W ostatnim czasie kilkukrotnie byłem pytany przez startup’owców o prawne możliwości posługiwania się danymi osobowymi na użytek prowadzonych przez nich portali internetowych. Najczęściej kwestie te dotyczą albo danych zbieranych przy zakładaniu konta (profilu) na tym portalu, albo prezentowaniu danych osobowych w celach informacyjnych. Oba przypadki są wielowątkowe i nie sposób zwięźle ukazać je w oderwaniu od struktury, funkcjonalności oraz przyczyn powstania konkretnego portalu internetowego.
Przedstawić chciałbym tylko jedną kwestię, która jest kluczowa, gdyż na tym polu często następuje niezrozumienie czym w ogóle jest ochrona danych osobowych. Pomyłki często wynikają z mylenia jej z ochroną dóbr osobistych (imię i nazwisko to również dobro osobiste), gdy tymczasem jest to całkowicie odrębne zagadnienie. Dla ochrony danych osobowych nie ma znaczenia czy narusza się czyjeś dobra osobiste. Działa to też w drugą stronę – działanie w interesie osoby, której dotyczą dane osobowe, np. reklamując ją, nie powoduje, że nie trzeba stosować ustawy o ochronie danych osobowych. Na marginesie jedynie wspomnę, że argument o bezpłatnym reklamowaniu kogoś, chyba kompletnie nigdy nie ma znaczenia prawnego, a tym samym taka linia obrony nie będzie skuteczna.
Wracając jednak do meritum – jednym z głównych problemów jest niewłaściwe pojmowanie danych osobowych. Czasami mogłoby się wydawać, że jak tych danych osobowych jest mało lub są one niezbyt istotne, to nie ma potrzeby stosowania ustawy o ochronie danych osobowych. To błędne podejście. Choć zakres danych ma znaczenie dla oceny proporcjonalności i celowości przetwarzania danych (co wynika z reguły niegromadzenia danych osobowych ponad potrzebę), to w zasadzie nie odgrywa większej roli dla określenia czy stosuje się ustawę czy nie (ze wszystkim tego konsekwencjami, jak choćby obowiązek rejestracji u GIODO, umożliwienia dostępu do danych i bezpieczeństwa).
Dla przedmiotowego zagadnienia miarodajny jest art. 6 ustawy o ochronie danych. Zgodnie z nim za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ustawa nie wymienia zatem konkretnych kategorii danych, lecz określa tak generalnie. Wskutek tego zmniejszenie stopnia identyfikacji nie powoduje, że takie dane przestają być danymi osobowymi. Ponadto zwrócić należy uwagę, że zgodnie z przywołanym przepisem osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Wreszcie trzeba mieć na uwadze, że specyfika internetu spowodowała powstanie szczególnych informacji identyfikujących, jak choćby numer IP. Co więcej, wiele identyfikujących tego typu danych internetowych nierzadko „narzuca się” samych. Nie trzeba ich zatem ustalać lub pobierać manualnie, ale wyskakują one jako funkcjonalność systemów obsługujących infrastrukturę przestrzeni wirtualnej.
Nie każde przetwarzanie danych osobowych podlega jednak ustawie o ochronie danych osobowych. Przewidzianych jest kilka wyłączeń co do podmiotowego i przedmiotowego zakresu zastosowania ustawy o ochronie danych osobowych, przy czym zazwyczaj raczej nie będą one zachodziły w obecnych realiach przedsięwzięć internetowych. Zwłaszcza, że są to wyjątki i jako takie należy je interpretować ściśle.