Duża część przedsiębiorców oraz podmiotów prawnych, prowadzących biznes w Internecie bądź rozpoczynających przygodę z e-biznesem, nie zdaje sobie sprawy z tego: czym są dane osobowe podlegające ochronie, kiedy zachodzi konieczność zgłaszania zbiorów takowych danych do GIODO oraz jakie obowiązki wynikają z przepisów ustawy o ochronie danych osobowych.
Bardzo często również same aplikacje internetowe, gromadzące bądź przetwarzające dane osobowe, nie są wyposażone w funkcjonalności wymagane przez GIODO bądź nie dostatecznie zabezpieczają przechowywane dane i dostęp do nich.
Poniższy artykuł jest wstępem do cyklu publikacji, które będą pojawiać się na naszym blogu i które związane będą z ochroną danych osobowych oraz GIODO a prowadzeniem e-biznesu.
GIODO - Generalny Inspektor Ochrony Danych Osobowych - jest to organ odpowiedzialny za ochronę danych osobowych, działający na podstawie
ustawy o ochronie danych osobowych z 29 sierpnia 1997.
Do zadań GIODO należy między innymi kontrola zgodności przetwarzania danych
z przepisami ustawy oraz prowadzenie rejestru zbiorów danych. |
 |
Trochę "teorii" - czym są dane osobowe i kiedy podlegają one ochronie?
Każdy człowiek może zostać zidentyfikowany bądź określony za pomocą przeróżnych informacji - zarówno ściśle identyfikujących daną osobę (np.: imię i nazwisko wraz z dokładnym adresem zamieszkania, numery takie jak NIP czy PESEL) jak również za pomocą informacji ogólnych, takich jak na przykład: cechy fizyczne, społeczne, kulturowe, ekonomiczne.
Dana osobowa to nie każda informacja, która określa danego człowieka.
Zazwyczaj aby określić jednoznaczną tożsamość osoby potrzebujemy kilku informacji bądź cech zebranych razem, choć czasami wystarczy jedna informacja (np. numer PESEL) aby kogoś zidentyfikować.
Za daną osobową nie uznaje się pojedynczej informacji o dużym stopniu ogólności, np. informacji o wykształceniu, poglądach politycznych, wysokości wynagrodzenia, bądź na przykład samej nazwy ulicy oraz numeru lokalu, w którym mieszka kilka osób - gdyż za pomocą takiej informacji nie ma możliwości zidentyfikowania konkretnej osoby fizycznej.
Jednak takie informacje mogą stanowić dane osobowe w przypadku, gdy są połączone z innymi danymi pozwalającymi na zidentyfikowanie lub możliwość zidentyfikowania danej osoby fizycznej. Zestawienie pojedynczej, ogólnej informacji (np. o wykształceniu) z informacją jednoznacznie identyfikującą daną osobę (np. imię i nazwisko wraz z nazwą ulicy i numerem lokalu) stanowią dane osobowe podlegające ochronie.
Dane osobowe podlegające ochronie stanowią tylko i wyłącznie dane odnoszące się do osób fizycznych.
Wobec tego, danymi podlegającymi ochronie nie będą informacje dotyczące podmiotów takich jak: osoby prawne, firmy, instytucje, organizacje, stowarzyszenia, i tym podobne. Wedle ustawy dane takie jak: adres siedziby, kapitał zakładowy spółki i tego typu informacje nie stanowią danych osobowych. Również w przypadku działalności gospodarczej prowadzonej przez osobę fizyczną - dane takie jak imię i nazwisko zawarte w nazwie firmy nie stanowią danych osobowych, ponieważ znajdują się one w ewidencji działalności gospodarczej, która jest jawna.
Definicja danych osobowych określona w ustawie jest definicją otwartą, dlatego też każdorazowo należy indywidualnie ocenić czy przetwarzane informacje stanowią już dane osobowe podlegające ochronie.
Wedle ustawowej definicji w pojęciu danych osobowych mieszczą się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Istnieje również szczególny rodzaj danych osobowych (tzw. dane wrażliwe), co do których istnieje generalny zakaz przetwarzania - z wyjątkiem sytuacji, gdy zezwalają na to przepisy prawne.
Do danych wrażliwych należą:
- pochodzenie rasowe bądź etniczne,
- poglądy polityczne,
- przekonania religijne lub filozoficzne,
- przynależność wyznaniowa, partyjna bądź związkowa,
- stan zdrowia, kod genetyczny, nałogi lub życie seksualne,
- skazania, orzeczenia o ukaraniu i mandatach karnych, a także innych orzeczenia wydanych w trybie sądowym i administracyjnym.
Obowiązek ochrony danych osobowych leży po stronie osób bądź innych podmiotów, które przetwarzają dane osobowe.
Przetwarzanie danych osobowych to wszelkie operacje wykonywane na danych osobowych - zwłaszcza w systemach informatycznych. Do takich operacji zaliczamy na przykład: gromadzenie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie oraz usuwanie.
Osobę lub podmiot decydujący o celach i środkach przetwarzania danych osobowych określa się mianem Administratora Danych Osobowych (ADO). Na administratora ustawa nakłada szereg obowiązków związanych z ochroną danych osobowych.
Osobę nadzorującą przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych określa się mianem Administratora Bezpieczeństwa Informacji (ABI). W przypadku niepowołania ABI przez Administratora Danych Osobowych, czynności przypisane Administratorowi Bezpieczeństwa Informacji wykonuje ADO.
Jakie informacje mogą stanowić dane osobowe w serwisie internetowym?
Serwisy internetowe, takie jak: strony www, sklepy, portale społecznościowe bądź tematyczne, fora internetowe gromadzą i przetwarzają różne informacje o użytkownikach - zarówno takie, dzięki którym można jednoznacznie ustalić tożsamość użytkownika, jak i takie za pomocą których możliwe jest ustalenie tożsamości danej osoby.
Na przykład:
- sklep internetowy przetwarza informacje takie jak: imię, nazwisko, adres zamieszkania (np. do realizacji zamówień), e-mail (np. do założenia konta lub działań marketingowych),
- strona www może gromadzić dane takie jak: e-mail (np. do obsługi newslettera), login (np. do sekcji dostępnej dla zalogowanych użytkowników) lub dane osobowe takie jak: imię i nazwisko (np. w formularzu kontaktowym, jeśli zapytania przechowywane są w bazie danych, a nie bezpośrednio wysyłane na skrzynkę e-mail),
- portal internetowy z modułem użytkowników może gromadzić takie dane jak: login, nick (pseudonim), e-mail konieczny do rejestracji konta, IP z którego użytkownik dokonuje logowania do serwisu, niejednokrotnie również dane osobowe pozwalające na jednoznaczne zidentyfikowanie użytkownika (imię i nazwisko wraz z adresem zamieszkania itp.)
Dlaczego takie dane jak adres e-mail mogą być uznane za dane osobowe i wymagają zgłoszenia do GIODO?
- Adres e-mail
Adres poczty elektronicznej może (choć nie musi) zawierać informacje, które pozwalają na zidentyfikowanie danej osoby - na przykład adres w postaci imie@nazwisko.pl czy też imie.nazwisko@firma.pl bądź inne tego typu adresy, zawierające informację będącą daną osobową. Z drugiej strony adres np. uzytkownik@onet.pl - nie stanowi danej osobowej, ponieważ za jego pomocą nie jesteśmy w stanie jednoznacznie wskazać tożsamości użytkownika.
Niemniej prowadząc serwis internetowy nie jesteśmy w stanie określić z jakich adresów e-mail będą korzystać użytkownicy w celu np. rejestracji bądź złożenia zamówienia. Wobec tego przetwarzając nawet same informację o adresach e-mail, należy zgłosić zbiór danych osobowych do GIODO i ponosić obowiązki związane z ochroną danych osobowych.
- Login
Nazwa użytkownika, która używana jest na potrzeby logowania się do serwisu, może być uznana za daną osobową. Zależy to od tego, czy na podstawie loginu można zidentyfikować - bezpośrednio lub pośrednio (w powiązaniu z innymi informacjami) - osobę posługującą się danym loginem. Głównym czynnikiem wpływającym na to, czy login może być uznany za daną osobową jest możliwość identyfikacji określonego użytkownika z wykorzystaniem dodatkowych informacji - np. tych które posiada administrator serwisu (operator serwisu) bądź tych do których mają dostęp inni użytkownicy.
- Nick
Użytkownicy Internetu używają pseudonimów np. na forach internetowych lub w portalach społecznościowych, aby nie wyjawiać swojej tożsamości. Według GIODO nick może być uznany za dane osobowe.
Niezależnie od rodzaju nicku - czy jest on stały czy tymczasowy - system informatyczny lub serwis rejestruje numery IP komputerów, z których dokonywane są działania przez użytkownika. Nazwa (nick) przypisana konkretnemu IP pełni zatem rolę dodatkowej informacji ułatwiającej jego identyfikację. O ile nie wymagałoby to nadmiernych kosztów, czasu lub działań, nick może być uznany za dane osoby możliwej do zidentyfikowania.
- IP
Odpowiedź na pytanie czy numer IP jest daną osobową nie jest jednoznaczna. Jednak w dużej większości przypadków adres IP należy uznać za daną osobową. IP stanowi daną osobową wtedy, gdy jest na stałe lub na dłuższy czas przypisane do konkretnego urządzenia, które jest z kolei przypisane konkretnej osobie (na przykład - użytkownik domowego komputera, pracownik posiadający swoje oddzielne stanowisko w miejscu pracy). Zdarzają się jednak sytuacje, w których nie jest możliwe jednoznaczne przypisanie numeru IP do konkretnej osoby (np. zmienne IP, bądź to samo IP przydzielone na większą liczbę użytkowników). W kwestii adresu IP polecamy lekturę wywiadu udzielonego przez Generalnego Inspektora Ochrony Danych Osobowych dla Gazety Prawnej (zobacz).
Niemniej, prowadząc ogólnodostępny serwis internetowy i przetwarzając informację o IP użytkowników - IP należy uznać za daną osobową.
- Pliki Cookies - tzw. "ciasteczka"
Cookies to niewielkie pliki tekstowe wysyłane przez serwer www i przechowywane lokalnie na komputerze użytkownika przeglądającego strony internetowe. Pliki cookies są czasem stosowane przez programistów w nieco bardziej rozbudowanych serwisach, np. w portalach społecznościowych, sklepach internetowych bądź na stronach wymagających logowania czy weryfikacji unikatowości (np. w serwisach sondażowych).
W plikach cookies mogą być zapisane bardzo różnorodne informacje, m.in. niepowtarzalny identyfikator konta danego użytkownika w serwisie, dane stacji komputerowej, z której korzysta itp. Informacje zapisywane w tych plikach mogą być wykorzystywane przez administratorów serwisów, np. do monitorowania aktywności użytkowników.
Jeśli w plikach cookies zapisywany jest niepowtarzalny identyfikator użytkownika, może on należeć do kategorii danych, na podstawie których możliwe będzie zidentyfikowanie osoby, której on dotyczy. Wykorzystanie trwałych plików cookies lub podobnych rozwiązań zawierających niepowtarzalny identyfikator użytkownika pozwala na śledzenie użytkownika określonego komputera nawet w przypadku, gdy korzysta on z dynamicznie przedzielanych adresów IP. Działania takie nie mogą być jednak wykonywane bez wiedzy osób, których dotyczą i wymagają uzyskania ich uprzedniej zgody.
Trwałe pliki cookies, zawierające niepowtarzalny identyfikator użytkownika komputera, mogą należeć do kategorii danych, na podstawie których można ustalić tożsamość osób i w tym rozumieniu mogą stanowić dane osobowe.
Osoby bądź podmioty przetwarzające dane osobowe są zobowiązane do zgłoszenia zbiorów danych, które są przetwarzane w określonych celach (np. obsługa sprzedaży, marketing, udostępnianie danych). Jeśli dane osobowe przetwarzane są na różne cele - zgłoszenie zbioru do rejestracji dotyczy nie jednego, lecz kilku zbiorów prowadzonych w różnych celach. Wobec tego każdy zbiór danych należy zgłosić osobno.
Przydatne informacje dotyczące ochrony danych osobowych zostały przedstawione przez Generalnego Inspektora Ochrony Danych Osobowych w odpowiedzi na pytania internautów (dla niecierpliwych: większa część przydatnych informacji - z punktu prowadzenia e-biznesu - znajduje się w części drugiej):
Zobacz także:
Polecamy również:
Komentarze (0)
