w tym administratora danych

Zasady określania podmiotu odpowiedzialnego (w tym administratora danych) oraz
zakresu jego obowiązków w zakresie przetwarzania danych osobowych użytkowników
serwisów internetowych.
W pierwszej kolejności należy wskazać interesujące z punktu widzenia działania serwisów
internetowych definicje pojęć z zakresu ochrony danych osobowych.
W omawianym wypadku jeżeli chodzi o ochronę danych osobowych, to pierwszeństwo stosowania
w odniesieniu do przedsiębiorstw prowadzących serwisy internetowe powinna mieć ustawa o
świadczeniu usług drogą elektroniczną (zwana dalej ustawą) z racji definicji zawartej w przepisie
art. 2 pkt. 4 ustawy tj:
4) świadczenie usługi drogą elektroniczną - wykonanie usługi świadczonej bez jednoczesnej
obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy,
przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z
kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub
transmitowana za pomocą sieci telekomunikacyjnej w rozumieniu ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne,
Należy przy tym wskazać, iż usługodawcą w rozumieniu przepisów ustawy jest w myśl
powyższego przepisu:
6) usługodawca - osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą
osobowości prawnej, która prowadząc, chociażby ubocznie, działalność zarobkową lub zawodową
świadczy usługi drogą elektroniczną.
Ponadto z racji braku definicji tych pojęć w ustawie o świadczeniu usług drogą elektroniczną
poprzez odesłanie z art. 16 ustawy, należy wskazać, że zastosowanie znajdą do usługodawców
definicje z ustawy o ochronie danych osobowych wskazujące, że poprzez:
zbiór danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze
osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest
rozproszony lub podzielony funkcjonalnie,
przetwarzanie danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych
osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Wyrok NSA (N) z 2009-11-18 I OSK 667/09 Legalis:
Pojęcie "dane osobowe" na gruncie prawa polskiego obejmuje wszelkie informacje dotyczące
osoby fizycznej, jeśli możliwe jest określenie jej tożsamości i zidentyfikowanie. Dane osobowe to
zespół wiadomości (komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala na
jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfikacji (imię,
Biuro Toruń:
ul. Włocławska 167, 87-100 Toruń,
tel. + 48 56 622 09 77, fax : + 48 56 657 77 76,
www.kancelaria-jurkiewicz.pl
www.kancelaria-jurkiewicz.biuraprawne.com
nazwisko, miejsce zamieszkania), jednakże do tego się nie ogranicza, bowiem mieszczą się w nim
również dalsze informacje, wzmacniające stopień identyfikacji. Do informacji takich należą zdjęcia
osoby fizycznej, chociażby wykonane w przeszłości, umożliwiające jej identyfikację. W sytuacji
gdy zdjęcie takie jest umieszczone wraz z imieniem i nazwiskiem osoby na nim występującej w
miejscu dostępnym dla nieograniczonej liczby podmiotów, należy uznać, iż stanowi ono dane
osobowe podlegające ochronie na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.).
Wskazać należy zatem co następuje:
1. Podkreślenia w kontekście tego, kto w ramach usług świadczonych przez serwisy
interntowe, jest administratorem danych wymaga fakt, że w rozumieniu powyższych
przepisów
usługodawcą
może
być
zarówno
podmiot,
który
decyduje
o
treści
udostępnionych usług (content provider) jak i podmiot, który jedynie pośredniczy w
dostępie do treści takich usług (intermediary service provider). Zatem przenosząc tę
definicję
na
grunt
przepisów
o
ochronie danych
osobowych
trzeba
wskazać,
iż
usługodawca decydujący o celach i środkach przetwarzania danych osobowych (content
provider) będzie administratorem danych w rozumieniu przepisów art. 7 pkt. 4 ustawy o
ochronie danych osobowych, jednak usługodawcy, który jedynie pośredniczy w
świadczeniu
usług
(intermediary
service
provider)
nie
sposób
uznać
za
administratora danych.
Do kręgu dostawców pośredniczących w dostępie do treści zalicza się trzy grupy
usługodawców, tj.:

dostawców sieci (network providers),

dostawców dostępu do sieci (access providers) oraz

dostawców usług (service providers).
Zgodnie
z
przepisami
zwartymi
w
rozdziale
3
ustawy
usługodawcy
Ci
w
okolicznościach określonych w art. 12 – 14 nie ponoszą odpowiedzialności za
przekazywanie, przechowywanie i udostępnianie danych (w tym także osobowych) o
celu i zakresie przetwarzania których decydują inne podmioty - administratorzy tych
danych. Warto zwrócić uwagę, że te w/w zasady dotyczą odpowiedzialności, nie tylko
dostawców usługi np.
hostingu, ale wszystkich podmiotów pośredniczących w dostępie do
treści i zostały uregulowane w dyrektywie o handlu elektronicznym oraz w ustawie o
świadczeniu usług drogą elektroniczną według modelu horyzontalnego. Oznacza to, że
Biuro Toruń:
ul. Włocławska 167, 87-100 Toruń,
tel. + 48 56 622 09 77, fax : + 48 56 657 77 76,
www.kancelaria-jurkiewicz.pl
www.kancelaria-jurkiewicz.biuraprawne.com
wyłączenie odpowiedzialności dotyczy zarówno odpowiedzialności cywilnej, karnej, jak i
administracyjnej.
Gdyby
więc,
przepisy
określonego
prawa
materialnego
stanowiły
o
odpowiedzialności usługodawcy, to jest on od niej zwolniony na podstawie przepisów
dotyczących
świadczonej
przez
niego
wymienionych przez dany przepis. Patrz:
usługi,
oczywiście
przy
spełnieniu
warunków
wyrok NSA: II SA/Wa 350/08, I OSK 1115/08
„Pojęcia "administrujący zbiorem", "administrujący danymi" i "administrator danych" nie są
tożsame. Racjonalny ustawodawca nie używa bowiem w tym samym akcie prawnym różnych
określeń dla wskazania tego samego podmiotu. Analizując przedstawione zwroty, należy
przyjąć, że na gruncie ustawy o ochronie danych osobowych administratorem danych
osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania danych,
natomiast administrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych lub
danymi w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31
tej ustawy. Mimo że co do zasady administrującym zbiorem i administratorem danych może być
ten sam podmiot, to jednak w niniejszej sprawie sytuacja taka nie zachodzi. Minister Rozwoju
Regionalnego jest administrującym zbiorem, zaś PARP jest administratorem danych.
Jeżeli więc podmiot udostępniający system (dostawca pośredniczący) nie posiada wiedzy co do
rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31
ustawy, to podlega on między innymi postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r.
o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest
ograniczona zgodnie z art. 12–14 tej ustawy. Warto tu wskazać, na przepis art. 13 ustawy,
który brzmi:
Art. 13. [Usuwanie, modyfikacje danych]
1. Nie ponosi odpowiedzialności za przechowywane dane ten, kto transmitując dane oraz
zapewniając automatyczne i krótkotrwałe pośrednie przechowywanie tych danych w
celu przyspieszenia ponownego dostępu do nich na żądanie innego podmiotu:
1) nie modyfikuje danych,
2) posługuje się uznanymi i stosowanymi zwykle w tego rodzaju działalności
technikami informatycznymi określającymi parametry techniczne dostępu do
danych i ich aktualizowania oraz
3)
nie zakłóca posługiwania się technikami informatycznymi uznanymi i
stosowanymi zwykle w tego rodzaju działalności w zakresie zbierania informacji
o korzystaniu ze zgromadzonych danych.
2. Nie ponosi odpowiedzialności za przechowywane dane ten, kto przy zachowaniu warunków, o
których mowa w ust. 1, niezwłocznie usunie dane albo uniemożliwi dostęp do przechowywanych
danych, gdy uzyska wiadomość, że dane zostały usunięte z początkowego źródła transmisji lub
Biuro Toruń:
ul. Włocławska 167, 87-100 Toruń,
tel. + 48 56 622 09 77, fax : + 48 56 657 77 76,
www.kancelaria-jurkiewicz.pl
www.kancelaria-jurkiewicz.biuraprawne.com
dostęp do nich został uniemożliwiony, albo gdy sąd lub inny właściwy organ nakazał usunięcie
danych lub uniemożliwienie do nich dostępu.
Warto też zwrócić uwagę na wyrok:
wyrok AP Wrocław z 2010-01-15 I ACa 1202/09 Orzecznictwo Sądu Apelacyjnego we
Wrocławiu 2010/2/167
Nie można się zgodzić z oceną, że standard zachowania, profesjonalizm, wymaga by
administrator na bieżąco filtrował i usuwał wypowiedzi naruszające prawo lub mogące naruszać
prawo w obiektywnym przekonaniu, bez uprzedniego o tym fakcie zawiadomienia. Stawianie
pozwanemu takich wymogów byłoby sprzeczne z przepisami art. 14 i 15 w zw. z art. 12 ustawy z
dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.
Sąd Apelacyjny stoi na stanowisku, że regulamin portalu nasza-klasa.pl może wiązać wyłącznie
członków zarejestrowanych na tym portalu. To oni, rejestrując się podpisują oświadczenie, że
zapoznali się z treścią regulaminu i zobowiązują się stosować do jego postanowień. Bezspornie
powód nigdy członkiem portalu nie był, a więc brak podstaw, aby regulamin miał do niego
zastosowanie. Skoro tak, każda forma zawiadomienia pozwanego przez powoda o naruszeniu jego
dóbr powinna być uznana za dopuszczalną.
A w uzasadnieniu tego wyroku:
Niewątpliwie pozwany jest usługodawcą, który:
1) nie jest inicjatorem przekazu danych;
2) nie wybiera odbiorcy przekazu danych;
3) nie wybiera oraz nie modyfikuje informacji zawartych w przekazie,
a zatem nie ponosi odpowiedzialności za treść tych danych. Bezspornie portal nasza-klasa.pl jest
portalem niemoderowanym, a zatem obowiązek filtrowania i bieżącego śledzenia pojawiających
się tam treści nie obciąża pozwanego, niezależnie od tego, czy byłby wykonalny albo jak bardzo
utrudniony, bowiem organizacja należałaby wówczas do pozwanego, a jej brak tylko jego by
obciążał.
Jednakże sam fakt, że dany podmiot nie zostanie uznany za administratora danych i nie zostaną
mu
powierzone
czynności
przetwarzania
danych
osobowych
(a
zatem
będzie
podlegał
ewentualnym włączeniom odpowiedzialności) nie zwalnia z obowiązku podjęcia działań
określonych w ustawie jakie nakłada się na usługodawców w zakresie ochrony danych
osobowych tj. tych obowiązków jakie uregulowane są w przepisach rozdziału 4 ustawy.
Art. 16. [Ochrona danych]
1. Do przetwarzania danych osobowych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o
ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926), w związku ze świadczeniem usług
drogą elektroniczną, stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie
stanowią inaczej.
2. Dane osobowe podlegają ochronie przewidzianej w niniejszym rozdziale w zakresie ich
przetwarzania niezależnie od tego, czy jest ono dokonywane w zbiorach danych.
Biuro Toruń:
ul. Włocławska 167, 87-100 Toruń,
tel. + 48 56 622 09 77, fax : + 48 56 657 77 76,
www.kancelaria-jurkiewicz.pl
www.kancelaria-jurkiewicz.biuraprawne.com
Art. 17. [Przetwarzanie danych osobowych]
Dane osobowe usługobiorcy mogą być przetwarzane przez usługodawcę w celu i zakresie
określonym w niniejszej ustawie.
Art. 18. [Dane niezbędne do świadczenia usług]
1. Usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne do
nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi:
1) nazwisko i imiona usługobiorcy,
2) numer ewidencyjny PESEL lub - gdy ten numer nie został nadany - numer paszportu,
dowodu osobistego lub innego dokumentu potwierdzającego tożsamość,
3) adres zameldowania na pobyt stały,
4) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3,
5) dane służące do weryfikacji podpisu elektronicznego usługobiorcy,
6) adresy elektroniczne usługobiorcy.
2. W celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą, usługodawca
może przetwarzać inne dane niezbędne ze względu na właściwość świadczonej usługi lub sposób
jej rozliczenia.
3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane,
których podanie jest niezbędne do świadczenia usługi drogą elektroniczną zgodnie z art. 22 ust.
1.
4. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów określonych w art. 19 ust. 2
pkt 2, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą
elektroniczną.
5. Usługodawca może przetwarzać następujące dane charakteryzujące sposób korzystania przez
usługobiorcę z usługi świadczonej drogą elektroniczną (dane eksploatacyjne):
1) oznaczenia identyfikujące usługobiorcę nadawane na podstawie danych, o których
mowa w ust. 1,
2)
oznaczenia identyfikujące zakończenie sieci
teleinformatyczny, z którego korzystał usługobiorca,
telekomunikacyjnej
lub
system
3) informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z
usługi świadczonej drogą elektroniczną,
4) informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną.
6. Usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na
potrzeby prowadzonych przez nie postępowań.
Art. 19. [Zakaz przetwarzania danych]
1. Usługodawca nie może przetwarzać danych osobowych usługobiorcy po zakończeniu
korzystania z usługi świadczonej drogą elektroniczną, z zastrzeżeniem ust. 2.
Biuro Toruń:
ul. Włocławska 167, 87-100 Toruń,
tel. + 48 56 622 09 77, fax : + 48 56 657 77 76,
www.kancelaria-jurkiewicz.pl
www.kancelaria-jurkiewicz.biuraprawne.com
2. Po zakończeniu korzystania z usługi świadczonej drogą elektroniczną usługodawca, na
zasadach określonych w ust. 3-5, może przetwarzać tylko te spośród danych określonych w art.
18, które są:
1) niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za
korzystanie z usługi,
2) niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców
z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług
świadczonych przez usługodawcę, za zgodą usługobiorcy,
3) niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi, o którym
mowa w art. 21 ust. 1,
4) dopuszczone do przetwarzania na podstawie odrębnych ustaw lub umowy.
3. Rozliczenie usługi świadczonej drogą elektroniczną przedstawione usługobiorcy nie może
ujawniać rodzaju, czasu trwania, częstotliwości i innych parametrów technicznych poszczególnych
usług, z których skorzystał usługobiorca, chyba że zażądał on szczegółowych informacji w tym
zakresie.
4. Dla celów, o których mowa w ust. 2 pkt 2, dopuszcza się jedynie zestawianie danych
wymienionych w art. 18 ust. 4 i 5 dotyczących korzystania przez usługobiorcę z różnych usług
świadczonych drogą elektroniczną, pod warunkiem usunięcia wszelkich oznaczeń identyfikujących
usługobiorcę lub zakończenie sieci telekomunikacyjnej albo system teleinformatyczny, z którego
korzystał (anonimizacja danych), chyba że usługobiorca wyraził uprzednio zgodę na nieusuwanie
tych oznaczeń.
5. Usługodawca nie może zestawiać danych osobowych usługobiorcy z przybranym przez niego
pseudonimem.
Art. 20. [Udostępnianie informacji]
1. Usługodawca, który przetwarza dane osobowe usługobiorcy, jest obowiązany zapewnić
usługobiorcy dostęp do aktualnej informacji o:
1) możliwości korzystania z usługi świadczonej drogą elektroniczną anonimowo lub z
wykorzystaniem pseudonimu, o ile są spełnione warunki określone w art. 22 ust. 2,
2)
udostępnianych przez usługodawcę środkach technicznych zapobiegających
pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione, danych osobowych
przesyłanych drogą elektroniczną,
3)
podmiocie, któremu powierza przetwarzanie danych, ich zakresie i zamierzonym
terminie przekazania, jeżeli usługodawca zawarł z tym podmiotem umowę o powierzenie
do przetwarzania danych, o których mowa w art. 18 ust. 1, 2, 4 i 5.
2. Informacje, o których mowa w ust. 1, powinny być dla usługobiorcy stale i łatwo dostępne za
pomocą systemu teleinformatycznego, którym się posługuje.
Art. 21. [Bezprawne działania usługobiorcy]
Biuro Toruń:
ul. Włocławska 167, 87-100 Toruń,
tel. + 48 56 622 09 77, fax : + 48 56 657 77 76,
www.kancelaria-jurkiewicz.pl
www.kancelaria-jurkiewicz.biuraprawne.com
1. W przypadku uzyskania przez usługodawcę wiadomości o korzystaniu przez usługobiorcę z
usługi świadczonej drogą elektroniczną niezgodnie z regulaminem lub z obowiązującymi
przepisami (niedozwolone korzystanie), usługodawca może przetwarzać dane osobowe
usługobiorcy w zakresie niezbędnym do ustalenia odpowiedzialności usługobiorcy, pod warunkiem
że utrwali dla celów dowodowych fakt uzyskania oraz treść tych wiadomości.
2. Usługodawca może powiadomić usługobiorcę o jego nieuprawnionych działaniach z żądaniem
ich niezwłocznego zaprzestania, a także o skorzystaniu z uprawnienia, o którym mowa w ust. 1.
Art. 22. [Odmowa świadczenia usługi]
1. Odmowa świadczenia usługi drogą elektroniczną z powodu nieudostępnienia przez
usługobiorcę danych, o których mowa w art. 18 ust. 1 i 2, jest dopuszczalna tylko wtedy, gdy
przetwarzanie tych danych jest niezbędne ze względu na sposób funkcjonowania systemu
teleinformatycznego zapewniającego świadczenie usługi drogą elektroniczną lub właściwość usługi
albo wynika z odrębnych ustaw.
2. Usługodawca umożliwia usługobiorcy korzystanie z usługi lub uiszczanie opłat za nią, jeżeli
usługa świadczona drogą elektroniczną jest odpłatna, w sposób anonimowy albo przy użyciu
pseudonimu, o ile jest to technicznie możliwe oraz zwyczajowo przyjęte.
Ustawa (o świadczeniu usług drogą elektroniczną) przyznaje ochronę danym osobowym bez
względu na to czy przetwarzanie danych dokonywanie jest w zbiorze. Taka konstrukcja prawna
odpowiada ogólnym założeniom dyrektywy 95/46/WE, zgodnie z którymi ochrona danych
osobowych
powinna
obejmować
przetwarzanie
danych,
które
dokonywane
jest
w
sposób zautomatyzowany, albo przetwarzanie danych w zbiorach/". Zasadę tę uwzględnia także
ustawie o ochronie danych osobowych, zapewnia ochronę danych osobowych "w systemach
informatycznych, także w przypadku przetwarzania danych poza zbiorem danych". Zatem do
stosowania ustawy o świadczeniu usług drogą
ustawy
o
ochronie
danych
osobowych
w
elektroniczną
(podobnie
jak
do
stosowania
systemach informatycznych) nie jest konieczne
istnienie zbioru danych osobowych, a więc spełnienie przesłanek, o których mowa w art. 7 pkt 1
ustawy o ochronie danych osobowych. Niemniej jednak jeżeli dane w związku ze świadczeniem
usług drogą elektroniczną przetwarzane są w zbiorze, wówczas zastosowanie mają również
ogólne przepisy ustawy o ochronie danych osobowych odnoszące się do zbiorów (np.
przewidujące obowiązek zgłoszenia zbioru do rejestracji).
Monika Jurkiewicz, radca prawny
Kancelaria Prawna Monika Jurkiewicz
Biuro Toruń:
ul. Włocławska 167, 87-100 Toruń,
tel. + 48 56 622 09 77, fax : + 48 56 657 77 76,
www.kancelaria-jurkiewicz.pl
www.kancelaria-jurkiewicz.biuraprawne.com