Instrukcje

Zasady udostępniania przez administratora serwisu internetowego danych osobowych użytkowników

1. Wstęp

W wielu przypadkach udostępnianie strony WWW użytkownikowi czy świadczenie usług w sieci za pomocą serwisów internetowych wiąże się nie tylko z rejestracją IP lub szerszym przetwarzaniem danych osobowych użytkowników wyłącznie na potrzeby podmiotu prowadzącego dany serwis, ale i z udostępnianiem ich innym podmiotom.

Przetwarzanie danych osobowych, a w szczególności ich udostępnianie podlega regulacjom przepisów prawa, zatem konieczne jest precyzyjne określenie na jakich zasadach będzie się ono odbywać.

Podstawowymi aktami prawnymi mającymi zastosowanie będą w szczególności:

  • ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (tj. Dz. U. 2019, poz. 123) – określa ona podstawowe obowiązki podmiotu świadczącego usługi drogą elektroniczną,
  • ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781) – określa ona zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych,
  • ustawa z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz.U.2020.1076 t.j.) – reguluje m. in. zasady i tryb przeciwdziałania praktykom naruszającym zbiorowe interesy konsumentów,
  • ustawa z dnia 30 maja 2014 r. o prawach konsumenta (Dz.U.2019 poz. 134 t.j.) – zawiera m. in. przepisy mające zastosowanie do umów zawieranych przez konsumentów na odległość.

Ważne:

Celem uniknięcia narażenia się na zarzut naruszenia przepisów prawa w związku z przetwarzaniem danych osobowych, konieczne jest szczegółowe zapoznanie się z przepisami obowiązującego aktualnie prawa.

W niniejszym opracowaniu przytoczono podstawowe regulacje ustanawiające obowiązki po stronie właściciela strony lub administratora; w związku z uregulowaniem kwestii ochrony danych osobowych przez prowadzącego strony WWW lub serwis internetowy równolegle w kilku ustawach konieczne jest zachowanie szczególnej ostrożności przy podejmowaniu decyzji w zakresie przetwarzania danych osobowych.

Procedura udostępniania danych to standardowo:

- rozpoznanie wniosku co do jego zakresu,

- ustalenie uprawnienia dostępu do danych wnioskodawcy,

- ustalenie czyich i jakich danych wniosek dotyczy,

- ustalenie czy i jakie dane można udostępnić i w jakiej formie,

- rozstrzygniecie o udostępnieniu z ustaleniem ew. podstawy odmowy lub udostępnienia,

- przekazanie rozstrzygnięcia wnioskodawcy.

Jednak aby przejść do procedury trzeba najpierw dobrze rozpoznać sytuacje i zakres przetwarzania danych osobowych oraz regulacje dotyczące ich udostępniania.

 

2. Podstawowe pojęcia

2.1. Definicje

W pierwszej kolejności należy określić pojęcia mające znaczenie dla analizowanego zagadnienia.

2.1.1. Użytkownik

Za użytkowników należałoby uznać wszystkie osoby, które korzystają ze stron internetowych, także tych, którzy tylko odwiedzają strony dla zapoznania się z treścią, na przykład oferty produktów. Część z nich korzysta z usług świadczonych drogą elektroniczną w rozumieniu ustawy o świadczeniu usług drogą elektroniczną. Ci użytkownicy, którzy korzystają z tych usług, są usługobiorcami – definicja poniżej. Zgodnie z art. 2 pkt. 4 w/w ustawy, 

świadczenie usługi drogą elektroniczną - wykonanie usługi świadczonej bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej w rozumieniu ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne). Są regulaminy stron, które za świadczenie usług drogą elektroniczną uznają już udostępnianie treści stron - „gościom” bez zalogowania, czyli tym, co jedynie je przeglądają (surfują) – np regulamin serwisu Mikroporady czy regulamin sklepu IKEA[1].

2.1.2. Usługobiorca

Pod pojęciem usługobiorcy w rozumieniu ustawy o świadczeniu usług drogą elektroniczną rozumie się osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, która korzysta z usługi świadczonej drogą elektroniczną (art. 2 pkt. 7). Niewątpliwie za usługi świadczone drogą elektroniczną w rozumieniu ustawy o świadczeniu usług drogą elektroniczną należy uznać udostępnianie stron do pobierania plików, aplikacji, umożliwianie zakładania i korzystania z konta poczty elektronicznej, zapewnianie hostingu stron internetowych, prowadzenia blogów, umożliwianie korzystania z serwisów społecznościowych, randkowych, itp., korzystania z baz danych, programów antywirusowych, itd.

2.1.3. Administrator danych

Zgodnie z kolei z ustawą o ochronie danych osobowych przez administratora danych rozumie się organ, jednostkę organizacyjną, podmiot (…), decydujące o celach i środkach przetwarzania danych osobowych (art. 7 pkt. 4). Jeżeli podmiot (w tym przedsiębiorca) prowadzący serwis internetowy będzie decydował o przetwarzaniu danych osobowych (czyli będzie decydował o celach i środkach przeprowadzania operacji na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych), to oznacza, że będzie administratorem danych w rozumieniu ustawy.

2.1.4. Usługodawca

Zgodnie z ustawą o świadczeniu usług drogą elektroniczną usługodawcą jest osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, która prowadząc, chociażby ubocznie, działalność zarobkową lub zawodową świadczy usługi drogą elektroniczną (art. 2 pkt. 6). Usługodawcą będzie na przykład przedsiębiorca prowadzący serwis internetowy za pośrednictwem którego będzie świadczył usługi drogą elektroniczną. Należy podkreślić, iż usługodawcą w rozumieniu ustawy o świadczeniu usług drogą elektroniczną może być podmiot nie będący przedsiębiorcą, na przykład fundacja nie prowadząca działalności gospodarczej, a która prowadzi stronę internetową i udostępnia na niej określone materiały do pobrania.

2.1.5. Dane osobowe

Zgodnie z art. 6 ustawy o ochronie danych osobowych:

 

  • Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
  • Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
  • Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

2.2. Podmiot prowadzący serwis internetowy, administrator danych osobowych a podmiot przetwarzający dane osobowe

Jak już wskazano wyżej podmiot prowadzący serwis internetowy w związku z przetwarzaniem danych osobowych uzyska status ich administratora. Niezależnie od tego istnieje możliwość powierzenia przetwarzania danych osobowych innemu podmiotowi.

Zgodnie z art. 31 ustawy o ochronie danych osobowych:

Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

Ten podmiot może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

Gdy zawarto taką umowę, odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Można wyróżnić trzy sytuacje:

  • Administratorem danych osobowych jest podmiot (właściciel strony), który nie powierzył przetwarzania danych jakiemukolwiek podmiotowi trzeciemu. Oznacza to, że dane osobowe będzie przetwarzał jako administrator samodzielnie podmiot, który prowadzi stronę internetową.
  • Podmiot, który jest właścicielem serwisu internetowego, jako administrator danych osobowych, na podstawie art. 31 ustawy o ochronie danych osobowych, zawiera umowę z innym podmiotem o wykonywanie obowiązków w zakresie administrowania danymi osobowymi. W takim wypadku ten podmiot – jako odrębny od właściciela strony podmiot - będzie działał jak administrator i tak też będzie odpowiadał na podstawie umowy z nim zawartej.

Nie wdając się w rozważania na tle brzmienia cytowanego wyżej art. 31, czy podmiot, któremu administrator powierzył przetwarzanie danych, również uzyskuje status administratora w rozumieniu ustawy, należy wskazać, iż ustawa nakłada na ten podmiot określone obowiązki. Podstawowe znaczenie ma treść umowy łącząca administratora danych z podmiotem trzecim, któremu powierza on przetwarzanie danych, ponieważ, z zastrzeżeniem przepisów, będzie regulować zakres jego praw i obowiązków o czym będzie mowa niżej ad 3.2.2.3. Powierzenie to może być pełne jak i częściowe, w konkretnym zakresie.

Przykład:

M. in. przedsiębiorcy oraz inne podmioty prowadzące strony internetowe zlecają przetwarzanie danych firmom marketingowym oraz reklamowym, celem uzyskania informacji umożliwiających dopasowanie swej oferty lub określenie potencjalnych jej adresatów (nabywców towarów lub usług czy osób zapoznających się z treściami umieszczanymi na stronach internetowych).

  • Podmiot (przedsiębiorca) zakłada i prowadzi swoją stronę internetową (serwis) na portalu lub serwerze udostępnionym mu przez innego przedsiębiorcę, który zapewnia również usługi przetwarzania danych osobowych na podstawie umowy zawartej z podmiotem który utworzył swoją stronę. W takim wypadku elementem umowy zawartej przez podmiot prowadzącego serwis internetowy będzie powierzenie przetwarzania danych użytkowników (ewentualnie usługobiorców) przedsiębiorcy udostępniającemu portal czy serwery. Jako przykład takiego rozwiązania można podać udostępnianie miejsca na serwerach internetowych i najczęściej związanych z tym usług dla przedsiębiorców prowadzących sklepy internetowe lub chcących świadczyć swoje usługi poprzez Internet. Innym przykładem jest prowadzenie stron internetowych dla podmiotów nie będących przedsiębiorcami – udostępnianie serwerów i odpowiedniego oprogramowania w tym celu.

2.3. Użytkownicy – sposoby korzystania

W przypadku użytkowników należy rozróżnić użytkowników korzystających z usług dostarczanych przez podmiot prowadzący stronę internetową w zależności od tego w jakim zakresie są identyfikowani w związku z korzystaniem usług w formie elektronicznej.

  • Pierwszą grupą użytkowników są ci, którzy najczęściej „przeglądają” strony (serwisy) internetowe i się nie logują – nie zakładają kont, nie mają przypisanego loginu oraz hasła. Tacy użytkownicy często są określani w regulaminach serwisów internetowych jako „goście”; por. regulamin serwisu internetowego

Już w przypadku tych osób należy uznać, iż w związku z ich działalnością w sieci (przeglądanie stron internetowych) powstają dane osobowe. W szczególności za dane osobowe należy uznać:

- adres IP użytkownika,
- informacje o czasie, kiedy przeglądał stronę internetową oraz
- informację o tym, co przeglądał.

Takie dane należy uznać za dane osobowe, ponieważ umożliwiają identyfikację konkretnej osoby.

  • Użytkownikami są również osoby, które celem skorzystania w zakresie szerszym niż „goście” z usług, zakładają konta i uzyskują login umożliwiający w połączeniu z ustalonym przez siebie hasłem na logowanie się do serwisu internetowego, celem korzystania z jego funkcjonalności niedostępnych dla „gości”. Na ogół w regulaminach są oni definiowani jako „użytkownicy”. W sytuacji korzystania z usług świadczonych drogą elektroniczną, będzie im przysługiwał status usługobiorców w rozumieniu ustawy o świadczeniu usług drogą elektroniczną i to bez względu na nazewnictwo zastosowane w regulaminie. Dane tego rodzaju umożliwiają zidentyfikowanie osoby – niezależnie od tego czy elementem loginu ma być imię oraz nazwisko - a zatem należy je uznać za dane osobowe.
  • W tym miejscu należy wyróżnić szczególny rodzaj usług, w przypadku których użytkownicy, celem uzyskania konta umożliwiającego korzystanie z usług, są zobowiązani wylegitymować się i potwierdzić swą tożsamość oraz wykazać swoje uprawnienia (a tym samym podać dane osobowe obejmujące imię i nazwisko – nie jest przewidziane korzystanie z pseudonimu, tzw. nicku). Jako przykład można podać prowadzony przez jednego z przedsiębiorców serwis internetowy umożliwiający adwokatom i radcom prawnym wymienianie się informacjami dotyczącymi umożliwiającymi kojarzenie zleceń zastępstwa w sprawach prowadzonych przed organami państwa. Jednym z elementów rejestracji jest upoważnienie usługodawcy (będącego przedsiębiorcą) przez użytkownika do zwrócenia się do organu właściwego samorządu zawodowego o zweryfikowanie, czy dana osoba jest adwokatem lub radcą prawnym[2].

 

3. Przetwarzanie danych osobowych w związku z prowadzeniem strony lub serwisu internetowego

3.1.Obowiązki w zakresie przetwarzania danych osobowych w związku z prowadzeniem serwisu internetowego

Podstawowym aktem prawnym regulującym przetwarzanie danych osobowych użytkowników stron internetowych będzie ustawa o ochronie danych osobowych.

Przepisy regulujące postępowanie z danymi osobowymi usługobiorców (przy świadczeniu usług drogą elektroniczną) znajdują się zarówno w ustawie o świadczeniu usług droga elektroniczną (art. 16 – 22) jak i w ustawie o ochronie danych osobowych (art. 16 i następne ustawy o oświadczeniu usług drogą elektroniczną).

Ponadto należy pamiętać, iż zgodnie z przepisem art. 5 ustawy o ochronie danych osobowych, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy o ochronie danych osobowych, stosuje się przepisy tych ustaw.

Ważne:

W przypadku gdy nie ma zastosowania ustawa o świadczeniu usług droga elektroniczną, znajdzie zastosowanie ustawa o ochronie danych osobowych.

Zakres obowiązków wynikający z przepisów prawnych a wiążący podmioty prowadzące strony internetowe został szczegółowo opisany w Instrukcji obsługi stron internetowych.

W tym miejscu należy zasygnalizować, iż zgodnie z ustawą o świadczeniu usług drogą elektroniczną, usługodawca (czyli osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, która prowadząc, chociażby ubocznie, działalność zarobkową lub zawodową świadczy usługi drogą elektroniczną) jest obowiązany określić regulamin świadczenia usług drogą elektroniczną (art. 8). Patrz Regulamin korzystania z serwisu.

Również należy wskazać na możliwość zawarcia umowy o administrację strony internetowej, co zapewnia prowadzenie jej przez podmiot profesjonalny, patrz Umowa o administrację strony internetowej.

3.2.Przekazywanie danych użytkowników (w tym usługobiorców)

3.2.1. Kto może udostępnić dane?

Udostępnianie danych mieści się w pojęciu ich przetwarzania (art. 7 pkt. 2 ustawy o ochronie danych osobowych). Należy zatem uznać, iż podmiotami mogącymi udostępniać dane będą administrator danych oraz – ewentualnie - podmiot któremu administrator powierzy przetwarzanie danych zgodnie z art. 31 ustawy o ochronie danych osobowych. Jak już wyżej wskazano, zgodnie z art. 20 ust. 1 pkt. 3) ustawy o świadczeniu usług drogą elektroniczną, usługodawca informuje usługobiorcę o podmiocie, któremu powierzył przetwarzanie danych.

3.2.2. Komu można udostępnić dane?

Poniżej zostaną omówione najważniejsze kategorie podmiotów którym dane mogą być udostępniane.

3.2.2.1. Podmiot prowadzący serwis internetowy (administrator danych) nie zlecił ich przetwarzania podmiotowi trzeciemu

W takim wypadku ze względu na tożsamość podmiotów nie występuje kwestia przekazywania danych pomiędzy podmiotami.

3.2.2.2. Podmiot prowadzący serwis internetowy (administrator danych) zlecił ich przetwarzanie upoważnionym osobom

W takim wypadku zastosowanie znajdą w szczególności przepisy ustawy o ochronie danych osobowych – art. 37 – 39. Te przepisy będą miały zastosowanie przy powierzeniu przetwarzania danych przez pracowników podmiotu prowadzącego serwis internetowy, jak i osób zaangażowanych przez niego na innej podstawie prawnej (np. osoby świadczące sporadycznie usługi w zakresie konserwacji systemów informatycznych, które powinny być upoważnione do przetwarzania danych, jeśli mogą uzyskać do nich dostęp). Jakkolwiek ustawa nie wprowadza obowiązku legitymowania się odpowiednimi kwalifikacjami w zakresie przetwarzania danych, to należy uznać, iż administrator powinien zachować ostrożność przy udzielaniu upoważnień, ponieważ ponosi odpowiedzialność za osoby którymi się posługuje (art. 429 bądź 430 Kc).

3.2.2.3. Podmiot prowadzący serwis internetowy (administrator danych) zlecił ich przetwarzanie podmiotowi trzeciemu

W takiej sytuacji konieczne jest zawarcie umowy o której mowa w art. 31 ustawy o ochronie danych osobowych. „Umowa winna być zawarta pomiędzy administratorem danych osobowych a podmiotem przetwarzającym te dane na zlecenie. Jednocześnie art. 31 ust. 2 u.o.d.o. zezwala na administrowanie jedynie danymi ujętymi w umowie. Powierzenie musi mieć także określony cel. Przepis art. 31 u.o.d.o. zawiera zatem elementy essentialia negotii umowy o przetwarzanie danych osobowych, do których zalicza się co najmniej zakres i cel przetwarzania danych osobowych (A. Drozd, Ustawa o ochronie danych osobowych..., s. 197).” Nb. 3, J. Gołaczyński, Komentarz do art.20 ustawy o świadczeniu usług drogą elektroniczną, LEX, 2009 r.

Jak już zauważono wyżej (ad 2.2.) szczególne znaczenie ma określenie w umowie zakresu praw i obowiązków podmiotu, któremu powierzono przetwarzanie danych osobowych. Jednym z obowiązków administratora danych może być zgłoszenie zbioru danych do rejestracji przez Generalnego Inspektora Ochrony Danych Osobowych (dalej GIODO) zgodnie z art. 40 ustawy o ochronie danych osobowych. Należy uznać za celowe zobowiązanie osoby przetwarzającej dane do realizowania niektórych przewidzianych ustawą działań, w szczególności związanych z zabezpieczeniem zbiorów danych osobowych (art. 36-39 u.o.d.o.)., vide nb. 3, J. Barta, P. Fajgielski, R. Markiewicz, Komentarz do art. 31 ustawy o ochronie danych osobowych, LEX, 2011.

Również należałoby zobowiązać osobę przetwarzającą dane do wykonywania obowiązków informacyjnych o których w art. 24 i 25 ustawy o ochronie danych osobowych. Zasadne jest również wprowadzenie w drodze umowy zobowiązania takiej osoby do wykonywania obowiązku administratora o którym mowa w art. 33 w/w ustawy, zgodnie z którym, na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a.Na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie. Skoro osoba której powierzono przetwarzanie danych w praktyce jest zrównana z administratorem, to zasadne jest nałożenie na nią analogicznych obowiązków, jakie ciążą na administratorze wobec użytkowników (w tym usługobiorców).

Należy podkreślić, iż administrator danych, mimo iż sam nie przetwarza danych, lecz zleca to osobie trzeciej, nie może się zwolnić od odpowiedzialności za naruszenie przepisów ustawy przez zleceniobiorcę, a więc np. za przetwarzanie przez niego niezgodne z celem, w którym dane były zbierane, za naruszenie praw osób, których dane dotyczą, czy za brak kontroli nad przekazywaniem danych osobom trzecim (por. w tej kwestii wyrok NSA z dnia 21 lutego 2000 r., II SA 1785/99, LEX nr 148745, omówiony w artykule A. Kisielewicza, Ochrona danych osobowych w praktyce..., s. 32 i n.). vide nb. 7, J. Barta, P. Fajgielski, R. Markiewicz, Komentarz do art. 31 ustawy o ochronie danych osobowych, LEX, 2011. Powyższe oznacza, iż usługodawca powinien zweryfikować podmiot z którym ma zamiar zawrzeć umowę o zlecenie przetwarzania danych osobowych, czy zapewni on ich przetwarzanie zgodnie z przepisami prawa oraz umową.

W przypadku gdy charakter usługi wymaga udostępnienia danych użytkowników innym przedsiębiorcom, podmiot prowadzący serwis będzie zobowiązany zawrzeć odpowiednie umowy z podmiotami mającymi świadczyć usługi na rzecz użytkowników, na mocy których będą oni uprawnieni do przetwarzania danych użytkowników korzystających z ich usług. Przykładowo, przedsiębiorca prowadzący serwis internetowy umożliwiający dostęp usługobiorcom do ofert sklepów lub dostawców żywności ekologicznej, działający jako pośrednik dla tych przedsiębiorców, w przypadku złożenia przez użytkownika zamówienia, będzie przekazywał wybranemu przedsiębiorcy dane tego użytkownika, celem zrealizowania przez niego zamówienia. Por. Regulamin korzystania z serwisu.

Innym przykładem serwisów udostępniających dane usługobiorców są serwisy prowadzące bazy profili osób poszukujących pracy, które są udostępniane potencjalnym pracodawcom[3].

3.2.2.4. Organy państwowe lub organy samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem

Podmiot przetwarzający dane ma obowiązek nieodpłatnie udostępniać dane osobowe organom władzy publicznej uprawnionym na podstawie odrębnych przepisów (art. 18 ust. 6 ustawy o świadczeniu usług drogą elektroniczną).

3.2.2.5. Użytkownik (w tym usługobiorca)

Każdemu użytkownikowi będzie przysługiwać prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych (art. 32 ustawy o ochronie danych osobowych). Usługobiorca jest upoważniony do uzyskania dostępu do aktualnej informacji m. in. o podmiocie, któremu usługodawca powierzył przetwarzanie danych (art. 20 ustawy o świadczeniu usług drogą elektroniczną) oraz ma prawo do kontroli przetwarzania danych, które jego dotyczą (art. 32 ustawy o ochronie danych osobowych).

3.2.2.6. Osoby należące do rodziny użytkownika (w tym usługobiorcy) – przykład stanu wyższej konieczności

Należy uznać, iż jest dopuszczalne przekazanie danych osobowych członkom rodziny użytkownika w przypadku w którym mowa w przepisie art. 23 ust. 3 ustawy o ochronie danych osobowych: jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 (wyrażenie zgody na ich przekazanie) jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.

Żywotnymi interesami w rozumieniu komentowanego przepisu są takie interesy, które zasługują na to, by przyznawać im pierwszeństwo przed interesem zachowania danych osobowych w poufności. Żywotne interesy przeważają zatem nad interesami nakazującymi uzależniać przetwarzanie danych osobowych od zgody zainteresowanego. Muszą być to interesy o dużym znaczeniu, doniosłe, np. zdrowie, życie, nie należy tu także wykluczać interesów majątkowych. (podkr. aut.) Ocena, czy w danym przypadku mamy do czynienia z takimi właśnie interesami oraz czy zainteresowany nie jest w stanie sam tych interesów w inny sposób chronić, znajduje się właściwie w rękach przetwarzającego dane (administratora). Jego decyzje w tej mierze nie mają jednak ani rozstrzygającego i ostatecznego charakteru, ani też nie są to decyzje samowolne i arbitralne. Polegają na wyważaniu interesów. W zasadzie przetwarzanie danych osobowych powinno być dopuszczone w takich przypadkach, w których racjonalnie można zakładać, iż zainteresowany - gdyby istniała taka możliwość - udzieliłby swego zezwolenia. W razie sporu wspomniane decyzje będą podlegać kontroli sądowej. Nadzór sprawuje też Generalny Inspektor w zakresie, w jakim wykonuje on kontrolę zgodności przetwarzania danych z przepisami o ochronie danych osobowych (art. 12 pkt 1 u.o.d.o.).

nb. 13, J. Barta, P. Fajgielski, R. Markiewicz Komentarz do art. 23 ustawy o ochronie danych osobowych, LEX, 2011.

Należy zatem uznać, iż przykładowo administrator danych (usługodawca) będzie mógł przekazać dane rodzinie użytkownika (usługobiorcy) jeśli będzie to niezbędne do ochrony jego życia lub zdrowia – na przykład umożliwi poszukiwanie osoby w podeszłym wieku, która zaginęła, a co do której wiadomo, że wymaga opieki. Należy uznać, iż klauzula przekazania danych w sytuacji konieczności zapewnienie ochrony żywotnych interesów usługobiorcy może mieć zastosowanie przy rozstrzyganiu zasadności udzielenia danych osobowych w przypadku zasinienia stanu wyższej konieczności.

3.2.2.7. Przekazywanie danych usługobiorców innym usługobiorcom

Przykładem usług świadczonych drogą elektroniczną, a wiążących się z udostępnianiem danych innym użytkownikom (których należy uznać za usługobiorców w rozumieniu ustawy oświadczeniu usług drogą elektroniczną) danego serwisu jest opisany wyżej (ad. 2.3.) serwis internetowy umożliwiający adwokatom i radcom prawnym wymienianie się informacjami dotyczącymi umożliwiającymi kojarzenie zleceń zastępstwa w sprawach prowadzonych przed organami państwa. Uczestnictwo w takim serwisie wiąże się z udostępnianiem przez usługodawcę danych osobowych usługobiorców innym usługobiorcom. Innym przykładem serwisów internetowych, które umożliwiają udostępnianie nawzajem pomiędzy usługobiorcami danych osobowych (w postaci adresów internetowych profili konkretnych osób) są serwisy społecznościowe, towarzyskie (randkowe), itp.

 

4. Procedura – opis sekwencji zdarzeń, które muszą po sobie nastąpić, aby można było udostępnić dane

Podmiot prowadzący serwis internetowy (a w tym zwłaszcza usługodawca), mając na uwadze charakter prowadzonej przez siebie działalności (w tym działalności gospodarczej) i pamiętając o konieczności zachowania zarysowanych wyżej rygorów prawnych w zakresie przetwarzania danych osobowych użytkowników (w tym usługobiorców), przy tworzeniu serwisu internetowego będzie zobowiązany opracować procedurę lub procedury regulujące przekazywanie danych osobowych.

Obowiązek opracowania procedury lub procedur wynika z konieczności przestrzegania przepisów, w szczególności ustawy o ochronie danych osobowych.

4.1. Kto występuje o dane?

W pierwszej kolejności administrator danych (lub określone w procedurze, upoważnione przez niego osoby) będzie zawsze zobowiązany zidentyfikować podmiot składający wniosek o udzielenie danych osobowych. W zależności od tego kto wystąpi o dane, administrator będzie podejmował decyzję o ich udzieleniu bądź odmowie.

Należy uznać, iż administrator powinien wprowadzić co do zasady wymóg składania wniosku o udzielenie danych w formie pisemnej. Takie rozwiązanie zabezpiecza interes administratora danych.

W praktyce istotną kwestią jest sposób występowania do administratora danych z wnioskiem o udostępnienie danych. Przed nowelizacją przepis art. 29 u.o.d.o. przewidywał wymóg pisemnej formy wniosku. Uchylenie tego przepisu może prowadzić do wątpliwości w tym zakresie i poddawane jest w piśmiennictwie krytycznej ocenie (por. X. Konarski, Nowe zasady i tryb udostępniania danych..., s. 23). Wydaje się jednak, że wątpliwości te można rozstrzygnąć, posiłkując się innymi przepisami. Artykuł 36 nakazuje administratorowi podjąć stosowne środki w celu ochrony danych (w tym także przed udostępnieniem osobom do tego nieuprawnionym), a zgodnie z przepisem art. 38 u.o.d.o. administrator danych ma obowiązek zapewnić m.in. kontrolę nad tym, komu dane są przekazywane. Przyjęcie pisemnej formy wniosku o udostępnienie danych pozwala na dokumentowanie podstawy udostępnienia danych i podmiotu, który się o to zwrócił, stanowi zatem środek umożliwiający realizację wspomnianych powyżej obowiązków. (podkr. aut.)

Nb 38, nb. 13, J. Barta, P. Fajgielski, R. Markiewicz, Komentarz do art. 23 ustawy o ochronie danych osobowych, LEX, 2011.
Należy zaznaczyć, iż złożenie wniosku o udzielenie danych siłą rzeczy będzie się wiązało z przekazaniem danych wnioskodawcy podmiotowi prowadzącemu serwis internetowy (w tym usługodawcy) – jako administratorowi danych.

Nie można wykluczyć – w przypadku „wewnętrznego” przekazywania danych np. osobom upoważnionym do ich przetwarzania lub podmiotowi z którym administrator zawarł umowę (art. 31 ustawy o ochronie danych osobowych) – składania wniosków drogą elektroniczną, ale tylko i wyłącznie pod warunkiem, iż będzie zapewnione bezpieczeństwo danych. W szczególności administrator musi mieć możliwość kontroli nad dysponowaniem danymi.

4.2. Weryfikacja podmiotowa czyli jakich osób i jakich danych dotyczy wniosek?

Kolejnym etapem ustosunkowywania się do wniosku o udostępnienie danych jest analiza kogo te dane mają dotyczyć. Ustalenie tej kwestii jest kluczowe dla rozstrzygnięcia przez administratora, czy ma obowiązek odmówić udostępnienia danych, czy może te dane udostępnić, czy ma obowiązek je udostępnić, a jeśli tak, to w jakim zakresie.

Uchylony przepis art. 29 ustawy o ochronie danych osobowych przewidywał, iż;

3. Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że przepis innej ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie.

4. Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.

Należy uznać, iż pomimo uchylenia w/w przepisu administrator danych osobowych lub osoba przetwarzająca powinien się domagać podania:

  • oznaczenia ubiegającego się o udostępnienie danych osobowych ze zbioru i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacji podatkowej oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany (nie zawsze imię i nazwisko oraz adres w dostateczny sposób identyfikują wnioskodawcę),
  • podstawy prawnej upoważniającej wnioskodawcę do otrzymania danych na mocy przepisów prawa,
  • wskazanie przeznaczenia dla udostępnionych danych,
  • wskazanie wiarygodnie uzasadnionej potrzeby posiadania danych,
  • informacje umożliwiające wyszukanie w zbiorze żądanych danych,
  • zakres żądanych informacji.

Uzyskanie informacji wskazanych powyżej ma na celu zabezpieczenie administratora danych przed zarzutem nienależytego przetwarzania danych i umożliwienie podjęcia właściwego rozstrzygnięcia. Zgodnie z przepisem art. 51 ustawy o ochronie danych osobowych;

1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. (podkr. aut.)

Należy zatem uznać, iż administrator danych jest uprawniony, a nawet zobowiązany domagać się udostępnienia mu informacji o których mowa wyżej.

Podanie tych danym umożliwi administratorowi podjęcie decyzji co do udostępnienia danych osobowych usługobiorców korzystających z serwisu.

4.3. Rozstrzygniecie

Nie wdając się w rozważania, czy rozstrzygnięcie administratora w zakresie udzielenia danych bądź odmowy stanowi decyzję administracyjną[4], należy wskazać, iż rozstrzygniecie administratora w przedmiocie odmowy udostępnienia danych osobowych jest oświadczeniem woli w rozumieniu cywilistycznym i można je kwestionować.

Jeżeli ubiegający się o udostępnienie danych nie zgadza się z odmowną decyzją administratora danych, może wystąpić do Generalnego Inspektora. Do jego zadań należy m.in. sprawowanie kontroli nad zgodnością przetwarzania danych (a więc też ich udostępniania) z przepisami o ochronie danych osobowych (art. 12 pkt 1 u.o.d.o.). W przypadku stwierdzenia, iż doszło do naruszenia tych przepisów, Generalny Inspektor nakaże administratorowi, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, w tym przypadku nakaże udostępnienie danych osobowych (por. art. 18 ust. 1 pkt 2 u.o.d.o.). Nb. 39, Nb 38, nb. 13, J. Barta, P. Fajgielski, R. Markiewicz, Komentarz do art. 23 ustawy o ochronie danych osobowych, LEX, 2011.

Należy przyjąć, iż odmowa udostępnienia danych osobowych powinna być dokonana w formie pisemnej. 

Omawianej kwestii nie rozstrzyga jednoznacznie również Generalny Inspektor. W jednej z wypowiedzi (E. Kulesza, Odmowa informacji nie zawsze uzasadniona, Rzeczpospolita, 4 sierpnia 1999, nr 180) zaznacza, że "ustawodawca nie przesądził, w jakiej formie prawnej powinna nastąpić odmowa udostępnienia danych. Nie ulega wątpliwości, iż powinna być sporządzona na piśmie, w formie prawnej stwarzającej możliwość zaskarżenia rozstrzygnięcia do organu wyższego rzędu".

Nb. 39, Nb 38, nb. 13, J. Barta, P. Fajgielski, R. Markiewicz, Komentarz do art. 23 ustawy o ochronie danych osobowych, LEX, 2011.
Jest oczywistym, iż rozstrzygniecie powinno precyzyjnie określać jakie konkretnie dane nie będą udostępnione.

Należy się jednakże zastanowić nad wprowadzeniem wyjątków od tej zasady w szczególnych przypadkach, takich jak przekazywanie danych osobowych „wewnątrz” – pomiędzy np. usługobiorcami korzystającymi z tego samego serwisu prowadzonego przez usługodawcę. Skoro pozyskiwanie danych innych usługodawców odbywa się z pominięciem formy papierowej, tylko poprzez odpowiednie funkcjonalności danego serwisu, to należy przyjąć, iż w takim, szczególnym wypadku usługodawca powinien mieć możliwość odmowy udostępnienia danych również w taki sposób.

4.4. Udostępnienie danych osobowych

Udostępnienie danych osobowych może być rezultatem uwzględnienia wniosku albo nastąpić w wykonaniu decyzji GIODO nakazującej udostępnienie danych.

W każdym z wypadków należy w odpowiedni sposób udokumentować co najmniej:

  • komu i
  • jakie i kogo dotyczące dane osobowe;
  • na jakiej podstawie prawnej;
  • kiedy zostały udostępnione;
  • w jaki sposób;
  • w jakim terminie (czas przetwarzania).

Zgodnie z uchwałą Sądu Najwyższego z dnia 30 września 2014 r., I KZP 18/14, LEX, nr 1508957, administratorowi przysługuje zwrot kosztów udostępnienia danych osobowych na żądanie organów w trybie art. 18 ustawy o świadczeniu usług drogą elektroniczną.

--

[1] Dostępny na stronie internetowej: http://www.ikea.com/pl/ data wyświetlenia strony 25 listopada 2014 r.

[2] Patrz regulamin serwisu internetowego http://www.zastepstwo.pl/rules.seam;jsessionid=f5WMz36RuSB0oe5VbbOTGSPA.undefined data wyświetlenia strony internetowej w dniu 25 listopada 2014 r.

[3] Na przykład regulamin serwisu pracuj.pl dostępny pod adresem: http://grupapracuj.pl/grupa-kapitalowa/regulamin/ data wyświetlenia strony 25 listopada 2014 r.

[4] Poglądu tego nie podzielił NSA; por. wyrok z dnia 19 listopada 2001 r., II SA/Ka 346/00, LEX nr 655291.

Pamiętaj:
Wpisz nasz KRS 0000318482 w Deklaracji Podatkowej Twój e-PIT
Dziękujemy!

Czy wiesz, że aż 96% mikro firm zapewnia 75% wszystkich wpływów z podatków i wytwarza 51% zysku gospodarki kraju?

A tylko niewielkiej liczbie udaje się utrzymać na rynku dłużej niż rok bez dostatecznej wiedzy i znajomości przepisów.

A czy wiesz, że...

Ty też możesz coś zrobić, abyśmy mogli dalej działać i skutecznie Cię wspierać?

KRS 0000318482

Przejdź do Twój e-PIT