Popularność RODO

Niewątpliwie RODO wpłynęło na codzienność wielu osób. Popularność RODO zaskoczyła zapewne wielu ekspertów. Właściwie należałoby stwierdzić, że raczej chodzi nie tyle o doniosłość regulacji związanych z RODO, ale o powstały wokół nich szum informacyjny. W efekcie rodzi się wiele absurdów, które wcale nie wynikają z RODO, a czasami są nawet sprzeczne z RODO. Zwrócić warto uwagę, że sam skrót RODO wydaje się być na tyle upowszechniony, iż nie ma nawet potrzeby wyjaśniania jego znaczenia.

Dostęp do informacji i ich gromadzenie

Wydaje się, że powszechnie kwestia RODO utożsamiana jest zwykle z dostępem do informacji. W gruncie rzeczy jest to pochodna mylenia ochrony danych osobowych z ochroną dóbr osobistych. Jest to znamienne i jednocześnie sygnalizuje istotny problem z celowością obowiązywania RODO. Dostęp do informacji, czy szerze ich upublicznianie, nie wyczerpuje materii ochrony danych osobowych. W skutek zaś tego, że tak jest to jednak rozumiane, wypacza się sens RODO.

Można zaryzykować nawet tezę, że kwestia dostępu do danych osobowych jest drugorzędna wobec zagadnienia gromadzenia danych. Ochrona danych powinna się skupiać właśnie na gromadzeniu. Jeśli nie ma podstaw do udostępnienia danych, to warto rozważyć czy w ogóle są podstawy do ich gromadzenia. W każdym razie takie skupienie się, w potocznych obiorze, na dostępie do informacji, może skutkować utajnionym innym przetwarzaniem danych osobowych.

Popularność RODO i poszanowanie autonomii informacyjnej

Przede wszystkim trzeba mieć na uwadze, że ochrona danych osobowych wynika z potrzeby poszanowania autonomii informacyjnej człowieka. Problematyka dostępu do informacji nie jest wiodąca w tym zakresie (czego wyrazem są choćby osobne akty prawne w tym przedmiocie). Paradoksalnie, można się zdarzyć, że uczynienie wiodącą kwestię dostępu, a precyzyjni, opierania ochrony danych osobowych na ich nieudostępnianie w określonych sytuacjach może być sprzeczne z RODO. Nawiązać można do wspomnianego wcześniej mylenia ochrony danych osobowych i ochrony dóbr osobistych. W RODO nie chodzi wyłącznie zapobieganie wyrządzania krzywd lub szkód poprzez przetwarzanie danych osobowych, lecz o sam fakt przetwarzania.

Cele RODO a realia jego wdrażania

Ostatnio sporo słychać o RODO. Właściwie można mówić wręcz o paranoi.  Nowe prawo o danych osobowych stosuje się od dnia 25 maja 2018 r. Nie umniejszam znaczenia nowych reguł. Jednak spotykane czasami głosy o rewolucji w ochronie danych osobowych uważam za przesadzone.

Stare i nowe prawo

Od razu trzeba wyjaśnić, że sytuacja wiąże się ze zmianami w zakresie przetwarzania danych osobowych. Zmianami. Nie są wprowadzane całkowicie nowe regulacje.

Na marginesie wyjaśnię, że RODO to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Aktowi temu towarzyszy polska ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Ustawa ta weszła w życie, podobnie jak RODO, w dniu 25 maja 2018 r.  Co ciekawe, polska ustawa została ogłoszona w Dzienniku Ustaw w ostatniej chwili, czyli w dniu 24 maja 2018 r. Ukazuje to zatem, że stan prawny był niepewny do samego końca. Zresztą, obowiązujące przepisy też nie są całkiem jasne, zatem stan prawny wciąż oczywisty nie jest.

Wracając jednak do sedna. Wskazana polska ustawa zastąpiła ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, która z kolei implementowała unijną dyrektywę. Krótko mówiąc, RODO, to kontynuacja ochrony danych osobowych, a nie przełomowe wydarzenie. Co wynika już z samej nazwy starej ustawy – dane osobowe podlegały ochronie od bardzo dawna, co więcej, na dość podobnych zasadach jak pod reżimem RODO.

Szaleństwo na punkcie RODO

Ostatnia popularność tematyki ochrony danych osobowych przełożyła się na znaczne spłaszczenie tej problematyki. Najgorsze podejście wiąże się z takim ujęciem, że wystarczy się dostosować na dzień 25 maja 2018. W sensie, że trzeba do tego czasu „załatwić” pewne formalności i dokonać określonych czynności, a potem jest już „luz”.  W efekcie takiego rozumowania, cele, które przyświecały nowemu prawu mogą zostać „rozmyte” i w ostatecznym rozrachunku niezrealizowane.

Tymczasem dokonanie nawet kompleksowego wdrożenia RODO wcale nie oznacza ostatecznego załatwienia sprawy. Ochrona danych osobowych to ciągłe zadanie. O dane trzeba dbać cały czas, a nie tylko w dniu 25 maja 2018.

Nierzadko wdrożenie RODO polega na swoistym przerzuceniu problematycznych kwestii na tych kogo dane dotyczą. Wiąże się to z kwestią faktycznego wymuszenia „zgody”. Moim zdaniem RODO powinno w niedalekiej przyszłości zostać zmienione tak, aby nie istniała możliwość „załatwienia” problematycznych zagadnień poprzez uzyskanie „zgody”. Zgoda powinna być ostatecznością, a jej wyrażenie obostrzone koniecznością spełnienia szeregu warunków. Tak aby nie można było jej wymusić. Komercyjne biznesy zaś nie powinny już obecnie być projektowane w oparciu o założenie, że uzyska się zgodę na przetwarzania danych osobowych.

Paranoja wokół RODO może również spowodować powstanie swoistego formalizmu dotyczącego danych osobowych. Formalizmu restrykcyjnego, nierozumnego i właściwie niezwiązanego z ochroną danych. Przesadna ochrona danych osobowych może doprowadzić do niezawiązana, a nawet wstrzymania realizacji, wielu projektów informatycznych. Oczywiście, jestem za wysokimi standardami ochrony danych osobowych. Jeśli projekt godzi w taką ochronę, to nie powinien być realizowany. Jednak powierzchowne wdrożenia jakie często obserwuje, w tym często jako zwykły odbiorca maili informacyjnych kierowych do klientów przez różne sklepy i portale, w gruncie rzeczy niezbyt służy o ochronie danych osobowych. Często jest to robione właśnie w duchu spełniania jakiś formalnych wymogów, a nie ze świadomością konieczności poszanowania autonomii informacyjnej jednostki.

Orwell w Internecie

Z przyrównania świata przedstawionego przez George Orwell w powieści „1984” do współczesnej przestrzeni internetowej nie wynikają zbyt optymistyczne wnioski. Co gorsza, trzeba uwzględnić, że wizja świata, z którą utożsamia się potocznie „1984” dotyczyła niewielkiej części społeczeństwa Oceanii. Powiązanie zaś współczesnej cywilizacji z Internetem jest coraz większe (warto choćby przywołać społeczno-polityczną rolę Facebooka). Zasięg pewnych niepokojących zjawisk w cyberprzestrzeni może zatem być większy niż w orwellowskiej Oceanii.

Wielki Brat Patrzy

Zaryzykuję tezę, że przestrzeń wirtualna wydaje się być wręcz zbudowana w oparciu o te same założenie co Oceania. Pomijam nawet odwołanie się do oczywistego skojarzenia z hasłem „Wielki Brat Patrzy”. To że czynności internautów mogą być monitorowane (i są) jest powszechnienie wiadome. Zresztą co chwilę spotykać można się w Internecie z żądaniem wyrażenia zgody lub innej formy akceptacji takiego permanentnego śledzenia (co najcześciej wiąże się z zagadnieniem cookies). Znów nawiązać można do Facebooka, z którego nawet każdy użytkownik może pobrać historię swojej aktywności.

Nowomowa

Niezmiernie ciekawym wątkiem orwellowskiego świata jest tworzenie w ramach nowomowy różnych skrótów. Spełnia to w Oceanii różne cele, ale generalnie służył po prostu dezorientacji. Niestety w przypadku niektórych obecnych regulacji prawnych związanych z Internetem (bezpośrednio lub pośrednio) jest podobnie.

Za przykład może posłużyć sytuacja wokół unijnego rozporządzenia dotyczącego ochrony danych osobowych, o którym ostatnio jest „głośno”. Zazwyczaj się nim straszy, przy jednoczesnej konkretyzacji faktów sprowadzającej się jedynie do ogólnego stwierdzenia, że będą nowe obowiązki i wysokie kary. Robi się to w sytuacji kiedy nie jest jeszcze znana ostateczna wersja polskiego prawa w tym zakresie, a zatem przy braku całokształtu legislacji.

Jednak nie o to straszenie samo w sobie mi chodzi, ale o to, że króluje skrót „RODO”.

Obecnie zatem jest tak, że jak się słyszy RODO, to już każdy wie, że mają być „jakieś” obowiązki i „jakieś” kary. Choć jestem przekonany, że jednak wiedza o tym czym w ogóle jest przetwarzanie danych osobowych (i o co chodzi z ochroną danych osobowych) jest dość ograniczona. Zapewne sporo osób wciąż utożsamia ochronę danych osobowych z ochroną dóbr osobistych.

Co jednak najważniejsze, doszło do powiązania RODO jako pewnego oznaczenia, można powiedzieć tworu nowomowy, z obawami i strachem. A czasami z nadzieją na lepsze. Czyli typowy Orwell. Może kwestia nowomowy to banał w świetle innych kwestii internetowych, ale za to wymowny:)

Orwell i social media

Najciekawszym jednak zjawiskiem w zakresie analizy Orwella w Internecie są social media. Nie chodzi tylko o dwukrotnie wcześniej przywoływanego Facebooka, ale o wszelkie ich postacie. Pomijam znowu oczywistości, że to pochłaniacze czasu, czy inaczej ujmując, stali towarzysze codziennego życia, choć są to kwestie podstawowe.

Niepokojące jest przede wszystkim sterowanie przekazem, czyli selekcja informacji. Znów pomijam okoliczność, że najcześciej wiąże się to z „treściami sponsorowanymi”. Ogólnie coraz częściej jak myślę o social media, to nasuwają mi się skojarzenia z orwellowskimi teleekranami. W szczególności wskazuje na to ich wszędobylstwo.

Personalizacja reklamy

Odnośnie do problematyki reklamy internetowej nasuwa się jeszcze jedna istotna kwestia (oprócz zagadnień wskazanych w poprzednim wpisie: „Reklama w Internecie”). Personalizacja reklamy. Nawet nieźle to funkcjonuje w ostatnich latach. W sensie działa dość inteligentce i trafnie. Dawniej wyniki były raczej bezsensowne. Na marginesie dodam, że nawet często mam wątpliwości czy tak świetne dostosowanie reklamy do moich bieżących potrzeb, to przypadek, czy może jednak świadome targetowanie reklamy.

Informacje o potencjalnym odbiorcy reklamy

Przedmiotowa kwestia na gruncie prawa wiąże się przede wszystkim z przetwarzaniem danych osobowych. Oczywiście o ile spełnione są przesłanki definicji danych osobowych. Dzisiejszy zakres śledzenia ruchu internetowego skłania jednak do przyjęcia, że większość użytkowników Internetu jest zidentyfikowanych. Czasami nawet ta identyfikacja jest pełna wskutek choćby popularności różnego typu kont na portalach społecznościowych.

Trzeba też zwrócić uwagę, że kwestia reklamy może mieć znaczenie wykraczające poza zagadnienia marketingowe. Działania reklamowe jednej ze europejskich społek amerykańskiej firmy Google stały się choćby przyczynkiem do statuowania na terytorium Unii Europejskiej prawa do bycia zapomnianym w wyszukiwarce internetowej. Miarodajny jest w tym zakresie wyrok Trybunału Sprawiedliwości Unii Europejskiej z 13.05.2014 r. (sygnatura C-131/12). Sprawa ta dotyczyła sporu Google Spain SL i Google Inc. przeciwko Agencia de Protección de Datos (AEPD) i Mario Costeja González.

Nowe regulacje

Istotne zmiany w tytułowej problematyce mogą wiązać się z rozpoczęciem stosowania nowej (unijnej) regulacji o danych osobowych, czyli rozporządzenia nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Jest to tzw. ogólne rozporządzenie o ochronie danych.

W szczególności warto podkreślić znaczenie przepisu art. 3 wspomnianego rozporządzenia. Określa on terytorialny zakres stosowania tego aktu prawnego. Zgodnie z przywołanym uregulowaniem rozporządzenie to ma zastosowanie do przetwarzania danych osobowych osób przebywających w Unii Europejskiej, przez podmiot niemających jednostek organizacyjnych na terytorium Unii Europejskiej, jeżeli czynności przetwarzania danych osobowych wiążą się z:

  • oferowaniem towarów lub usług takim osobom
  • lub monitorowaniem ich zachowania.

Monitorowanie zachowań konsumentów, a to jest przecież niezbędne dla spersonalizowania reklamy, stanowiłoby będzie zatem przesłankę związania unijnymi regulacjami podmiotów spoza Unii Europejskiej.

Monitoring sąsiedzki

W poprzednim wpisie poruszyłem kwestię monitoringu sklepowego. Nie jest to jednak jeszcze temat dostatecznie dobrze rozpoznany przez doktrynę i judykaturę. Co innego monitoring sąsiedzki. Sądy już kilkakrotnie zajmowały się pozwami wniesionymi przez osoby, które miały poczucie naruszenia ich dóbr osobistych przez sąsiada, który zainstalował monitoring. Oczywiście chodzi o sytuację kiedy monitoring sąsiedzki został tak zamontowany, że obejmował część posesji sąsiada lub choćby dojazd do ich posesji.

W tym wpisie będę odwoływał się jedynie do dwóch wyroków sądowych:

  • wyroku Sądu Apelacyjnego w Warszawie z 17 sierpnia 2016 r. (sygnatura akt: VI ACa 839/15),
  • i wyroku Sądu Apelacyjnego w Krakowie z dnia 28 maja 2014 r. (sygnatura akt: I ACa 184/14).

Monitoring sąsiedzki jest jednak przedmiotem również wielu innych spraw sądowych. Przywołuje tylko te dwa wyroki jako najbardziej reprezentatywne. Nadto są to roztrzygnięcia już prawomocne.

Zakazanie nagrywania przez sąd

W obu przytoczonych wyrokach sądy uznały, że poprzez stały monitoring sąsiedzki, obejmujący część posesji innych osób, doszło do naruszenia prawa do prywatności, a tym samym naruszenia dóbr osobistych, o jakich mowa w art. 23 i 24 Kodeksu cywilnego. Dodatkowo w sprawie o sygnaturze VI ACa 839/15 sąd wskazał, że oprócz prawa do prywatności naruszono również prawo do wizerunku (jako kolejne dobro osobiste).

Zdaniem obu sądów, powoływanie się pozwanego na względy bezpieczeństwa nie uzasadnia stałego monitorowania życia sąsiadów. Słuszne podejście. Bezpieczeństwo jest oczywiście ważne, ale, co częściowo wynika z tych wyroków, dbanie o swoje bezpieczeństwo nie może obywać się kosztem naruszania dóbr osobistych sąsiadów. Zwłaszcza, że to nie w obawie przed działaniami sąsiadów instaluje się monitoring sąsiedzki. W sprawie VI ACa 839/15 pojawił się przy tym ciekawy wątek, że sąsiad – właściciel monitoringu, powoływał się na konieczność funkcjonowania monitoringu w celu zapewnienia bezpieczeństwa, ale nie przeszkadzało mu, w kontekście dbałości o swoje bezpieczeństwo, że nie miał pełnego ogrodzenie swojej posesji:)

Co warto podkreślić, sądy (odwołuję się tutaj bezpośrednio do sprawy VI ACa 839/15) zakazywały rejestrowania za pomocą kamer:

  • obrazu budynku i posesji sąsiada,
  • a także wizerunku sąsiadów i innych osób przebywających w wyżej wymienionym budynku i na posesji.

Sądy nie nakazywały zatem demontażu monitoringu. Jest to słuszne, bo nie byłoby ku temu podstawy prawnej. Zakaz dotyczy jedynie nagrywania posesji sąsiadów. Kto chce zatem instalować monitoring, powinien tak ukierunkować kamery, aby obejmowały wyłącznie własną posesję. Nie powinny również, jak się wydaje, obejmować części wspólnych, przykładowo drogi wewnętrznej, chyba że wszyscy sąsiedzi wyrażą na to zgodę.

Zadośćuczynienie za monitoring sąsiedzki?

Nie jest wykluczone otrzymanie zadośćuczynienia pieniężnego za monitoring sąsiedzki. Jednak znacznie trudniej uzyskać zadośćuczynienie niż sądowy zakaz nagrywania. Podstawą prawną będzie art. 448 Kodeksu cywilnego. W wyżej przywołanej sprawie o sygnaturze VI ACa 839/15 sąd zasądzić 5000 zł zwadouśćuczunienia za monitoring od sąsiada (choć powodowie żądali 10000 zł). Z kolei w sprawie I ACa 184/14 sąd odmówił zasądzenia zadośćuczynienia (tutaj powodowie żądali 20000 zł).

Monitoring sklepowy

Niedawno przewinęła się przez media informacja, że jeden z sieciowych sklepów zainstalował przy kasie kamerę służącą rozpoznawaniu płci i wieku klientów. Informacje w tym zakresie były zdawkowe, zatem trudno odnieść się konkretnie i precyzyjnie do tej sprawy. Warto jedynie wskazać, że przy stosowaniu takiego rozwiązania trzeba zachować wysoką ostrożność prawną. Monitoring, w tym monitoring sklepowy, jest kontrowersyjnym zagadnieniem prawnym. Przede wszystkim dwie kwestie będą wyznaczały ramy prawne dopuszczalności używania monitoringu:

  • ochrona danych osobowych
  • i ochrona dóbr osobistych.

Monitoring sklepowy a ochrona danych osobowych

Odnoście do ochrony danych osobowych trzeba w pierwszej kolejności wskazać, że wizerunek osoby może być daną osobową. W sprawie dot. kamer przy kasach chodziło jednak nie tylko o nagrywanie. Utrwalony wizerunek służył do przypisania danej osobie konkretnych właściwości. Wiemy, że chodziło o rozpoznawania płci i wieku. Na marginesie warto dodać, że płeć i wiek nie są wrażliwymi danymi osobowymi w rozumieniu ustawy o ochronie danych osobowych. Wracając jednak do sedna. Nawet jeśli nagrania nie są przechowywane, to jednak choć przez krótką chwilę są one wykorzystywane do określenia płci i wieku. Uważam, że to wystarczy, aby w pełnym zakresie stosować ustawę o ochronie danych osobowych. Innymi słowy, usunięcie nagrań po ich wykorzystaniu nie anuluje ochrony jaka trwała w chwili zbierania, a potem na potrzeby określenie wieku i płci.

Mamy dość dobre prawo chroniące dane osobowe. Nie jest wprawdzie idealne, lecz rzeczywiście służy ochronie danych osobowych. Niestety bardzo często spotkam można się z uproszczoną interpretacją regulacji o ochronie danych danych, tj. taką jaka być może znalazłaby uzasadnienie w treści ustawy w jej brzmieniu w latach dziewięćdziesiątych. Można zatem powiedzieć, że to co byłoby zgodne z XX-wiecznym brzmieniem tej ustawy, nie jest już zgodne z jej wersją z XXI wieku.

Pomijam już okoliczność, że obecnie jesteśmy w okresie oczekiwania na rozpoczęcie stosowania unijnego rozporządzenia o ochronie danych osobowych (tj. rozporządzenie Parlamentu Europejskiego i Rady UE nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych).

Monitoring sklepowy o ochrona dóbr osobistych

Jednak nawet dopełnienie wymogów związanych z ochroną danych osobowych nie zwalnia z odpowiedzialności za naruszenie dóbr osobistych. Wydaje się, że monitoring sklepowy można oceniać przez pryzmat analogicznych sytuacji związanych z monitoringiem sąsiedzkim. Jest już kilka orzeczeń sądowych na ten temat. Napisze o nich chyba w kolejnym wpisie. W każdym razie, odwołać należy się zatem do ochrony prywatności i wizerunku. Podstawą prawną będzie art. 23 i 24 Kodeksu cywilnego. W mojej ocenie, nie można wykluczyć że zaistnieją sytuacje, w której klienci sklepów mogliby powołać się na naruszenie ich dóbr osobistych poprzez nagrywanie ich w czasie zakupów. Zwłaszcza jeżeli jest to działanie stałe (a nie jednostkowe), a sklep wyraźnie nie poinformował o nagrywaniu.

Kolejki w sklepach

Z okazji wzmożonych zakupów w okresie przedświątecznym warto napisać kilka słów o jednej z ostatnich nowości od Google – monitorowaniu natężenia ruchu w sklepach. Analiza kolejki w sklepach i innych obiektach najpewniej opiera się na podobnej, o ile nie takiej samej, metodzie jak w przypadku zbierania informacji o korkach na ulicach. Odsyłam w tym zakresie zatem do mojego wpisu sprzed kilku miesięcy „Skąd informacje o natężeniu ruchu na drogach w naszych telefonach?”.

Bieżąca analiza kolejki w sklepach

Przedmiotowe rozwiązanie nie jest całkowicie nowe. Już od dość dawna możliwe było, po wpisaniu nazwy sklepu w googlowej wyszukiwarce internetowej, otrzymanie w wynikach przekrojowych danych o natężeniu ruchu w sklepach, restauracjach i innych obiektach użyteczności publicznej. Nowością jest natomiast nałożenie na dane statystyczne (czyli opartych o analizę przeszłości), informacji o bieżącym natężeniu. W efekcie przed wizytą w sklepie można sprawdzić jakie jest aktualne natężenie ruchu. W uproszczeniu można zatem uznać, że dane te obrazują stan kolejki w sklepach. Prawdopodobnie realność i dokładność jest tym większa, im większy jest sklep. Wtedy dostępnych jest więcej danych (czyli głównie więcej klientów-nadajników), a zatem mniejsze ryzyko przypadkowości informacji. Wspomniałem o kwestii klientów-nadajników. Nie wygląda to może zbyt ładnie, ale taki jest przecież mniej więcej sens crowdsourcingu.

Dane geolokalizacyjne

Pod względem prawnym rozwiązaniu temu brakuje przejrzystości. Nie można w prosty sposób dowiedzieć się jakie informacje (jednak można do tych danych dotrze) i jak konkretnie są zbierane (z tym już gorzej). Jednak trzeba dostrzec, że rozwiązanie to jest darmowe i niezwykle użyteczne. Ewentualna „płatność” swoim danymi za dane o natężeniu ruchu w obiektach może okazać się zatem „opłacalna”:)

Ciekawym faktem jest, że informacje o natężeniu ruchu nie są prezentowane w ramach specjalnej aplikacji mobilnej. Widnieją one bezpośrednio w wynikach wyszukiwania. W przypadku mojego telefonu pojawia się jednak żądanie udostępnienia danych geolokalizacyjnych. Wychodzi zatem w sumie na to samo jak w przypadku aplikacji mobilnej. Przy czym w przypadku wyszukiwarki trzeba udostępniać dane geolokalizacyjne przy każdym poszukiwaniu z osobna.

Dane przedsiębiorcy

Dane personalne osoby fizycznej prowadzącej działalność gospodarczą są publicznie dostępne w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Można je zobaczyć bezpłatnie poprzez Internet. Nierzadko informacje o przedsiębiorcy pokrywają się z „prywatnymi” danymi osobowymi. Charakter prawny takich dany budził kontrowersje w świetle ochrony danych osobowych. Przepisy prawne zmieniały się w tym zakresie kilka razy. Były to zmiany radykalne. Przez pewien czas wskazywano, że dane przedsiębiorcy z CEIDG podlegają ustawie o ochronie danych osobowych, a kiedy indziej całkowicie odmiennie.

Dane przedsiębiorcy od 2016 roku

Kilka tygodni temu (dokładnie 19 maja 2016) weszły w życie zmiany dotyczące publicznie dostępnych danych przedsiębiorców z CEIDG. Z zasady do takich danych nie stosuje się ustawy o ochronie danych osobowych (wyjątki przedstawiam w kolejnym akapicie). Mówi o tym wprost nowy art. 39b ustawy o swobodzie działalności gospodarczej. Choć zatem dane przedsiębiorcy z CEIDG są danymi osobowymi w rozumieniu ustawy o ochronie danych osobowych, to jednak mocą przywołanego przepisu ustawy o swobodzie działalności gospodarczej nie stosuje się norm tej pierwszej ustawy.

(Nie)stosowanie ustawy o ochronie danych osobowych

Choć jak wspomniano z zasady do jawnych danych z CEIDG nie stosuje się ustawy o ochronie danych osobowych, to przewidziano dwa wyjątki:

  • po pierwsze, stosuje się regulację o uprawnieniach kontrolnych Generalnego Inspektora Ochrony Danych Osobowych, czyli art. 14–19a i art. 21–22a ustawy o ochronie danych osobowych,
  • po drugie, trzeba przestrzegać regulacji o zabezpieczeniu danych osobowych w postaci danych przedsiębiorcy, czyli stosowany jest cały rozdział 5 ustawy o ochronie danych osobowych.

Innych wyjątków niż powyższe nie ma. Oznacza to zatem, że nie stosuje się w przypadku danych przedsiębiorcy z CEIDG tak istotnych regulacji ustawy o ochronie danych osobowych, jak mówiących o:

  • zasadach przetwarzania danych osobowych, w tym o podstawach przetwarzania,
  • prawach osoby, której dane dotyczą,
  • rejestracji zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji,
  • przekazywaniu danych osobowych do państwa trzeciego.

Ograniczenia

Na zakończenie podkreślić należy, że nowy art. 39b ustawy o swobodzie działalności gospodarczej, wyłączający stosowanie ustawy o ochronie danych osobowych, dotyczy nie jakichkolwiek danych o przedsiębiorcy, ale jedynie tych, które są jawne i udostępniane przez CEIDG. Tylko wtedy z zasady, poza powyższymi wyjątkami, nie stosuje się ustawy o ochronie danych. Ponadto należy mieć na uwadze, że czymś innym jest wyłączenie stosowania ustawy o ochronie danych osobowych, a czymś innym udostępnianie oraz wykorzystywanie informacji z CEIDG (te ostatnie kwestie podlegają odrębnemu uregulowaniu).

Prywatność w Pokemon GO

Polityka prywatności Pokemon GO wydaje się standardowa. Nawet nawiązano w niej wprost do ochrony danych osobowych w Unii Europejskiej. Nie oznacza to jednak braku wątpliwości. Wynikają one z ogólności poszczególnych zapisów polityki prywatności, jak i niejasności „starych” wymogów prawa w odniesieniu do wirtualnej, a tym bardziej rozszerzonej rzeczywistości (dalej: AR – Augmented Reality). Trzeba mieć jednak na względzie, że bez relatywnie szerokiego wykorzystania danych osobowych, w tym związanych z geolokalizacją, gra po prostu nie działałaby w tak innowacyjny sposób.

User Name w Pokemon GO

Ciekawie wyglądają zapisy polityki prywatności dotyczące nieudostępniania danych innym graczom, poza nazwą użytkownika (dalej: User Name) i wiadomości przesyłanych do innych graczy (zob. pkt 2.a.ii polityki prywatności). Niby te dane nie identyfikują, ale wprost zastrzeżono, że nie dotyczy to przypadków, kiedy ktoś sam użył prawdziwego nazwiska lub innych danych identyfikacyjnych. Niby jest to dość logiczne, ale zagadnienie to powinno być bardziej wyeksponowane.

Na etapie uruchamiania gry nie jest oczywiste czy w cyberprzestrzeni będzie interakcja z innymi graczami, w tym całkowicie obcymi osobami. Nie można zatem określić na wstępie jak daleko trzeba kamuflować swoją tożsamość, aby nie być widocznym dla postronnych osób. Ma to dość istotne znaczenie w tym przypadku, ponieważ można sobie wyobrazić połączenie identyfikacji i rzeczywistej geolokalizacji. Jest to zatem coś więcej niż tożsamość na portalu społecznościowym, aczkolwiek tam również stosuje się czasami geolokalizację.

Nie znam jeszcze w pełni funkcjonalności Pokemon GO (jestem dopiero na 3 poziomie). Nie wiem w jakim stopniu jest to gra społecznościowa. Na razie dla mnie (z tego co widzę) Pokemon GO to gra jednego użytkownika i sporo osób może tak uważać. Gdyby było jasno określone, że w grze będą interakcje z innymi graczami to może inaczej podchodziliby oni do kwestii User Name.

E-mail przy aktywacji gry

Nie wiem również jak wygląda sprawa „widoczności” e-maila gracza w Pokemon GO. W polityce prywatności gry nie wyjaśniono tego, ale wydaje mi się, że przy uruchamianiu była podana informacji o udostępnianiu e-maila innym użytkownikom. Dodać warto, że aktywacja Pokemon GO wymaga integracji z kontem Googla. W polityce prywatności wspominają też o koncie na Facebooku jako alternatywnie, ale u mnie to nie działało.

Problem w tym, że przyjęło się, że konta na Gmailu tworzone są według schematu imię.nazwisko@gmail.com, a zatem jak został podany taki e-mail, to wymyślanie fantazyjnego User Name byłoby bez znaczenia. Na marginesie – jest już tyle zarejestrowanych graczy, że wymyślenie akceptowanego (niezajętego) User Name nie jest łatwe:)

Konieczność integracji z kontem Googla może sama w sobie budzić wątpliwości. Nie wiadomo dlaczego jest taka potrzeba. Można uznać, że ma to być ułatwienie, aby nie trzeba było mnożyć kont. W polityce prywatności wskazano, że chodzi o weryfikację. Nie można wykluczyć, że wiąże się to również z weryfikacją wieku użytkownika, ponieważ kwestia potrzeby zgody rodziców dla dzieci-graczy podkreślana w polityce prywatności.

Wniosek z powyższego jest taki, że jeśli ktoś chce być anonimowym graczem dla postronnych osób, to lepiej nie podawać ani w User Name, ani w nazwie e-maila, imienia i nazwiska.

PII i Log data w Pokemon GO

Po przeczytaniu polityki prywatności Pokemon GO mam wrażenie, że przyjęto tam dość wąskie rozumienie PII (Personally Identifiable Information, zob. pkt 2a.i. w polityce prywatności). Tymczasem w świetle prawa jest ono bardzo szerokie. Zgodnie z prawem obejmuje też to co w tej polityce prywatności określono mianem Log data (zob. pkt 2c polityki prywatności). Do PII zaliczyć też trzeba zatem również Log data, pomimo że nie wynika to wprost z polityki prywatności.

Warto tutaj wskazać jakie konkretne informacje obejmują Log data (zakres gromadzonych danych). Jak wskazana w polityce prywatności Pokemon GO są to m.in.:

  • adres IP użytkownika,
  • oznaczenie dostawcy sieci,
  • oznaczenie przeglądarki internetowej,
  • system operacyjny,
  • strony internetowej odwiedzane przed uzyskaniem dostępu,
  • czas spędzony na stronach lub usługach powiązanych z administratorem Pokemon GO,
  • wyszukiwane hasła,
  • kliknięte linki.

Jest to zatem dość typowy opis „statystyk” internetowych. Nie jest to jednak wyczerpujący katalog gromadzonych informacji. Mogą być również inne. W polityce prywatności wspomniano choćby o zbieraniu danych identyfikujących urządzenia mobilne.

Korzyści i zagrożenia

Ocena polityki prywatności powinna uwzględniać korzyści z gry. Jeśli Pokemon GO dostarcza komuś rewelacyjnych wrażeń, to czasami warto „zapłacić” podzieleniem się swoją prywatnością. Wiążą się z tym jednak konkretne negatywne konsekwencje i trzeba mieć ich świadomość.

Niemniej, na potrzeby popularnych mediów społecznościowych użytkownicy dokonali już tak daleko idącego ograniczenia prywatności, że Pokemon GO nie wyróżnia się szczególnymi zagrożeniami. W przypadku Pokemon GO jest nawet o tyle bezpieczniej, że nie zamieszcza się tam swoich zewnętrznych treści, jak przykładowo prywatnych zdjęć lub filmów. Problemem gry jest jednak przede wszystkim daleko posunięta geolokalizacja. Co ważne, hipotetycznie możliwe jest, aby geolokalizację połączyć z rejestracją video, ponieważ gra ma dostęp do kamerki (choć chyba można to wyłączyć).

Pokemon GO nie jest raczej super nowatorską grą. Jednak trzeba mieć na względzie, że wcześniej nie było na tyle mocnych smartfonów, aby udźwignąć tego typy gry. Ponadto, to tani Internet mobilny i publiczne Wi-Fi stwarza warunki do rozwoju takich gier. Z tych powodów wydaje się, że dopiero teraz można spodziewać się szerokiego spopularyzowania gier wykorzystujących AR.

Beacony

Beacony to niewielkie i tanie nadajniki, dzięki którym smartfon wie, w jakiej lokalizacji aktualnie się znajduje. Beacon poprzez bluetooth emituje sygnał, który aktywuje na smartfonie (w zainstalowanej tam aplikacji mobilnej) określone działania. Na marginesie jedynie wyjaśnię, że niekoniecznie beacony muszą być powiązane z smartfonem. Możliwe jest ich połączenie ze zwykłym komputerem. Jednak najlepiej, z uwagi na mobilność, sprawdzają się w tej roli właśnie smartfony.

Technologia beaconów jest bardzo prosta. Nierzadko brakuje jednak pomysłu na ich ciekawe wykorzystanie w praktyce. Niewątpliwie im bardziej skomplikowana funkcjonalność, tym problematyka prawna trudniejsza.

Warto dodać, że polscy dostawcy rozwiązań beaconowych radzą sobie relatywnie dobrze na rynków. Mogliby jednak jeszcze lepiej, gdyby nabywcy technologii potrafili ją dobrze wykorzystać. A z tym już gorzej. Niemniej perspektywy wydają się obiecujące.

Beacony w praktyce

Z kilku testowanych przeze mnie rozwiązań wykorzystujących beacony, pozytywnie oceniam te oferowane przez instytucje użyteczności publicznej. Są one po prostu funkcjonalne (przydatne). Nadto są łatwe w obsłudze.

Zdecydowanie gorzej prezentuje się obecne wykorzystanie beaconów przez podmioty komercyjne. Zachęcałbym te podmioty do zrewidowania swoich koncepcji. Zwłaszcza porzucenia kierunku skupiającego się na profilowaniu konsumentów (ta kwestia bezpośrednio wiąże się z problematyką prawną). Nie tędy droga. Nic z tego nie będzie w dłuższej perspektywie, ani dla klientów, ani też dla sklepu. Lepiej tak to skonstruować, aby poprzestać na zachęcaniu do dokonania zakupu towaru lub usługi.

Polecałbym beacony w szczególności galeriom handlowym i restauracjom. Stosowanie beaconów przez pojedyncze sklepy to jednak zbyt mało i istnieje ryzyko braku efektywności. W beaconach tkwi ogromny potencjał do poprawy obsługi klienta, w tym zachęcenia go do kolejnych zakupów. Dopiero jak już zostanie to dobrze zaimplementowane i sprawdzi się w praktyce, to można rozważyć profilowanie konsumentów.

Prawo a beacony

Kluczowy problem prawny z beaconami dotyczy szeroko rozumianego przesyłania informacji. Jeśli taka informacja nie jest zamawiana przez odbiorcę to jest SPAMem. Rozsyłanie zaś SPAMu jest zakazane. Samo zainstalowanie aplikacji mobilnej na smartfonie może nie być wystarczające do uznania, że została wyrażona zgoda na przesyłanie reklam. Zwłaszcza wobec faktu, że zgodna ta nie może być domniemana, a w takiej sytuacji właśnie dochodzi do domniemania. Projektując zatem komercyjne rozwiązania z beaconami należy oprzeć się na modelu, w którym zgoda na otrzymywanie reklam wyrażana jest wprost.

W przypadku profilowania konsumentów przy pomocy beaconów trzeba zaś uwzględnić prawne aspekty przetwarzania danych osobowych. Nie jest rekomendowane profilowanie. Jak wyżej wskazano, najcześciej psuje to użyteczność całego rozwiązania.

Ciekawym wątkiem prawnym związanym z beaconami jest wykorzystywania ich jako zabezpieczeń. Becony doczepione do przedmiotu mogą chronić ten przedmiot przed kradzieżą, gdyż ruch takiego przedmiotu może aktywować alarm. W takim stanie rzeczy rodzi się wątpliwość, czy odpowiedzialność karna za kradzież powinna być surowsza?

Szczegółowe kwestie prawne związane z beaconami opisałem w artykule pt. „Mikronawigacja przy wykorzystaniu beaconów” w prawniczym czasopiśmie naukowym „Monitor Prawniczy” (nr 10 z 2016 r.).