Opublikowane w dniu 26 sty 2014 | 1 komentarz

Kwestie związane z przetwarzaniem danych osobowych reguluje ustawa o ochronie danych osobowych.

Na wstępie warto przywołać nomenklaturę, którą posługuje się ta ustawa, gdyż znaczenie pewnych terminów może być odmienne od tych używanych w języku potocznym. Słowniczek zawarty jest w art. 7:

przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych

administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych

odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby upoważnionej do przetwarzania danych,
c) przedstawiciela, o którym mowa w art. 31a,
d) podmiotu, o którym mowa w art. 31,
e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem

Właściciele stron internetowych często stawiani są przed podstawowym problemem – czy muszą udostępniać innym osobom na ich żądanie posiadane przez siebie dane osobowe użytkowników własnego portalu?

Najczęściej z żądaniem o udzielenie informacji o danych danego użytkownika mamy do czynienia w poniższych sytuacjach:
– ktoś został pomówiony w komentarzu na blogu / poście na forum
– osoba posługuje się znakami towarowymi / nazwami zastrzeżonymi / patentami do których nie posiada praw np. zamieszczanie wpisów w katalogach stron / preclach z anchorami będącymi nazwami zastrzeżonymi (sprawa pewnej usługi związanej z dostawą kwiatów)
– stosowanie nieuczciwych praktyk rynkowych np. depozycjonowanie za pomocą SWL’i
– zamieszczanie plików do których nie posiada się praw

Adres IP jako dane osobowe

W większości przypadków administrator danej strony dysponuje jedynie adresem IP danego użytkownika. Adres IP generalnie może być uznany za dane osobowe. W kwestii tej wypowiedziała się Grupa Robocza ds. Ochrony Danych, powołana przez Parlament Europejski i Radę Europejską:

dostawcy usług internetowych oraz menedżerowie lokalnych sieci mogą, stosując rozsądne środki, zidentyfikować użytkowników internetu, którym przypisali adresy ip ponieważ systematycznie zapisują w plikach daty, czas trwania oraz dynamiczny adres IP (czyli ulegający zmianie po każdym zalogowaniu) przypisany danej osobie. To samo odnosi się do dostawców usług internetowych, którzy prowadzą rejestr (logbook) na serwerze HTTP Nie ma wątpliwości, że w takich przypadkach można mówić o danych osobowych, w rozumieniu art. 2 Dyrektywy

Pogląd ten podziela także Generalny Inspektorat danych Osobowych – link.

Udostępnianie adresu IP

Z ustawy o ochronie danych osobowych został usunięty art. 29 na który często się powoływano, aby uzyskać stosowne dane. W chwili obecnej trwa dyskusja, czy można się powoływać na przepisy art. 23 i 27 niniejszej ustawy w celu uzyskania adresu IP.

Art. 23 u.o.d.o. ust. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Art. 27 u.o.d.o. ust. 2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli:
5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,

W kwestii tej ostatnio wypowiadał się NSA. Niestety spór, który on rozważał dotyczył jeszcze istniejącego art. 29. Niemniej NSA wskazał, że na gruncie obowiązującego prawa zastosowanie powinny mieć powołane powyżej przepisy.

Wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 21 sierpnia 2013 r. sygn. I OSK 1666/12

Z brzmienia art. 18 ust. 6 ustawy z 2002 r. o świadczeniu usług drogą elektroniczną wynika jedynie obowiązek udzielenia informacji o danych organom państwa na potrzeby prowadzonych przez nie postępowań. Nie wynika natomiast zakaz udostępniania tych danych osobom, których prawa zostały naruszone. Zarówno jednak organ nakazujący ujawnienie danych, jak i sąd administracyjny rozpoznający skargę na tego rodzaju decyzję, muszą każdorazowo, przy uwzględnieniu indywidualnych okoliczności danej sprawy dokonać wyważenia przeciwstawnych interesów jakimi są prawo do ochrony danych osobowych i prawo do ochrony czci, godności, dobrego imienia czy też wizerunku firmy.

Wyrok NSA jest bardzo ostrożny i w praktyce płynąca z niego konkluzja jest taka, że każdy przypadek należy rozpatrywać indywidualnie i nie można z góry powiedzieć, czy administrator w każdym przypadku ma obowiązek udzielania informacji o numerze IP osobie, która tego żąda.
Po pierwsze administrator nie ma praktycznie żadnej możliwości zbadania, czy osoba która się zgłasza o udostępnienie danych osobowych jest faktycznie osobą pokrzywdzoną. Po drugie nie ma żadnej pewności w jakim celu osoba ta chce uzyskać konkretne dane – samo jej zapewnienie, że są one potrzebne do sprawy sądowej jest w zasadzie nic nie warte.

Udostępniać czy nie udostępniać?

Moim zdaniem administrator nie powinien nigdy dobrowolnie przekazywać żadnych danych osobowych jakie posiada jeżeli występuje o nie osoba trzecia.
Udostępnianie posiadanych danych jest bowiem karalne. Natomiast odmowa ich udostępnienia karalna nie jest.
Administrator chcąc udostępnić dane powinien przynajmniej poczekać na decyzję GIODO. Wtedy w przypadku jakichkolwiek problemów będzie miał przynajmniej ‘podkładkę’, że działał w zaufaniu do decyzji wydanej przez organ państwowy, a nakazującej mu udzielenia konkretnych danych.

Art. 51 u.o.d.o. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Należy również wskazać, że pokrzywdzony może dochodzić swoich uprawnień zarówno na drodze karnej jak i cywilnej. W związku z tym prokuratura, czy sądy mogą skutecznie wystąpić o udostępnienie konkretnych danych osobowych i wtedy nie będzie już żadnych wątpliwości o obowiązku udzielenia odpowiedzi na żądanie organów państwowych.

Na to również wskazuje przywołany powyżej wyrok NSA, w którym sąd utrzymał w mocy wyrok WSA uchylający decyzję GIODO nakazującą udostępnienie danych osobowych. NSA wskazał, że pokrzywdzony realizuje już swoje uprawnienia na gruncie prawa karnego i odpowiednie służby same wystąpiły do administratora o udzielnie stosownych danych.

Podobnie zdecydował NSA w inne sprawie – postanowienie Naczelnego Sądu Administracyjnego w Warszawie z dnia 15 lipca 2010 r. sygn. I OSK 1079/10:

Ujawnienie danych IP umożliwiających identyfikację konkretnych osób fizycznych w trakcie toczącego się postępowania sądowoadministracyjnego w przedmiocie udostępnienia tych danych, nie zakończonego prawomocnym wyrokiem może stanowić naruszenie zakazu wynikającego z art. 160 p.t.

Podsumowując

Na gruncie obecnej regulacji prawnej istnieje więcej przesłanek wskazujących na to, że administrator nie powinien nigdy dobrowolnie udostępniać danych osobowych osobom trzecim na ich własne życzenie. Konkluzja taka wynika nie tylko z lektury ustawy o ochronie danych osobowych, ale także z ustawy o świadczeniu usług drogą elektroniczną oraz ustawy prawo telekomunikacyjne. Akty prawne te dają możliwość odmowy udostępnienia danych osobowych występującym o to osobom trzecim.
Administrator chcąc ujawnić dane powinien przynajmniej wstrzymać się do czasu, aż osoba trzecia wystąpi do GIODO i zostanie wydana pozytywna dla niej decyzja w tym zakresie.

Ponadto powyższe rozważania dotyczą ujawnienia jedynie adresu IP, czy maila autora, czyli danych które w sposób bezpośredni nie pozwolą na identyfikację danej osoby. Z pewnością należy jeszcze ostrożniej podchodzić do ujawniania pełnych danych osobowych, które administrator danego portalu może posiadać np. wskutek założenia konta premium w SWL i uzupełnienia danych do płatności.

Na marginesie należy wskazać, że jest możliwe pewne zabezpieczenie się przed takimi sytuacjami poprzez odpowiednie sformułowanie regulaminów / polityki prywatności stron, pozwalającej na większą swobodę dysponowania posiadanymi danymi osobowymi przez ich administratora.