Dane podlegające ustawie o ochronie danych osobowych

W ostatnim czasie kilkukrotnie byłem pytany przez startup’owców o prawne możliwości posługiwania się danymi osobowymi na użytek prowadzonych przez nich portali internetowych. Najczęściej kwestie te dotyczą albo danych zbieranych przy zakładaniu konta (profilu) na tym portalu, albo prezentowaniu danych osobowych w celach informacyjnych. Oba przypadki są wielowątkowe i nie sposób zwięźle ukazać je w oderwaniu od struktury, funkcjonalności oraz przyczyn powstania konkretnego portalu internetowego.

Przedstawić chciałbym tylko jedną kwestię, która jest kluczowa, gdyż na tym polu często następuje niezrozumienie czym w ogóle jest ochrona danych osobowych. Pomyłki często wynikają z mylenia jej z ochroną dóbr osobistych (imię i nazwisko to również dobro osobiste), gdy tymczasem jest to całkowicie odrębne zagadnienie. Dla ochrony danych osobowych nie ma znaczenia czy narusza się czyjeś dobra osobiste. Działa to też w drugą stronę – działanie w interesie osoby, której dotyczą dane osobowe, np. reklamując ją, nie powoduje, że nie trzeba stosować ustawy o ochronie danych osobowych. Na marginesie jedynie wspomnę, że argument o bezpłatnym reklamowaniu kogoś, chyba kompletnie nigdy nie ma znaczenia prawnego, a tym samym taka linia obrony nie będzie skuteczna.

Wracając jednak do meritum – jednym z głównych problemów jest niewłaściwe pojmowanie danych osobowych. Czasami mogłoby się wydawać, że jak tych danych osobowych jest mało lub są one niezbyt istotne, to nie ma potrzeby stosowania ustawy o ochronie danych osobowych. To błędne podejście. Choć zakres danych ma znaczenie dla oceny proporcjonalności i celowości przetwarzania danych (co wynika z reguły niegromadzenia danych osobowych ponad potrzebę), to w zasadzie nie odgrywa większej roli dla określenia czy stosuje się ustawę czy nie (ze wszystkim tego konsekwencjami, jak choćby obowiązek rejestracji u GIODO, umożliwienia dostępu do danych i bezpieczeństwa).

Dla przedmiotowego zagadnienia miarodajny jest art. 6 ustawy o ochronie danych. Zgodnie z nim za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ustawa nie wymienia zatem konkretnych kategorii danych, lecz określa tak generalnie. Wskutek tego  zmniejszenie stopnia identyfikacji nie powoduje, że takie dane przestają być danymi osobowymi. Ponadto zwrócić należy uwagę, że zgodnie z przywołanym przepisem osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Wreszcie trzeba mieć na uwadze, że specyfika internetu spowodowała powstanie szczególnych informacji identyfikujących, jak choćby numer IP. Co więcej, wiele identyfikujących tego typu danych internetowych nierzadko „narzuca się” samych. Nie trzeba ich zatem ustalać lub pobierać manualnie, ale wyskakują one jako funkcjonalność systemów obsługujących infrastrukturę przestrzeni wirtualnej.

Nie każde przetwarzanie danych osobowych podlega jednak ustawie o ochronie danych osobowych. Przewidzianych jest kilka wyłączeń co do podmiotowego i przedmiotowego zakresu zastosowania ustawy o ochronie danych osobowych, przy czym zazwyczaj raczej nie będą one zachodziły w obecnych realiach przedsięwzięć internetowych. Zwłaszcza, że są to wyjątki i jako takie należy je interpretować ściśle.

Cywilnoprawne granice swobody wypowiedzi w Internecie

Niedawno ukazała się moja książka pt. „Cywilnoprawne granice swobody wypowiedzi w Internecie”. Zaprezentowałem w niej moje poglądy, ale wsparte dotychczasowym orzecznictwem sądowym i poglądami doktryny, na problematykę naruszenia dóbr osobistych poprzez przekroczenie granic swobody wypowiedzi. Granic tych nie można dokładnie określić, ponieważ każda sprawa wymaga indywidualnej oceny. Jednak można wyszczególnić kryteria pozwalające na ustalenie granic w konkretnym przypadku, czyli wyodrębnić okoliczności wpływające na zmniejszenie lub zwiększenie zakresu odpowiedzialności.

Każdy widzi, że język używany w Internecie jest specyficzny: dosadny i emocjonalny. Nierzadko wypisuje się coś bez zastanowienia. Ma to znaczenie dla oceny prawnej.

Skupiam się na problematyce cywilnoprawnej, ponieważ uważam, że jest ona najbardziej adekwatna dla sankcjonowania słownej krytyki. Neguję potrzebę ochrony prawnokarnej, czyli karania za przestępstwa, w szczególności wobec faktu, że ujęcie w precyzyjne ramy prawa karnego obiegu informacji w Internecie wydaje się mało realne z uwagi na coraz bardziej skomplikowaną konstrukcję przestrzeni wirtualnej.

W książce poruszam takie kwestie jak m.in.:

  • rola szerokiego kręgu odbiorców,
  • działanie publiczne i w interesie publicznym,
  • pośrednie (poprzez odesłania, czyli linki) rozpowszechnianie wypowiedzi,
  • trwałość wypowiedzi internetowej,
  • usunięcie skutków przekroczenia granic swobody wypowiedzi,
  • krytyka konsumencka,
  • współczesne pojmowanie prasy,
  • wypowiedzi w mediach społecznościowych, w komentarzach i na forach internetowych,
  • anonimowość i znaczenie tożsamości internetowej,
  • środki indywidualnego porozumiewania się na odległość (komunikatory elektroniczne).

Internet Rzeczy – raport prawny

Jakiś czas temu pisałem o moim referacie konferencyjnym „Perspektywy Internetu Rzeczy w świetle regulacji prawnych” (Warszawa, 14.10.2015). Przypominam o możliwości ściągnięcia tutaj bezpłatnego raportu prawnego dotyczącego przedmiotowej kwestii.

podziekowania

Dane zdrowotne w aplikacjach mobilnych

Kilkukrotnie pisałem już tutaj (kliknij poniżej w kategorię „e-Zdrowie”) o danych zdrowotnych jako wrażliwych danych osobowych. Takie dane podlegają szczególnej ochronie w oparciu o art. 27 ustawy o ochronie danych osobowych. Z zasady nie można ich przetwarzać.

Czym jednak są dane zdrowotne? Pojęcie „danych zdrowotnych” nie jest w pełni jasne. Z jednej strony można utożsamiać je z danymi medycznymi, a z drugiej ze wszystkim co dotyczy organizmu człowieka. Dla mnie bliższ jest to drugie stanowisko.

Wydaje się, że nie bez znaczenia jest nazwa nadawa usłudze przez przedsiębiorcę. Jeśli aplikacja mobilna promowana jest jako przetwarzająca dane zdrowotne, to wtedy nie powinno być wątpliwości, iż chodzi o dane zdrowotne. Skoro konstruktor apki zadeklarował, że zbiera „dane zdrowotne”, to niezależnie co rozumie on przez to pojęcie, należy uznać, że sprawa wiąże się z danymi wrażliwymi, o jakim mówi wspominany art. 27 ustawy o ochronie danych osobowych.

Perspektywy Internetu Rzeczy

W dniu 14.10.2015 r. w Warszawie w czasie konferencji będę miał okazję powiedzieć kilka słów nt. perspektyw Internetu Rzeczy w świetle regulacji prawnych. Aby nie przeciążać swojego referatu informacjami prawnymi, ale też aby pozostało z niego coś konkretnego, przygotowałem z tej okazji pisemne opracowanie „Perspektywy Internetu Rzeczy :: Raport Prawny”.

Zachęcam zatem do pobrania bezpłatnego opracowania w postaci pliku PDF (kliknij w obrazek, aby otworzyć lub pobrać).

InternetRzeczy

Unieważnienie Safe Harbor przez Trybunał Sprawiedliwości Unii Europejskiej

W sprawie C‑362/14 (Maximillian Schrems przeciwko Data Protection Commissioner) Trybunał Sprawiedliwości Unii Europejskiej orzekł nieważność Safe Harbor, która, w uproszczeniu ujmując, umożliwiała proste przesyłanie danych osobowych z państw członkowskich Unii Europejskiej do USA. A tymczasem na takim przesyłaniu danych, jak można przypuszczać, opiera się funkcjonowania sporej części, o ile nie wszystkich, usług Facebooka, Google, Apple i wielu innych portali i mediów. Sprawa ta zresztą dotyczyła wprost Facebooka, ale skutki dotkną wszystkich.

Nie należę do osób, które opowiadają się za silną ochroną danych osobowych, czemu kilkukrotnie dałem wyraz na niniejszym blogu. Jeśli ochrona ta przeszkadza w rozwoju technologicznym powinna zostać złagodzona. Ale stan prawny obecnie tego nie uwzględnia i daje absolutny priorytet ochronie danych osobowych. Tylko na marginesie wyjaśnię, że moje stanowisko wynika w szczególności z faktu, że istnieją tak duże możliwości wykorzystania nowych rozwiązań technologicznych w medycynie, w tym w zakresie e-zdrowia (zachęcam do przeczytanie moich postów na temat aplikacji zdrowotnych), iż prawo nie powinno stawiać bariery rozwojowych. Poza tym szerokie wykorzystywanie danych osobowych, zwłaszcza przez różnego typu aplikacje mobilne, znacząco poprawia wygodę codziennych czynności.

Jakie mogą być skutki orzeczenia?

Raczej amerykańscy giganci nie wycofają się z rynku europejskiego „na złość” organom unijnym. Albo tak ułożą biznes, że nie trzeba będzie przekazywać danych do USA, albo też znajdą inną drogę prawną ku takiemu przekazywaniu (jest nawet parę takich innych możliwości).

Obawiam się jednak, że może nastąpić odcięcie mieszkańców UE od nowoczesnych rozwiązań technologicznych, w tym bazujących na szeroko rozumianej sztucznej inteligencji, jak też z zakresu Internetu Rzeczy. Te rozwiązania muszą korzystać z danych osobowych, a jak nie będzie możliwości ich przetwarzania, to i rozwiązań nie będzie. Ewentualnie amerykańskie rozwiązania zaczną być stosowane w UE ze znacznym opóźnieniem.

Choć można też na problem patrzeć od tej strony, że rodzi się większe pole do działania dla firm europejskich, które będą mogły przeprowadzać w UE operacje na danych osobowych na znacznie lepszych warunkach niż firmy amerykańskie.

Beacony – mały test praktyczny apki polskiej firmy

Na wstępie zaznaczę, że każda krajowa firma wykorzystująca beacony w relacjach z potencjalnymi klientami zasługuje na pochwałę i uznanie. Zwłaszcza jeśli jest to sklepem w galerii handlowej, ponieważ tym samym bierze on na swoje barki ciężar popularyzacji beaconów. Takie firmy w gruncie rzeczy są pionierami w tej dziedzinę – mają szanse na wybicie się, ale też ponoszą duże ryzyko porażki.

Miałem okazję wypróbować apkę polskiego sklepu wykorzystującego beacony. W mojej ocenie zastosowane rozwiązanie jest zbyt mało atrakcyjne dla klienta. Poza tym jest zbyt kłopotliwe. Trzeba być zalogowanym, a w sklepie ręcznie wyszukiwać apki na telefonie i ją uruchamiać. Jedyną korzyścią dla klienta jest rabat (zresztą niewielki), ale to zbyt mało aby zachęcić. Można założyć, że w tym konkretnym przypadku dla klienta zdecydowanego na zakup w tym sklepie, to czy sklep używa beaconów będzie bez znaczenia. Z kolei niezdecydowanego nie przekona – może nawet nie będzie mu się chciało odpalić apki.

W mojej ocenie w tym przypadku niepotrzebnie zdecydowano się, jak mniemam, na profilowanie konsumentów. Żadnych z tego korzyści, ponieważ zapewne mało kto korzysta z tego rozwiązania i po prostu  nie ma kogo profilować. Rodzi to natomiast jedynie problemy prawne z ochroną danych osobowych i być może zniechęca do korzystania z apki.

Dane osobowe a dobra osobiste

Często spotykam się z utożsamianiem pojęć „dane osobowe” i „dobra osobiste”. Nie jest to całkiem błędne biorąc pod uwagę praktyczne aspekty, ponieważ najczęściej naruszenie jednego, stanowić będzie również naruszenie drugiego. Jednak z punktu widzenia prawa są to dwie odrębne kategorie. Nie przekreśla tego ich nakładanie się.

Dane osobowe chronione są mocą ustawy o ochronie danych osobowych.

Z kolei dobra osobiste chronione są przepisami Kodeksu cywilnego.

Ochrona danych osobowych krzyżuje się nie tylko z ochroną dóbr osobistych, ale często z ochroną dobrego imienia i czci (chronioną przez przepisy Kodeksu karnego) i ochroną wizerunku (chronionym przez prawo autorskie). Wspomniane regulacje ochronne z zasady nie wykluczają się. Można zatem jednocześnie korzystać z różnych podstaw ochrony, ewentualnie wybrać jedną z nich według własnego uznania.

Charakter prawny lajków

W mojej ocenie, w świetle prawa lajki np. na Facebooku traktować należy jako oświadczenia wiedzy. Lajkowanie z zasady nie zobowiązuje do niczego, a jedynie stanowi  wyraz tego, że oceniamy coś jako fajne, czyli oświadczamy swoją wiedzę na dany temat .

Nie jest wykluczone jednak złożenie poprzez lajka oświadczenia woli (a nie wiedzy), czyli takiego oświadczenia, z którego będą wynikały określone prawa i obowiązki.

Inaczej przedstawiając kwestię, istnieje mozliwość, że poprzez danie lajka zostanie zawarta umowa. Wymagałoby to jednak zajścia szczególnych okoliczności, w szczególności w poście pod którym się lajkuje konieczne byłoby jednoznaczne oświadczenie o konsekwencja dania lajka. Nie może być wtedy wątpliwości, iż następuje odstępstwo od zwyczaju jakim jest posługiwanie się lajkiem jako oświadczeniem woli.