w tym administratora danych
Transkrypt
w tym administratora danych
Zasady określania podmiotu odpowiedzialnego (w tym administratora danych) oraz zakresu jego obowiązków w zakresie przetwarzania danych osobowych użytkowników serwisów internetowych. W pierwszej kolejności należy wskazać interesujące z punktu widzenia działania serwisów internetowych definicje pojęć z zakresu ochrony danych osobowych. W omawianym wypadku jeżeli chodzi o ochronę danych osobowych, to pierwszeństwo stosowania w odniesieniu do przedsiębiorstw prowadzących serwisy internetowe powinna mieć ustawa o świadczeniu usług drogą elektroniczną (zwana dalej ustawą) z racji definicji zawartej w przepisie art. 2 pkt. 4 ustawy tj: 4) świadczenie usługi drogą elektroniczną - wykonanie usługi świadczonej bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej w rozumieniu ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, Należy przy tym wskazać, iż usługodawcą w rozumieniu przepisów ustawy jest w myśl powyższego przepisu: 6) usługodawca - osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, która prowadząc, chociażby ubocznie, działalność zarobkową lub zawodową świadczy usługi drogą elektroniczną. Ponadto z racji braku definicji tych pojęć w ustawie o świadczeniu usług drogą elektroniczną poprzez odesłanie z art. 16 ustawy, należy wskazać, że zastosowanie znajdą do usługodawców definicje z ustawy o ochronie danych osobowych wskazujące, że poprzez: zbiór danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, przetwarzanie danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Wyrok NSA (N) z 2009-11-18 I OSK 667/09 Legalis: Pojęcie "dane osobowe" na gruncie prawa polskiego obejmuje wszelkie informacje dotyczące osoby fizycznej, jeśli możliwe jest określenie jej tożsamości i zidentyfikowanie. Dane osobowe to zespół wiadomości (komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala na jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfikacji (imię, Biuro Toruń: ul. Włocławska 167, 87-100 Toruń, tel. + 48 56 622 09 77, fax : + 48 56 657 77 76, www.kancelaria-jurkiewicz.pl www.kancelaria-jurkiewicz.biuraprawne.com nazwisko, miejsce zamieszkania), jednakże do tego się nie ogranicza, bowiem mieszczą się w nim również dalsze informacje, wzmacniające stopień identyfikacji. Do informacji takich należą zdjęcia osoby fizycznej, chociażby wykonane w przeszłości, umożliwiające jej identyfikację. W sytuacji gdy zdjęcie takie jest umieszczone wraz z imieniem i nazwiskiem osoby na nim występującej w miejscu dostępnym dla nieograniczonej liczby podmiotów, należy uznać, iż stanowi ono dane osobowe podlegające ochronie na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.). Wskazać należy zatem co następuje: 1. Podkreślenia w kontekście tego, kto w ramach usług świadczonych przez serwisy interntowe, jest administratorem danych wymaga fakt, że w rozumieniu powyższych przepisów usługodawcą może być zarówno podmiot, który decyduje o treści udostępnionych usług (content provider) jak i podmiot, który jedynie pośredniczy w dostępie do treści takich usług (intermediary service provider). Zatem przenosząc tę definicję na grunt przepisów o ochronie danych osobowych trzeba wskazać, iż usługodawca decydujący o celach i środkach przetwarzania danych osobowych (content provider) będzie administratorem danych w rozumieniu przepisów art. 7 pkt. 4 ustawy o ochronie danych osobowych, jednak usługodawcy, który jedynie pośredniczy w świadczeniu usług (intermediary service provider) nie sposób uznać za administratora danych. Do kręgu dostawców pośredniczących w dostępie do treści zalicza się trzy grupy usługodawców, tj.: dostawców sieci (network providers), dostawców dostępu do sieci (access providers) oraz dostawców usług (service providers). Zgodnie z przepisami zwartymi w rozdziale 3 ustawy usługodawcy Ci w okolicznościach określonych w art. 12 – 14 nie ponoszą odpowiedzialności za przekazywanie, przechowywanie i udostępnianie danych (w tym także osobowych) o celu i zakresie przetwarzania których decydują inne podmioty - administratorzy tych danych. Warto zwrócić uwagę, że te w/w zasady dotyczą odpowiedzialności, nie tylko dostawców usługi np. hostingu, ale wszystkich podmiotów pośredniczących w dostępie do treści i zostały uregulowane w dyrektywie o handlu elektronicznym oraz w ustawie o świadczeniu usług drogą elektroniczną według modelu horyzontalnego. Oznacza to, że Biuro Toruń: ul. Włocławska 167, 87-100 Toruń, tel. + 48 56 622 09 77, fax : + 48 56 657 77 76, www.kancelaria-jurkiewicz.pl www.kancelaria-jurkiewicz.biuraprawne.com wyłączenie odpowiedzialności dotyczy zarówno odpowiedzialności cywilnej, karnej, jak i administracyjnej. Gdyby więc, przepisy określonego prawa materialnego stanowiły o odpowiedzialności usługodawcy, to jest on od niej zwolniony na podstawie przepisów dotyczących świadczonej przez niego wymienionych przez dany przepis. Patrz: usługi, oczywiście przy spełnieniu warunków wyrok NSA: II SA/Wa 350/08, I OSK 1115/08 „Pojęcia "administrujący zbiorem", "administrujący danymi" i "administrator danych" nie są tożsame. Racjonalny ustawodawca nie używa bowiem w tym samym akcie prawnym różnych określeń dla wskazania tego samego podmiotu. Analizując przedstawione zwroty, należy przyjąć, że na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych, natomiast administrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych lub danymi w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy. Mimo że co do zasady administrującym zbiorem i administratorem danych może być ten sam podmiot, to jednak w niniejszej sprawie sytuacja taka nie zachodzi. Minister Rozwoju Regionalnego jest administrującym zbiorem, zaś PARP jest administratorem danych. Jeżeli więc podmiot udostępniający system (dostawca pośredniczący) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on między innymi postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12–14 tej ustawy. Warto tu wskazać, na przepis art. 13 ustawy, który brzmi: Art. 13. [Usuwanie, modyfikacje danych] 1. Nie ponosi odpowiedzialności za przechowywane dane ten, kto transmitując dane oraz zapewniając automatyczne i krótkotrwałe pośrednie przechowywanie tych danych w celu przyspieszenia ponownego dostępu do nich na żądanie innego podmiotu: 1) nie modyfikuje danych, 2) posługuje się uznanymi i stosowanymi zwykle w tego rodzaju działalności technikami informatycznymi określającymi parametry techniczne dostępu do danych i ich aktualizowania oraz 3) nie zakłóca posługiwania się technikami informatycznymi uznanymi i stosowanymi zwykle w tego rodzaju działalności w zakresie zbierania informacji o korzystaniu ze zgromadzonych danych. 2. Nie ponosi odpowiedzialności za przechowywane dane ten, kto przy zachowaniu warunków, o których mowa w ust. 1, niezwłocznie usunie dane albo uniemożliwi dostęp do przechowywanych danych, gdy uzyska wiadomość, że dane zostały usunięte z początkowego źródła transmisji lub Biuro Toruń: ul. Włocławska 167, 87-100 Toruń, tel. + 48 56 622 09 77, fax : + 48 56 657 77 76, www.kancelaria-jurkiewicz.pl www.kancelaria-jurkiewicz.biuraprawne.com dostęp do nich został uniemożliwiony, albo gdy sąd lub inny właściwy organ nakazał usunięcie danych lub uniemożliwienie do nich dostępu. Warto też zwrócić uwagę na wyrok: wyrok AP Wrocław z 2010-01-15 I ACa 1202/09 Orzecznictwo Sądu Apelacyjnego we Wrocławiu 2010/2/167 Nie można się zgodzić z oceną, że standard zachowania, profesjonalizm, wymaga by administrator na bieżąco filtrował i usuwał wypowiedzi naruszające prawo lub mogące naruszać prawo w obiektywnym przekonaniu, bez uprzedniego o tym fakcie zawiadomienia. Stawianie pozwanemu takich wymogów byłoby sprzeczne z przepisami art. 14 i 15 w zw. z art. 12 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Sąd Apelacyjny stoi na stanowisku, że regulamin portalu nasza-klasa.pl może wiązać wyłącznie członków zarejestrowanych na tym portalu. To oni, rejestrując się podpisują oświadczenie, że zapoznali się z treścią regulaminu i zobowiązują się stosować do jego postanowień. Bezspornie powód nigdy członkiem portalu nie był, a więc brak podstaw, aby regulamin miał do niego zastosowanie. Skoro tak, każda forma zawiadomienia pozwanego przez powoda o naruszeniu jego dóbr powinna być uznana za dopuszczalną. A w uzasadnieniu tego wyroku: Niewątpliwie pozwany jest usługodawcą, który: 1) nie jest inicjatorem przekazu danych; 2) nie wybiera odbiorcy przekazu danych; 3) nie wybiera oraz nie modyfikuje informacji zawartych w przekazie, a zatem nie ponosi odpowiedzialności za treść tych danych. Bezspornie portal nasza-klasa.pl jest portalem niemoderowanym, a zatem obowiązek filtrowania i bieżącego śledzenia pojawiających się tam treści nie obciąża pozwanego, niezależnie od tego, czy byłby wykonalny albo jak bardzo utrudniony, bowiem organizacja należałaby wówczas do pozwanego, a jej brak tylko jego by obciążał. Jednakże sam fakt, że dany podmiot nie zostanie uznany za administratora danych i nie zostaną mu powierzone czynności przetwarzania danych osobowych (a zatem będzie podlegał ewentualnym włączeniom odpowiedzialności) nie zwalnia z obowiązku podjęcia działań określonych w ustawie jakie nakłada się na usługodawców w zakresie ochrony danych osobowych tj. tych obowiązków jakie uregulowane są w przepisach rozdziału 4 ustawy. Art. 16. [Ochrona danych] 1. Do przetwarzania danych osobowych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926), w związku ze świadczeniem usług drogą elektroniczną, stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej. 2. Dane osobowe podlegają ochronie przewidzianej w niniejszym rozdziale w zakresie ich przetwarzania niezależnie od tego, czy jest ono dokonywane w zbiorach danych. Biuro Toruń: ul. Włocławska 167, 87-100 Toruń, tel. + 48 56 622 09 77, fax : + 48 56 657 77 76, www.kancelaria-jurkiewicz.pl www.kancelaria-jurkiewicz.biuraprawne.com Art. 17. [Przetwarzanie danych osobowych] Dane osobowe usługobiorcy mogą być przetwarzane przez usługodawcę w celu i zakresie określonym w niniejszej ustawie. Art. 18. [Dane niezbędne do świadczenia usług] 1. Usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi: 1) nazwisko i imiona usługobiorcy, 2) numer ewidencyjny PESEL lub - gdy ten numer nie został nadany - numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość, 3) adres zameldowania na pobyt stały, 4) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3, 5) dane służące do weryfikacji podpisu elektronicznego usługobiorcy, 6) adresy elektroniczne usługobiorcy. 2. W celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą, usługodawca może przetwarzać inne dane niezbędne ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia. 3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną zgodnie z art. 22 ust. 1. 4. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów określonych w art. 19 ust. 2 pkt 2, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną. 5. Usługodawca może przetwarzać następujące dane charakteryzujące sposób korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną (dane eksploatacyjne): 1) oznaczenia identyfikujące usługobiorcę nadawane na podstawie danych, o których mowa w ust. 1, 2) oznaczenia identyfikujące zakończenie sieci teleinformatyczny, z którego korzystał usługobiorca, telekomunikacyjnej lub system 3) informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną, 4) informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną. 6. Usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań. Art. 19. [Zakaz przetwarzania danych] 1. Usługodawca nie może przetwarzać danych osobowych usługobiorcy po zakończeniu korzystania z usługi świadczonej drogą elektroniczną, z zastrzeżeniem ust. 2. Biuro Toruń: ul. Włocławska 167, 87-100 Toruń, tel. + 48 56 622 09 77, fax : + 48 56 657 77 76, www.kancelaria-jurkiewicz.pl www.kancelaria-jurkiewicz.biuraprawne.com 2. Po zakończeniu korzystania z usługi świadczonej drogą elektroniczną usługodawca, na zasadach określonych w ust. 3-5, może przetwarzać tylko te spośród danych określonych w art. 18, które są: 1) niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi, 2) niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, za zgodą usługobiorcy, 3) niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi, o którym mowa w art. 21 ust. 1, 4) dopuszczone do przetwarzania na podstawie odrębnych ustaw lub umowy. 3. Rozliczenie usługi świadczonej drogą elektroniczną przedstawione usługobiorcy nie może ujawniać rodzaju, czasu trwania, częstotliwości i innych parametrów technicznych poszczególnych usług, z których skorzystał usługobiorca, chyba że zażądał on szczegółowych informacji w tym zakresie. 4. Dla celów, o których mowa w ust. 2 pkt 2, dopuszcza się jedynie zestawianie danych wymienionych w art. 18 ust. 4 i 5 dotyczących korzystania przez usługobiorcę z różnych usług świadczonych drogą elektroniczną, pod warunkiem usunięcia wszelkich oznaczeń identyfikujących usługobiorcę lub zakończenie sieci telekomunikacyjnej albo system teleinformatyczny, z którego korzystał (anonimizacja danych), chyba że usługobiorca wyraził uprzednio zgodę na nieusuwanie tych oznaczeń. 5. Usługodawca nie może zestawiać danych osobowych usługobiorcy z przybranym przez niego pseudonimem. Art. 20. [Udostępnianie informacji] 1. Usługodawca, który przetwarza dane osobowe usługobiorcy, jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o: 1) możliwości korzystania z usługi świadczonej drogą elektroniczną anonimowo lub z wykorzystaniem pseudonimu, o ile są spełnione warunki określone w art. 22 ust. 2, 2) udostępnianych przez usługodawcę środkach technicznych zapobiegających pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione, danych osobowych przesyłanych drogą elektroniczną, 3) podmiocie, któremu powierza przetwarzanie danych, ich zakresie i zamierzonym terminie przekazania, jeżeli usługodawca zawarł z tym podmiotem umowę o powierzenie do przetwarzania danych, o których mowa w art. 18 ust. 1, 2, 4 i 5. 2. Informacje, o których mowa w ust. 1, powinny być dla usługobiorcy stale i łatwo dostępne za pomocą systemu teleinformatycznego, którym się posługuje. Art. 21. [Bezprawne działania usługobiorcy] Biuro Toruń: ul. Włocławska 167, 87-100 Toruń, tel. + 48 56 622 09 77, fax : + 48 56 657 77 76, www.kancelaria-jurkiewicz.pl www.kancelaria-jurkiewicz.biuraprawne.com 1. W przypadku uzyskania przez usługodawcę wiadomości o korzystaniu przez usługobiorcę z usługi świadczonej drogą elektroniczną niezgodnie z regulaminem lub z obowiązującymi przepisami (niedozwolone korzystanie), usługodawca może przetwarzać dane osobowe usługobiorcy w zakresie niezbędnym do ustalenia odpowiedzialności usługobiorcy, pod warunkiem że utrwali dla celów dowodowych fakt uzyskania oraz treść tych wiadomości. 2. Usługodawca może powiadomić usługobiorcę o jego nieuprawnionych działaniach z żądaniem ich niezwłocznego zaprzestania, a także o skorzystaniu z uprawnienia, o którym mowa w ust. 1. Art. 22. [Odmowa świadczenia usługi] 1. Odmowa świadczenia usługi drogą elektroniczną z powodu nieudostępnienia przez usługobiorcę danych, o których mowa w art. 18 ust. 1 i 2, jest dopuszczalna tylko wtedy, gdy przetwarzanie tych danych jest niezbędne ze względu na sposób funkcjonowania systemu teleinformatycznego zapewniającego świadczenie usługi drogą elektroniczną lub właściwość usługi albo wynika z odrębnych ustaw. 2. Usługodawca umożliwia usługobiorcy korzystanie z usługi lub uiszczanie opłat za nią, jeżeli usługa świadczona drogą elektroniczną jest odpłatna, w sposób anonimowy albo przy użyciu pseudonimu, o ile jest to technicznie możliwe oraz zwyczajowo przyjęte. Ustawa (o świadczeniu usług drogą elektroniczną) przyznaje ochronę danym osobowym bez względu na to czy przetwarzanie danych dokonywanie jest w zbiorze. Taka konstrukcja prawna odpowiada ogólnym założeniom dyrektywy 95/46/WE, zgodnie z którymi ochrona danych osobowych powinna obejmować przetwarzanie danych, które dokonywane jest w sposób zautomatyzowany, albo przetwarzanie danych w zbiorach/". Zasadę tę uwzględnia także ustawie o ochronie danych osobowych, zapewnia ochronę danych osobowych "w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych". Zatem do stosowania ustawy o świadczeniu usług drogą ustawy o ochronie danych osobowych w elektroniczną (podobnie jak do stosowania systemach informatycznych) nie jest konieczne istnienie zbioru danych osobowych, a więc spełnienie przesłanek, o których mowa w art. 7 pkt 1 ustawy o ochronie danych osobowych. Niemniej jednak jeżeli dane w związku ze świadczeniem usług drogą elektroniczną przetwarzane są w zbiorze, wówczas zastosowanie mają również ogólne przepisy ustawy o ochronie danych osobowych odnoszące się do zbiorów (np. przewidujące obowiązek zgłoszenia zbioru do rejestracji). Monika Jurkiewicz, radca prawny Kancelaria Prawna Monika Jurkiewicz Biuro Toruń: ul. Włocławska 167, 87-100 Toruń, tel. + 48 56 622 09 77, fax : + 48 56 657 77 76, www.kancelaria-jurkiewicz.pl www.kancelaria-jurkiewicz.biuraprawne.com