Xevin Consulting - Blog Blog

Pisząc o serwisach społecznościowych pod kątem ich bezpieczeństwa dla prywatności i ochrony danych osobowych, warto na początek spróbować zdefiniować sobie, czym są takie serwisy. W tym miejscu pozwolę sobie sięgnąć po definicję zawartą na stronach Wikipedii, zgodnie z którą serwisem społecznościowym będzie rodzaj interaktywnych stron www, które są współtworzone przez sieci społeczne osób podzielających wspólne zainteresowania lub chcących poznać zainteresowania innych. Większość portali społecznościowych dostarcza użytkownikom wiele sposobów komunikacji, np. poprzez listy dyskusyjne, fora etc. Aktualnie jednym z najpopularniejszych portali na świecie (ale także w Polsce) jest Facebook. Do tego typu portali zalicza się również takie serwisy jak MySpace, Linkedin, a na naszym krajowym podwórku będą to np. Nasza-klasa, GoldenLine czy nowy portal stworzony przez GG Network S.A. GG.pl.

Wraz z pojawieniem się mody na serwisy społecznościowe bardzo popularnym tematem stała się kwestia związana z bezpieczeństwem danych osobowych, które użytkownicy takich serwisów wpisują podczas rejestracji, ale także tych, które podają podczas bieżącego korzystania z funkcjonalności udostępnianych przez portal.

I właśnie, gdy myślimy o bezpieczeństwie i prywatności naszych danych osobowych, to jednym z elementów, któremu warto bliżej się przyjrzeć zanim klikniemy sakramentalne „Wyślij” lub „Zarejestruj się”, jest formularz rejestracyjny. Na początek należy sprawdzić, czy przesyłanie danych zawartych w formularzu jest zabezpieczone poprzez protokół SSL. Można to zweryfikować zerkając na adres strony internetowej (nazwa domeny powinna być poprzedzona „https” a w prawym dolnym rogu przeglądarki powinna być kłódka). Jeżeli właściciel strony stosuje tego typu zabezpieczenie to na pewno jest to dobry sygnał dla bezpieczeństwa naszych danych osobowych.

Kolejną rzeczą, na którą należy zwrócić uwagę, jest zakres danych osobowych, jakie musimy podawać podczas rejestracji. Nie ma tu jednej uniwersalnej wskazówki, którą można się kierować, ale co do zasady trzeba założyć, że im więcej danych wymaga się od nas, tym większe zagrożenie dla naszej prywatności. Właściciel portalu zawsze powinien stosować się do tzw. zasady adekwatności, o której mowa w art. 26 ustawy o ochronie danych osobowych, w myśl której dane osobowe przetwarzane przez administratora danych (właściciela serwisu) powinny być adekwatne do celu dla jakiego mają być wykorzystane.

Formularz rejestracyjny to dokument elektroniczny, za pomocą którego internauta przekazuje swe dane do właściciela serwisu, a więc mamy tu do czynienia z przetwarzaniem (zbieraniem) danych osobowych. A zatem czynność ta powinna być poprzedzona przekazaniem internaucie kilku podstawowych informacji na temat administratora danych. Zgodnie z obowiązującymi przepisami o ochronie danych osobowych, właściciel firmy powinien wskazać pełną nazwę swego przedsiębiorstwa, a także podać adres siedziby. Oprócz tego powinien zostać określony cel, dla jakiego zbierane są dane osobowe, a dodatkowo internauta musi zostać poinformowany o przysługujących mu prawach tj. możliwości wglądu w swoje dane osobowe wraz z możliwością ich poprawiania. Jeżeli brak jest takich zapisów, może to świadczyć o słabej znajomości przepisów prawa przez właściciela serwisu (a nawet o naruszeniu tych przepisów), ale też pokazywać, że temat prywatności traktowany jest przez niego w sposób daleko niewystarczalny.

Stałym elementem składowym różnego rodzaju formularzy rejestracyjnych są również zgody na przetwarzanie danych osobowych. I tu wielka uwaga – zawsze zwracajmy uwagę, na co się godzimy, żeby w przyszłości uniknąć przykrych niespodzianek. Pamiętajmy o tym, że każda zgoda powinna wskazywać cel, dla którego będą wykorzystywane nasze dane osobowe (klauzula taka nie może być zbyt ogólna, ale też nie może zawierać w sobie kilku różnych celów, do realizacji których właściciel serwisu chciałby wykorzystywać dane osobowe – powinny to być osobne zgody).

Jeśli chcielibyśmy jeszcze dokładniej poznać właściciela portalu i jego podejście do ochrony danych osobowych, zawsze też istnieje możliwość sprawdzenia go na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych (GIODO). W sekcji zatytułowanej e-GIODO znajduje się wyszukiwarka za pomocą której możemy zobaczyć, czy właściciel serwisu zgłosił zbiór danych osobowych do GIODO.

Ostatnią rzeczą, na którą należy zwrócić uwagę, powinien być regulamin portalu społecznościowego. Jeśli takiego dokumentu brakuje na stronie, lepiej się nie rejestrować. Obowiązek posiadania regulaminu wynika wprost z przepisów ustawy o świadczeniu usług drogą elektroniczną, stąd też poważna firma na pewno taki dokument przygotuje. Ale i tu czasami łatwo o przykre niespodzianki. Krótka analiza treści regulaminu i jego porównania np. z formularzem rejestracyjnym bardzo często pokaże nam, czy regulamin został rzeczywiście napisany pod kątem tego konkretnego portalu społecznościowego, czy też może jego właściciel skopiował dokument z jakiejś innej strony, który z lekkimi modyfikacjami lub bez nich zamieścił u siebie.

Kończąc wątek rejestracji nie zapominajmy o wymyśleniu mocnego hasła, którego podanie będzie niezbędne by móc zalogować się do naszego konta na portalu społecznościowym. Dobre hasło powinno składać się z minimum 8 znaków i zawierać w sobie kombinację wielkich i małych liter, znaków specjalnych lub cyfr.

Nawet, gdy już przebrniemy przez stworzony w zgodzie z obowiązującymi przepisami prawa proces rejestracyjny, nadal musimy być czujni, jeśli chcemy zadbać o naszą prywatność. Zwracajmy zatem uwagę jakie dane pozostawiamy korzystając np. z for dyskusyjnych, a także zwróćmy uwagę na zdjęcia, które dodajemy do swoich profili. Pamiętajmy o tym, że te dane będą widoczne także dla innych użytkowników, a czasami dla wszystkich internautów. Jeżeli portal umożliwia zastosowanie jakiś dodatkowych opcji zapewniających prywatność np. poprzez ograniczenie kręgu osób, które będą miały podgląd w nasz profil i w to co robimy na portalu społecznościowym, korzystajmy z tego.

Zapewne wiele osób w swoich firmach zastanawia się, czy są u nich przetwarzane dane osobowe. Jako że wbrew pozorom temat ten nie jest tak oczywisty jakby się mogło wydawać, postanowiliśmy napisać o tym parę słów. Na stronach Nowoczesnej Firmy Maria Lothamer opisała kiedy firma przetwarza dane osobowe. Myślę, że tekst ten może okazać się bardzo pomocny by wstępnie oszacować z jakimi zbiorami możemy mieć do czynienia.

Natomiast drugi artykuł (mojego autorstwa) dotyczy sytuacji, w której wiemy już co należy zgłosić do Biura Generalnego Inspektora Ochrony Danych Osobowych (GIODO), ale nie wiemy jak poradzić sobie ze sformalizowanym wnioskiem zgłoszeniowym. W krótkim poradniku starałem się zwrócić uwagę na najważniejsze aspekty tego formularza.

Serdecznie zapraszam do zapoznania się z oboma artykułami.

Z końcem czerwca Sejm wybrał nowego Generalnego Inspektora Ochrony Danych Osobowych, którym został Wojciech Wiewiórowski. Już 13 lipca zastąpi on na stanowisku dotychczasowego szefa GIODO, Michała Serzyckiego.

Z wypowiedzi Wojciecha Wiewiórowskiego wynika, że jedną z priorytetowych spraw dla GIODO będzie przegląd istniejącego stanu prawnego w Polsce oraz stałe monitorowanie nowych aktów prawnych, gdyż przepisy w zakresie ochrony danych osobowych pojawiają się w wielu różnych ustawach.

Ponadto dla nowego GIODO bardzo ważne jest, by przepisy uwzględniały nowe trendy w nowych technologiach, w tym zwłaszcza takie zagadnienia jak kwestia serwisów społecznościowych, bo jak słusznie zauważa Wojciech Wiewiórowski w momencie tworzenia dyrektywy 95/46/WE (1995 r.), na której oparta została nasza ustawa (1997 r.) nikt jeszcze nie miał pojęcia jakie będą trendy w Internecie na początku XXI w.

Nowy GIODO dodał także, że jest przeciwnikiem gromadzenia i przetwarzania danych osobowych z różnych źródeł, co nie powinno prowadzić do niedozwolonego profilowania osób, a więc tworzenia zestawień informacji, które nie są przewidziane w prawie, a wynikają z legalnego pozyskiwania danych szczegółowych.

Więcej w wywiadzie z Wojciechem Wiewiórowskim zamieszczonym w Gazecie Prawnej.

Monitoring w kontekście prawa do prywatności, o którym mowa w Konstytucji czy też w ustawie o ochronie danych osobowych to od dłuższego czasu kwestia mocno kontrowersyjna.

Przede wszystkim zwraca się uwagę na kwestię możliwości naruszenia dóbr osobistych (prawo do wizerunku, tajemnica korespondencji), a to daje możliwość osobie pokrzywdzonej dochodzenia tych praw przed sądem i domagania się od podmiotu, który dopuścił się takiego naruszenia, zadośćuczynienia.

Jak podkreśla Michał Serzycki, Generalny Inspektor Ochrony Danych Osobowych, w polskim ustawodawstwie brakuje odrębnej regulacji dotyczącej zasad i warunków dopuszczalności stosowania monitoringu i wideonadzoru, a w jego przekonaniu ustawa taka jest bardzo potrzebna. Chodzi m.in. o to, by przedmiotem jej uregulowania były takie zagadnienia jak określenie sytuacji w których monitoring jest możliwy do zastosowania, a także jak długo mogą być przechowywane nagrania. Ponadto ustawa taka powinna określać które podmioty mogą wykorzystać systemy monitoringu oraz wskazywać jakie prawa przysługują osobom, które takiemu nadzorowi kamer podlegają.

Warto też dodać, że zdaniem GIODO w wielu sytuacjach, gdzie stosowany jest wideonadzór dochodzi do pozyskiwania danych osobowych, ponieważ istnieje możliwość identyfikacji konkretnej osoby, która znajdzie się na nagraniu. A to oznacza, że podmiot, który jest odpowiedzialny za monitoring ma obowiązek tak zabezpieczyć nagrania, by osoby niepowołane nie miały do nich dostępu (a więc spełnić wymogi przewidziane w ustawie o ochronie danych osobowych i rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 2004 r.).

Jako ciekawostkę natomiast podaję link do ciekawego stanowiska GIODO na temat monitoringu w budynkach należących do spółdzielni mieszkaniowych.

Więcej na temat opisanych tu kwestii znaleźć można w piątkowo - sobotnim (11 - 12 czerwca) wydaniu “Dziennika Gazety Prawnej”.

Wiele razy spotkałem się z pytaniami czy zgoda na przetwarzanie danych może stanowić część np. regulaminu czy umowy. Warto się zatem przyjrzeć jak ta kwestia została uregulowana w ustawie o ochronie danych osobowych.

Przede wszystkim wspomniana ustawa definiuje w swym art. 7 pkt. 5 czym jest zgoda. Dla przypomnienia, w myśl wskazanego tu przepisu, przez zgodę “rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści”. Z punktu widzenia niniejszego wpisu istotna jest druga część cytowanego fragmentu.

O co w tym chodzi? Otóż zamysłem ustawodawcy było zapobieżenie takim sytuacjom, które powodowałyby że zachodzić będzie wątpliwość co do tego kto, w jakim zakresie, a także w jakim celu może przetwarzać dane. Należy tu podkreślić, że zamysł ten nie będzie spełniony, jeśli oświadczenie o zgodzie będzie stanowiło odesłanie do treści innych dokumentów, w tym zwłaszcza regulaminów lub umów. Zostało to wyraźnie stwierdzone w orzecznictwie NSA, a zwłaszcza w wyroku z dnia 4 kwietnia 2003 r. (wyrok ten można pobrać ze strony GIODO z tego miejsca). NSA stoi na stanowisku, że klauzula zgody powinna stanowić wyodrębnione oświadczenie spośród innych postanowień umowy/regulaminu, tak aby osoba zainteresowana miała możliwość wyrażenie bądź odmówienia zgody na przetwarzanie danych. Podobnie nie jest dopuszczalne stwierdzenie, że podpisanie umowy jest jednoznaczne z wyrażeniem zgody na przetwarzanie danych np. w celach przesyłania informacji handlowych.

A zatem pamiętajmy o tym, by zgody na przetwarzanie danych wyodrębniać z innych dokumentów tak by istniała możliwość podjęcia decyzji o tym, czy godzimy się przetwarzanie czy też takiej zgody nie udzielamy.

Sporo się o tym dyskutuje, bo zagadnienie jest mocno kontrowersyjne. Chodzi oczywiście o zaklasyfikowanie adresu IP jako danej osobowej w rozumieniu ustawy o ochronie danych osobowych. Ostatnio głos w tej sprawie zabrał wojewódzki sąd administracyjny i w swym orzeczeniu potwierdził już to co wcześniej twierdziło GIODO - adres IP jest daną osobową. Krótką informację na ten temat można przeczytać na stronie internetowej “Gazety Wyborczej”.