Prawo do anonimowości w Internecie, czyli czym są dane osobowe i jak je chronić?

Anonimowa kobieta serfuje w internecieInternet jest aktualnie największym źródłem informacji i platformą przekazywania danych. Wkroczyliśmy w czasy, gdy nie potrafimy się już się bez niego obejść. Jest on między innymi prężnym narzędziem marketingowym, informacyjnym i wypiera z rynku popularne media typu telewizja czy prasa. Jak grzyby po deszczu pojawiają się nowe sklepy internetowe. Niestety, za zmianami idzie utrata anonimowości. Dokonując zakupów w centrum handlowym czy w popularnym sklepie osiedlowym pozostajemy nieznani, natomiast zakupy w sklepie internetowym bądź korzystanie z serwisu społecznościowego wymuszają podanie swoich danych. Często raz pozostawione w internecie dane zaczynają niejako „żyć własnym życiem” i istnieje ryzyko wykorzystania ich w sposób nieuprawniony. Na pytania jak sobie z tym poradzić odpowiadają specjaliści z Kancelarii Chabasiewicz Kowalska i Partnerzy.

Na czym polega specyfika danych osobowych?

Dane osobowe to szczególny rodzaj informacji, których zbieranie, przechowywanie i przetwarzanie zostało ograniczone przez ustawodawcę i uzależnione od zgody posiadacza tych danych. „Podstawową zasadą dotyczącą ochrony danych osobowych jest to, że żadne dane osobowe nie mogą być zbierane, przetwarzane ani przechowywane bez wiedzy i zgody osoby, której dotyczą. Oczywiście od zasady tej są też wyjątki, na przykład dane mogą być przetwarzane przez osoby fizyczne, kiedy dokonują tego dla celów osobistych lub domowych, nie związanych z prowadzoną działalności zarobkową lub zawodową czy też mogą być przetwarzane wyłącznie w celu realizacji umowy. Chodzi np. o wystawienie faktury bądź realizację zamówienia.” – mówi Katarzyna Orzeł, aplikant radcowski w kancelarii Chabasiewicz Kowalska i Partnerzy. Oczywiście zbieranie i przetwarzanie danych osobowych jest też możliwe w kilku innych przypadkach. Przede wszystkim, gdy wyrazimy na to zgodę, gdy jest to konieczne w celu wykonania umowy lub do wypełnienia prawnie usprawiedliwionych celów. „Pamiętajmy, że do wykorzystywania danych osobowych do celów marketingowych lub reklamowych taka zgoda jest bezwzględnie konieczna. Musimy wyrazić zgodę na otrzymywanie newslettera albo na przetwarzanie naszych danych osobowych w konkursie organizowanym np. przez producenta soków.” – dodaje Katarzyna Orzeł.

Istnieje szereg rygorów dotyczących zasad przechowywania i przetwarzania danych osobowych. Poza kilkoma wyjątkami (które dotyczą przede wszystkim danych księgowych lub pracowniczych oraz zbieranych przez organy państwowe), każdy zbiór danych osobowych musi zostać zgłoszony Generalnemu Inspektorowi Danych Osobowych (GIODO), który czuwa nad bezpieczeństwem zebranych w nim informacji. Ponadto, na administratorze danych (czyli podmiocie, który je zebrał i decyduje o ich dalszym wykorzystaniu) ciąży szereg obowiązków, które mają zagwarantować bezpieczeństwo zebranych danych, takich jak informowanie o adresie i pełnej nazwie administratora, celu ich przetwarzania oraz zagwarantowanie możliwości wglądu w zebrane dane, ich poprawiania lub usuwania ze zbioru w każdym czasie.

Czy wszystkie informacje o osobie stanowią dane osobowe?

Każdy obywatel będący osobą fizyczną ma prawo do ochrony swoich danych osobowych. Jest to generalna zasada leżąca u podstawy ogólnej koncepcji ochrony danych osobowych w Polsce i w całej Unii Europejskiej. Spod zakresu ochrony wyłączone są dane identyfikujące osoby prawne i inne jednostki organizacyjne. Na przykład ochronie tej nie podlegają dane spółek prawa handlowego, spółdzielni, stowarzyszeń, czy wspólnot mieszkaniowych. Jako, że nie są one osobami fizycznymi, nie posiadają też danych osobowych.

Pojawia się zatem pytanie, czy wszystkie informacje o osobie fizycznej stanowią jej dane osobowe? „Zgodnie z ustawą o ochronie danych osobowych, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Funkcja identyfikacyjna pozwala na określenie tożsamości osoby fizycznej. Informacji nie uważa się jednak za daną osobową, jeśli określenie za jej pośrednictwem tożsamości osoby wymagałoby nadmiernych środków.” – odpowiada Katarzyna Orzeł.

Czy sam numer PESEL to dane osobowe?

Numer PESEL jest szczególnym przykładem danej osobowej, która jako jedna z nielicznych jest uznawana za daną osobową samodzielnie, nawet jeśli nie występuje łącznie z innymi danymi. Wynika to z faktu, że ustawową funkcją numeru PESEL jest identyfikacja konkretnej osoby fizycznej.

Czy samo imię i nazwisko stanowią dane osobowe?

Mimo, że na pierwszy rzut oka, imię i nazwisko są podstawowymi danymi osobowymi każdej osoby fizycznej, to użyte samodzielnie, a więc bez powiązania z innymi danymi, takimi jak adres zamieszkania, czy adres poczty elektronicznej, nie stanowią chronionych danych osobowych. Za pomocą samego imienia i nazwiska zwykle nie będzie można zidentyfikować konkretnej osoby fizycznej. Oczywiście hipotetycznie można założyć, że istnieją takie połączenia imienia z nazwiskiem, które są niepowtarzalne i pozwalają na zidentyfikowanie za ich pomocą konkretnej osoby. Będą to jednak sytuacje wyjątkowe. Jednocześnie, imię i nazwisko w połączeniu z wizerunkiem osoby staje się daną osobową. Dla przykładu, oznaczając osobę na zdjęciu w portalu społecznościowym, powstaje możliwość zidentyfikowania tej osoby, co z kolei jednoznacznie przesądza o uznaniu takiego zestawienia za dane osobowe.

Czy IP komputera lub adres e-mail stanowią dane osobowe?

Wśród internautów, administratorów portali społecznościowych czy sklepów internetowych często pojawia się wątpliwość, czy już samo zestawienie adresów IP użytkowników stanowi zbiór danych osobowych, który podlega obowiązkowej rejestracji w GIODO.

Sam adres IP komputera nie jest jeszcze daną osobową, ponieważ identyfikuje jedynie urządzenie, nie wskazując osoby, która z niego korzysta. Pozostaje jednak wątpliwość, czy daną osobową jest adres e-mail. W tym wypadku odpowiedź nie jest już taka prosta i zależy od konkretnego adresu. W przypadku, gdy adres mailowy jest na tyle ogólny, że nie pozwala na identyfikację osoby (np. silami@op.pl), nie będzie stanowił danej osobowej. W przypadku jednak, gdy adres składa się np. z imienia i nazwiska oraz końcówki oznaczającej np. miejsce pracy (lub jest naszym nickiem, pseudonimem, z którym jesteśmy kojarzeni i za pomocą którego można nas zidentyfikować, albo też jest zestawiony z imieniem i nazwiskiem czy wizerunkiem co pozwala na identyfikację), będzie on już pozwalał na przypisanie do niego konkretnej osoby, a co za tym idzie, będzie to dana osobowa. W momencie, gdy tworzona jest lista adresów e-mail należy liczyć się z tym, że nawet jeśli tylko niektóre z nich stanowią dane osobowe, to cała lista stanowi zbiór danych osobowych i podlega zgłoszeniu GIODO.

Czy nick stanowi daną osobową?

W związku z łatwością dostępu do wszelkich danych zawartych w internecie, wiele jego użytkowników posługuje się pseudonimami. Powstaje pytanie, czy nick, znany już innym użytkownikom danego portalu bądź forum i kojarzony z użytkownikiem o określonych cechach lub często nawet renomie, stanowi daną osobową. Nick jest daną osobową w przypadku osób, które za jego pomocą będą mogły zidentyfikować daną osobę fizyczną, czyli dla administratorów serwisu, którzy poza pseudonimem dysponują również adresem e-mail użytkownika, a często też imieniem, nazwiskiem i adresem zamieszkania. Jednocześnie dla osób postronnych znających jedynie pseudonim, nick daną osobową nie jest.

„Czasem zdarzają się sytuacje, gdy inna osoba zaczyna używać naszego pseudonimu. Warto pamiętać, że możemy się przed tym bronić, ponieważ gdy z danym nickiem wiążą się już konkretne skojarzenia innych użytkowników, może on zostać uznany za dobro osobiste danej osoby i mamy możliwość skorzystania z ochrony przewidzianej w Kodeksie Cywilnym.” – komentuje Katarzyna Orzeł. Wspomniane dobra osobiste to przede wszystkim imię i nazwisko, pseudonim, wizerunek, wolność, cześć czy prawo do tajemnicy korespondencji. Dobra zaliczane do dóbr osobistych podlegają odrębnej, dodatkowej ochronie nie związanej z ochroną danych osobowych.

Czy jako przedsiębiorcy przysługuje mi ochrona przewidziana w ustawie?

W chwili obecnej dane ujawnione w ewidencji działalności gospodarczej nie stanowią danych osobowych. Mimo to, jeśli ktoś używa naszych danych osobowych w szerszym zakresie, niż ten, które zostały wpisany do rejestru, możemy cofnąć zgodę na ich przetwarzanie i zażądać usunięcia tych konkretnych danych zbioru. W tym miejscu należy jednak zaznaczyć, że od dnia 1 lipca 2011 roku zmianie ulegnie stan prawny w tym zakresie, a nowe uregulowania są dość niejasne. Co prawda na swojej stronie internetowej GIODO zamieścił stanowisko w tej sprawie oparte na nowym stanie prawny, jednak budzi ono dość poważne wątpliwości. Przede wszystkim oparte jest ono na dość kontrowersyjnych założeniach, jakoby dane przedsiębiorców podlegały tylko takiej ochronie jak dane osób prawnych, co wiąże się w praktyce z pozbawieniem ich ochrony określonej w ustawie. Biorąc pod uwagę, że pogląd taki nie wynika wprost z obowiązujących przepisów, budzi on wątpliwości co do swojej prawidłowości.

Nieznany mi podmiot korzysta z moich danych osobowych. Co teraz?

Jeśli dochodzą do nas informacje, z których wynika, że nieznany nam podmiot wykorzystuje nasze dane osobowe, np. prowadząc kampanię reklamową, zmuszając nas do uczestnictwa w loteriach czy zasypując nas informacjami o konkursach i promocjach, możemy wykorzystać szereg środków ochrony zagwarantowanych nam przez ustawodawcę. Przede wszystkim, każdemu służy prawo do uzyskania informacji, kto administruje jego danymi, jakie dane posiada, w jakim celu i w jaki sposób zostały one zebrane oraz jak są przetwarzane. Po otrzymaniu tych informacji uzyskamy pewność, z jakiego źródła dany podmiot otrzymał nasze dane oraz czy wyrażaliśmy zgodę na ich przetwarzanie. Jeśli okaże się, że zebrane dane są niekompletne, nieprawdziwe lub wykorzystywane w innych celach niż te, w jakich były zebrane (np. po zawarciu przez nas umowy sprzedaży kontrahent zacznie wykorzystywać nasze dane w celach marketingowych mimo, że nie wyraziliśmy na to zgody), mamy prawo zażądać od niego poprawienia, uzupełnienia lub usunięcia albo zaprzestania wykorzystywania danych w określony sposób.

„Dodatkowo, od marca 2011 r. weszła w życie nowelizacja ustawy o danych osobowych, która ostatecznie przesądziła, że każdy ma prawo w każdym czasie, bez podania powodów cofnąć zgodę na przetwarzanie danych osobowych. Jeśli zatem nasze dane wykorzystywane są w celach marketingowych lub reklamowych, nawet za naszą zgodą wyrażoną wcześniej, możemy w każdym czasie zgodę taką cofnąć, zawiadamiając o tym podmiot korzystający z danych i zażądać ich usunięcia z prowadzonego przez niego zbioru.” – dodaje Agata Kowalska, partner kancelarii Chabasiewicz Kowalska i Partnerzy.
W przypadku, jeśli po interwencji naruszyciel nadal korzysta z naszych danych lub odmawia udzielenia nam niezbędnych informacji, przysługuje nam prawo do wystąpienia z wnioskiem do GIODO o zobowiązanie tego podmiotu do dopełnienia ciążących na nim obowiązków.

Na zakończenie warto wspomnieć, że ochrona wynikająca z ustawy o danych osobowych niejako krzyżuje się z ochroną dóbr osobistych zagwarantowaną przez Kodeks Cywilny. Oznacza to, że w przypadku, gdy ktoś bezprawnie korzysta z danych osobowych, które są jednocześnie naszymi dobrami osobistymi (jak np. połączenie imienia i nazwiska ze zdjęciem – zestawienie to stanowi dane osobowe, a jednocześnie ich użycie może naruszać prawo do wizerunku), możemy zażądać ochrony z obu tytułów (na podstawie ustawy o ochronie danych osobowych i Kodeksu Cywilnego, który określa zasady ochrony dóbr osobistych).

Agata Kowalska, Partner, Kancelaria Chabasiewicz Kowalska i Partnerzy
Katarzyna Orzeł, Aplikant Radcowski, Kancelaria Chabasiewicz Kowalska i Partnerzy