danych osobowych. Przykładem adresu e-mail, dzięki któremu można dokonać identyfikacji jego właściciela, jest adres: wojciech.kowalski@citibank.com.pl. W adresie tym podane jest imię, nazwisko, pracodawca oraz fakt, że domena jest zarejestrowana w Polsce. Należy przy tym podkreślić, że charakteru takiego nie będzie miał ten sam adres zapisany w postaci numerycznej (adres IP). Adres IP umożliwia bowiem identyfikację komputera, a nie osoby użytkownika (ten sam komputer podłączony do sieci może być używany przez kilka osób). O tym, że powyżej wskazany adres wojciech.kowalski@citibank.com.pl zawiera dane osobowe, przesądza więc użycie w domenie słownych informacji. Innymi słowy, choć adres internetowy identyfikuję formalnie komputer podłączony do sieci, to równocześnie identyfikuję użytkownika (podmiot danych osobowych) poprzez odwołanie się do jego imienia, nazwiska, miejsca pracy etc. Przykładem drugiej z kategorii adresów e-mail, będących danymi osobowymi, jest adres: xawery@kr.onet.pl. Sama treść tego adresu nie pozwala na identyfikację osoby – brak jest wskazania nazwiska, z jego treści wynika jedynie imię danej osoby oraz informacja o dostawcy usług poczty elektronicznej. Aby powyższy adres uzyskał charakter danych osobowych, konieczne jest posiadanie przez podmiot przetwarzający dane osobowe (np. właściciela strony WWW) dodatkowych informacji takich jak np. adresu zamieszkania etc. W takim przypadku, możliwa będzie w oparciu o powyższe informacje, przyporządkowanie danego adresu konkretnej (i identyfikowalnej) osobie.

3. Cookies

„Cookie” jest zapisem informacji wykonanym przez serwer w formie pliku tekstowego na komputerze klienta, w ten sposób, że informacja ta może być następnie przez ten sam serwer (i wyłącznie przez niego) odczytana oraz zmieniona. Technika „cookies” jest oparta na protokole HTTP, to jest na protokole sieciowym. Z tego względu jedynie serwery sieciowe mogą wysyłać tego rodzaju pliki. Ujmując rzecz bardziej szczegółowo, „cookies” składają się ze zbioru zmiennych lub macierzy, które klient oraz serwer wymieniają w ramach protokołów HTTP podczas dokonywanych operacji, przy czym zmienne te są przechowywane na komputerze klienta w postaci plików tekstowych. „Cookie” jest często przyporządkowany do nazwy domeny i oraz zbioru URL w taki sposób, że jedynie sygnał nadchodzący z tego samego serwera może uzyskać do niego dostęp. Z punktu widzenia ustawy o ochronie danych osobowych, ocena „cookies” zależy od rodzaju informacji, które dzięki tej technice są zbierane – jeżeli są to dane osobowe (por. punkt 1 powyżej), to wówczas, przepisy ustawy znają zastosowanie.

4. Administrator danych a podmiot przetwarzający dane na zlecenie

Zgodnie z ustawą, każdy z podmiotów przetwarzających dane osobowe może być albo administratorem danych albo podmiotem przetwarzającym dane na zlecenie (ang. processor). Rozróżnienie pomiędzy „administratorem danych osobowych” a processorem ma podstawowe znaczenie dla firm reklamowych świadczących usługi w Internecie. Wiele z nich korzysta bowiem z danych osobowych – a więc je przetwarza – nie na własne potrzeby a na zlecenie administratorów danych. Zgodnie z konstrukcją przyjętą w polskiej ustawie, podmioty przetwarzające dane na zlecenie (processor) nie podlegają szeregowi obowiązków nałożonych w ustawie na administratora danych osobowych (poza obowiązkiem podjęcia środków zabezpieczających zbiór danych, o których mowa w dziale 5 ustawy). Do najbardziej „uciążliwych” z tych obowiązków zaliczyć należy obowiązek informacyjny (art. 24 i 25) oraz obowiązek zgłoszenia do rejestracji zbioru danych osobowych (art. 40 i n.). Z punktu widzenia firm marketingowych, dużo korzystniejsze jest więc by zostały one potraktowane jako processorzy a nie „administratorzy danych osobowych”. Definicja administratora danych zawarta jest w art. 7 punkt 4 ustawy – zgodnie z którym administratorem jest podmiot „decydujący o celach i środkach przetwarzania danych osobowych”. W związku z tym dla rozróżnienia, czy dany podmiot jest administratorem danych, czy processorem kluczowa jest wykładnia zwrotu „decyduje o celach i środkach przetwarzania danych osobowych”.

Przede wszystkim należy podkreślić, że decydowanie o celach i środkach nie może być interpretowane – jak to się często błędnie przyjmuje – jako decydowanie o środkach finansowych. Dany podmiot nie staje się więc administratorem danych osobowych np. przez sam fakt finansowania akcji reklamowej w trakcie której wykorzystywane są dane osobowe. Będzie nim natomiast wówczas, gdy dokona wyboru treści przetwarzanych danych oraz sposobu korzystania z danych. Pojęcie „treści danych” oznacza kategorie danych osobowych, które są przetwarzane (np. imię, nazwisko, adres e-mail etc.). Bez znaczenia jest natomiast okoliczność faktycznego dysponowania bazą danych osobowych. Administratorem danych będzie więc i podmiot, który bazą co prawda nie dysponuje („nie posiada jej”), ale podejmuje decyzje co do treści danych i sposobu ich wykorzystania. Z uwagi na postanowienie art. 31 ust. l ustawy, kwestia wyboru treści i sposobu korzystania powinna być przedmiotem stosownych postanowień umowy zawartej na piśmie. Z obowiązkiem pisemnej umowy pomiędzy administratorem danych a podmiotem przetwarzającym dane na zlecenie wiąże się kontrowersyjne zagadnienie powierzania przez processorów dalszego przetwarzania danych innym podmiotom. Chodzi tu np. o sytuacje, gdy agencja reklamowa działając w stosunku do swojego klienta jako podmiot przetwarzający dane na zlecenie, chce korzystać z usług zewnętrznych podwykonawców, z czym wiąże się przekazanie kopii bazy danych osobowych. Tym co najistotniejsze z punktu widzenia ustawy to okoliczność, że podwykonawcy prawie zawsze są dysponentami baz danych, dokonując czynności które niewątpliwie mieszczą się w pojęciu „przetwarzania danych osobowych” (art. 7 pkt 2). W związku z tym powstaje pytanie, czy należy ich traktować jako administratorów danych osobowych, czy też jako podmioty przetwarzające dane na zlecenie administratorów. Odpowiedź na to pytanie ma kluczowe znaczenie dla całej grupy firm, a to z racji szeregu obowiązków nałożonych przez ustawę na administratorów, które czyniłyby działalność podwykonawców praktycznie niewykonalną (np. obowiązek informacyjny z art. 25).

Rozwiązanie powyższego problemu sprowadza się do ustalenia, kiedy – mimo faktycznego dysponowania danymi przez podwykonawcę – administrator „decyduje o celach i środkach ich przetwarzania” (art. 7 pkt 4). W Niemczech i w Wielkiej Brytanii powstała w związku z tym określona – zatwierdzona przez Generalnych Inspektorów Danych Osobowych – praktyka zgodnie z którą uważa się, że przy spełnieniu pewnych warunków podwykonawca jest processorem w rozumieniu art. 2e dyrektywy (art. 31 polskiej ustawy). Warunkiem tym jest przede wszystkim zawarcie umowy pisemnej pomiędzy administratorem danych osobowych a podmiotem przetwarzającym dane na zlecenie. W umowie takiej poza m.in. kwestiami dotyczącymi wyboru treści przetwarzanych danych i sposobu korzystania z nich, powinno się znaleźć również sformułowanie, zgodnie z którym przed każdym udostępnieniem danych innemu podmiotowi (podwykonawcy), podmiot przetwarzający dane na zlecenie musi uzyskać wcześniejszą zgodę administratora danych a podwykonawca powinien zobowiązać się do przetwarzania danych wyłącznie w celu i zakresie ustalonym przez administratora danych. Przyjmuje się, że w takiej sytuacji spełniona jest w stosunku do tego ostatniego przesłanka „decydowania o celach i środkach przetwarzania danych”.

8. Podmioty przetwarzające dane osobowe w Internecie

Dane osobowe są przetwarzane w sieciach  komputerowych przez następujące kategorie podmiotów:

1. a) dysponent sieci telekomunikacyjnej
2. b) dostawca dostępu do sieci (ang. access provider)
3. c) dostawca usług w sieci (ang. service provider)
4. d) dostawca zawartości sieci (ang. content provider)

Często ten sam podmiot występuje w dwóch rolach – np. jako dysponent sieci telekomunikacyjnej oraz access provider. Organizacje telekomunikacyjne lub dostawcy sieci nie są administratorami danych, jeśli chodzi o informacje osobowe (kategorie danych osobowych) przekazywane w sieci przez ich klientów. Wynika to przede wszystkim z faktu, że te podmioty nie decydują o celach i środkach przetwarzania danych (tak też przypis 47 do preambuły Dyrektywy UE nr 95/46). Z tego samego powodu, podmioty te będą natomiast administratorami, jeśli chodzi o np. o dane zebrane w związku z wystawieniem rachunku za świadczone usługi. W przypadku service providera jest on administratorem w stosunku do danych osobowych przez niego dostarczanych. To samo dotyczy danych przetwarzanych w związku z świadczeniem danych usług (np. dane niezbędne do wystawienia faktury). W przypadku przesyłania danych osobowych pocztą elektroniczną, administratorem danych osobowych jest podmiot, który wysłał e-mail. W przypadku, gdy e-mail jest używany w związku z listą dyskusyjną, administratorem jest podmiot, który „organizuje” daną listę.

9. Zgoda na przesyłanie ofert pocztą elektroniczną (opt-in)

Bardzo istotną zmianę co do możliwości posługiwania się pocztą elektroniczną w działalności marketingowej wprowadza art. 6.3 ustawy o ochronie niektórych praw konsumentów, zgodnie z którym posłużenie się pocztą elektroniczną w celu złożenia propozycji zawarcia umowy, może nastąpić wyłącznie za uprzednią zgodą konsumenta.

Oznacza to, że inaczej niż w przypadku przetwarzania danych osobowych na cele marketingowe przy użyciu innych form porozumiewania się na odległość, gdzie wprowadzono prawo sprzeciwu (opt-out), przy poczcie elektronicznej przyjęto rygorystyczny wymóg zgody (opt-in).

7. Obrót danymi osobowymi

Zgodnie z jednoznacznymi sformułowaniami zawartymi w preambule do dyrektywy (np. pkt 30 i 39), jak i w samej dyrektywie (art. 1.2) – obrót danymi osobowymi jest – generalnie – dozwolony. Wiąże się to z jednym z podstawowych celów dyrektywy, jak i polskiej ustawy, zgodnie z którym nacisk położony jest nie na wprowadzenie zakazu udostępniania danych (co byłoby np. sprzeczne z art. 7 ust. l Układu Europejskiego), ale na wprowadzeniu kontroli obrotu danymi („personal data law is a law for monitoring the lite cycle of personal data”) m.in. poprzez przyznanie podmiotowi którego dane dotyczą, szeregu uprawnień jak np. prawa do informacji, gdzie znajdują się jego dane, prawa do wyrażenia sprzeciwu na ich udostępnianie osobom trzecim.

Kwestia dopuszczalności udostępniania danych powinna być rozpatrywana przede wszystkim pod kątem zakazu przetwarzania danych w celu innym niż cel dla którego dane zostały. Ten wymóg w polskiej ustawie został ustalony w art. 26 ust. 2. Wykładnia tego przepisu budzi jednak zasadnicze wątpliwości. Po pierwsze – przy obecnym sformułowaniu tego artykułu – można bronić stanowiska, że zmiana celu przetwarzania jest – wbrew jednoznacznej treści art. 6.1 b) dyrektywy – dopuszczalna. Wynika to z treści art. 26 ust. 2 punkt 2, zgodnie z którym – pod warunkiem zachowania wymogów z art. 23 (wskazanie przesłanki dopuszczalności przetwarzania danych osobowych) oraz art. 25 (dochowanie obowiązku informacyjnego) – administrator danych może przetwarzać je w innym celu niż cel dla którego zostały zgromadzone. Moim zdaniem jednak z uwagi na treść w/w artykułu dyrektywy, należy przyjąć, że również i w polskiej ustawie niedopuszczalne jest przetwarzanie danych w celach niezgodnych z celami dla których zostały one zgromadzone. Za interpretacją taką przemawia fakt, że jest to jedna fundamentalnych zasad dyrektyw, do której to przecież wprost nawiązywali twórcy polskiej ustawy. Zarówno w dyrektywie, jak i w ustawach poszczególnych krajach Unii (czy w ustawie polskiej), brak jest jakiejkolwiek wskazówki co do sposobu, w jaki należy rozumieć zwrot „zmiana celu przetwarzania danych”. Wykładnia tego sformułowania ma podstawowe znaczenie dla przyjęcia dopuszczalności obrotu danymi osobowymi. Z porównania przepisów art. 6.1 b) dyrektywy oraz art. 26.2 ustawy należy przede wszystkim podkreślić, że w dyrektywie mowa jest o „celach” (purposes), a nie o jednym celu (jak to zostało ujęte w polskiej ustawie). Ponadto w dyrektywie – mowa jest o zakazie dalszego przetwarzania danych w sposób niezgodny z celami dla których dane zostały zebrane („…not further processed in a way incompatible with those purposes…”), gdy w ustawie polskiej przepis stanowi o „innym celu”.

W doktrynie krajów UE przyjmuje się w związku z tym, że przykładem takiej, niedopuszczalnej „niezgodności” (incompatibility) jest np. sytuacja, gdy dane zebrane w celach statystycznych (badań rynku) zostaną następnie użyte w celach marketingowych np. poprzez rozesłanie spersonalizowanego mailingu z ofertą handlową. Dopuszczalna jest natomiast np. sytuacja, gdy dane zebrane w celu promocji samochodów określonej marki, zostaną następnie wykorzystane przez innego administratora w celu promocji innego towaru np. sprzętu AGD. W tym przypadku o zgodności celów, dla których dane zostały zebrane i dla których mają zostać przetwarzane przesądza fakt, że w obydwóch sytuacjach chodzi o cel marketingowy pojmowany jako promocja towarów lub usług.