Co oznacza przetwarzanie danych osobowych?

We wpisach na tym blogu wielokrotnie pojawia się pojęcie przetwarzania danych. Staram się go zresztą unikać w celu minimalizowania typowo prawniczego żargonu, ale czasami posłużenie się nim jest najprostszym rozwiązaniem. Ogólnie ujmując przetwarzanie danych osobowych to wszystko to co robi się z danymi osobowymi. Zatem jak coś robi się z danymi, to się je przetwarza:)
Ustanowiona w art. 7 pkt 2 ustawy o ochronie danych osobowych definicja przetwarzania danych mówi, że przez przetwarzanie danych rozumie się „jakiekolwiek operacje wykonywane na danych osobowych”, a nadto wprost określa przykładowy katalog takich operacji, tj.:
  • zbieranie,
  • utrwalanie,
  • przechowywanie,
  • opracowywanie,
  • zmienianie,
  • udostępnianie,
  • usuwanie.

W ustawie podkreślono, że z przetwarzaniem wiążą się zwłaszcza operacje, które wykonuje się w systemach informatycznych.

Z kolei za dane osobowe, czyli informacje, które się przetwarza, uważa się w myśl art. 6 ust. 1 ustawy o ochronie danych osobowych, wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Podstawa przetwarzania danych osobowych w Internecie Rzeczy

W  przypadku Internetu Rzeczy aktualne są te same podstawy przetwarzania danych osobowych co w każdym innym przypadku. Dla Internetu Rzeczy nie ma  szczególnych regulacji w tym zakresie. W oparciu o art. 23 ust. 1 ustawy o ochronie danych osobowych można wskazać kilka sytuacji (tzw. podstaw przetwarzania), w których dopuszczalne jest przetwarzanie danych osobowych:

  1. Przetwarzanie za zgodą osoby, której dotycząca dane, przy czym:
    • zgoda ta może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania,
    • wyjątkiem jest usunięcie danych – wtedy nie trzeba zgody,
    • bez zgody można przetwarzać (do czasu, gdy uzyskanie zgody będzie możliwe) również kiedy przetwarzanie to jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest niemożliwe,
  2. Przetwarzanie danych jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (obecnie jednak nie sposób wskazać jakiegoś miarodajnego przepisu prawa),
  3. Przetwarzanie jest konieczne do realizacji umowy lub do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (dotyczy to zatem jedynie zawiązania stosunku prawnego),
  4. Przetwarzanie jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (trudno to sobie wyobrazić w przypadku mobilnych apek),
  5. Przetwarzanie jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel uważa się w szczególności:
  • marketing bezpośredni własnych produktów lub usług administratora danych;
  • dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Specyficzna wymogi dotyczą danych wrażliwych, o czym pisałem w poprzednich wpisach.
Mając powyższe na uwadze najbardziej adekwatną podstawą do przetwarzania danych osobowych w przypadku Internetu Rzeczy jest zgoda osoby, które dane dotyczą. Nie można jednak wykluczyć rownież powołania sie na prawnie usprawiedliwione cele.

Z Endomondo na Facebooka

We wpisie „Aplikacje do biegania a dane osobowe” poruszyłem kilka kwestii dotyczących prawnych aspektów aplikacji mobilnych wspierających biegaczy.

Wskazałem tam, że jest różnica prawna czy zebrane informacje o biegu i biegaczu są tylko w telefonie, czy też trafiają na zewnętrzny serwer właściciela danej apki.

A co zatem z sytuacjami, kiedy biegacz wrzuca na Facebooka wyniki swojego biegu (ewentualnie również inne dane). Jeśli traktować te dane jako dane wrażliwe, to w takiej sytuacji dopuszczalne może być przetwarzanie tych informacji, nawet bez zgody, w oparciu o art. 27 ust. 2 pkt 8 ustawy o ochronie danych osobowych. Zgodnie z tym przypisem przetwarzanie wrażliwych danych osobowych jest dopuszczalne, jeżeli przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą. Takim podaniem do publicznej wiadomości jest właśnie zamieszczenia informacji na Facebooku. Trudno o dalej posunięte podanie do publicznej wiadomości.

Gdzie jest Facebook?

Lokalizacja przestrzenna portali społecznościowych może mieć istotne znaczenie prawnie, ale czasami może nie odgrywać żadnej roli. Oczywiście, odpowiedzią na pytanie o lokalizację portalu nie jest wskazanie, że „znajduje się w Internecie”. Internet nie jest przestrzenią w rozumieniu prawa. W świetle prawa, zdarzenie prawne ma miejsce przykładowo w Warszawie lub Nowym Jorku, albo szerzej: Polsce lub USA. Dlatego wszystko co się dzieje w Internecie trzeba przyporządkować konkretnemu (rzeczywistemu) miejscu. Nie jest to łatwe zadanie. Od razu wskazać należy, że miejsce położenia serwera, czyli to miejsce, gdzie faktycznie przetwarzane są dane, niekoniecznie musi mieć znaczenie dla prawa (najczęściej nie będzie miało lub pełnić będzie jedyne pomocniczą rolę).

Odróżnić należy jednak dwa rodzaje stosunków prawnych związanych z portalami społecznościowymi (kryterium podziału jest układ podmiotowy):

  1. te zachodzące pomiędzy „właścicielem” portalu a internautami i innymi osobami,
  2. oraz stosunki prawne pomiędzy dwoma internautami lub innymi osobami, którzy wybrali portal jako sposób komunikacji.

Dwa przykłady na powyższe rozróżnienie:

  • taka sytuacja: aukcja na portalu aukcyjnym – jeden stosunek prawny prawny to stosunek pomiędzy sprzedającym i portalem, a drugi to pomiędzy sprzedającym i kupującym,
  • oraz taka sytuacja: obraźliwy komentarz pod artykułem w gazecie internetowej – jeden stosunek prawny zachodzi pomiędzy autorem komentarza i obrażonym, a drugi pomiędzy tą gazetą internetową i obrażonym.

Nie zawsze zatem strona stosunku prawnego jest portal. Nie ma wtedy znaczenia gdzie znajduje się dana witryna internetowa, przykładowo w jakim państwie ma siedzibę podmiot ją prowadzący. Jednak kiedy stroną stosunku prawnego jest portal, wtedy najczęściej będzie konieczne dokonanie lokalizacji przestrzennej zdarzenia prawnego. Każda dziedzina prawa (np. prawo cywilne lub prawo karne) ma swoje przepisy, które regulują takie kwestie. Nie ma jednej zasady, która wskazywałaby gdzie jest Facebook. Czasami istotna będzie siedziba podmiotu prowadzącego portal, a czasami jedynie miejsce gdzie nastąpiły skutki zdarzenia lub miejsce, w którym wystąpiły przyczyny prowadzące do negatywnych zjawisk.

Aplikacje do biegania a dane osobowe

Znane mi apki wspierające bieganie wymagają założenia konta (profilu użytkownika). Tym sam nie ma wątpliwości, że dochodzi do gromadzenie danych osobowych. Pytanie jednak czy te dane gromadzone są jedynie w smartfonie, czy też może trafiają gdzieś dalej? Jeśli konto które zakładamy w aplikacji mobilnej umożliwia zalogowanie się do konta na portalu internetowym, to tym samym oczywiste jest, że te dane musiały zostać przekazane z telefonu na zewnętrzny serwer. W efekcie nie ma wątpliwości co do potrzeby ochrony takich danych i, w przypadku polskiego prawa, stosowania ustawy o ochronie danych osobowych.

Aplikacje służące bieganiu gromadzą jednak nie tylko informacje o przebiegniętych kilometrach, lecz również informacje, które mogą zostać zakwalifikowane jako dane zdrowotne w rozumieniu art. 27 ustawy o ochronie danych osobowych. Byłyby to zatem wrażliwe dane osobowe, przetwarzanie których możliwe jest tylko w ściśle określonych przypadkach. Co istotne, warunki ich przetwarzania zostały tak skonstruowane, że zazwyczaj nie sposób ich spełnić w przypadku aplikacji mobilnych, ewentualnie uczynienie im zadość wymagałoby tak daleko idących komplikacji, iż zniechęcałoby to do posługiwania się aplikacją mobilną.

Fundamentalnym problemem prawnym w przypadku aplikacji mobilnych dedykowanych biegaczom, podobnie jak w przypadku aplikacji typowo zdrowotnych, jest przetwarzanie wrażliwych danych osobowych. Sama informacja o przebiegniętej trasie nie jest dana zdrowotną, ale inne dane w tych aplikacjach zamieszczane mogą już mieć taki charakter. Nie ma nawet znaczenia na ile są to dane rzetelne – ważne, że opisują parametry organizmu biegacza.

Dwa kluczowe problemy Internetu Rzeczy

Gdyby chcieć krótko odpowiedzieć na pytanie:

Dlaczego Internet Rzeczy jest taki problematyczny z punktu widzenia prawa?

to wskazać należy dwa powody, które przewijają się w większości opracowań dotyczących Internetu Rzeczy:

po pierwsze,

W Internecie Rzeczy kontaktują się pomiędzy sobą nie ludzie, lecz maszyny.

a po drugie,

W Internecie Rzeczy dane osobowe pełnią rolę danych technicznych.

Dane zdrowotne w kontekście zakresu podmiotowego ustawy

Aby dane zdrowtne kwalifikować bądź pod art. 6 ustawy o ochronie danych osobowych (czyli regulacji mówiącej kiedy mamy do czynienia z danymi osobowymi), bądź art. 27 tej ustawy (czyli przepisy określające kiedy dane mają charakter „wrażliwy”), w pierwszej kolejności trzeba rozważyć czy podmiot przetwarzający te dane podlega pod zakres podmiotowy polskiej ustawy o ochronie danych osobowych. Dla uproszczenia wywodu, który chyba i tak prosty nie będzie, za podmiot przetwarzający uznam „właściciela” apki.

Na pewno jeśli podmiot taki ma siedzibę lub miejsce zamieszkania w Polsce to podlega pod polską ustawę o ochronie danych osobowych. Przetwarzanie danych osobowych musi również mieć związek z działalnością zarobkową, zawodowa lub służyć realizacji celów statutowych, ale zakładam, że te wymogi są zawsze spełnione, ponieważ raczej nikt nie będzie budował apki zdrowotnej kierują się innymi powodami.

Jednak nie tylko siedziba i miejsca zamieszkania określa zakres podmiotowy regulacji chroniących dane osobowe. Polskiej ustawy o ochronie danych osobowych przestrzegać muszą również podmioty mające siedzibę w państwie trzecim, czyli poza Polską, o ile przetwarzają one dane osobowe przy wykorzytsaniu środków technicznych znajdujących się na terytorium Polski. Jednak ustawy nie stosuje się jeżeli takie środki techniczne umiejscowione w Polsce służą wyłącznie do przekazywania danych. Nie jest jednak jasne co to znaczy „środki techniczne znajdujące się na terytorium Polski” oraz „przekazywanie danych”. Wątpliwości co do znaczenia tych pojęć powodują, że mając do czynienia z jakąś aplikacją, czy też szerzej systemem teleinformatycznym, nie wiadomo na 100% czy powinny przestrzegać polskich regulacji dotyczących ochrony danych osobowych.

Dla polskich przedsiębiorców kluczowe jest związanie polską ustawą w oparciu o siedzibę. Niezależnie zatem, gdzie przetwarzają dane, to z uwagi na siedzibę związani są polską ustawą o ochronie danych osobowych.

Dane o zdrowiu jako dane osobowe

Tak jak wskazałem w poprzednim wpisie dziś kilka słów na temat uznania danych zdrowotnych za dane osobowe. Nie będzie zatem o ich kwalifikowaniu jako „wrażliwe” dane osobowe (o tym w poprzednim poście), ale czy w ogóle są to dane osobowe. Aby były to dane osobowe muszą to być, zgodnie z art. 6 ustawy o ochronie danych osobowych, informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Jeśli apka wymaga logowania, czyli założenia w jej ramach konta (profilu) użytkownika, to z zasady można wtedy mówić o danych osobowych. Odmiennie w przypadku kiedy dane są całkowicie anonimowe. Jednak nie jest zbytnio jasne co w cyberprzestrzeni jest anonimowe. Prosty przykład: nie wiem czy dane gromadzone w applowksiej apce Zdrowie są czy nie są anonimowe. Niby nie ma tam żadnego mojego konta, ale z drugiej strony cały telefon jest podpięty pod moją tożsamość. Konieczne byłoby zatem głębsze zbadanie tej apliakcji, jak i każdej innej.

W każdym razie wniosek jest krótki: aby informacje zdrowotne były danymi osobowymi muszą dotyczyć zindetyfikowanej lub możliwej do zidentyfikowania osoby (bezpośrednio lub nawet pośrednio).

Dane zdrowotne jako WRAŻLIWE dane osobowe

Poruszałem już na tym blogu kwestię aplikacji zdrowotnych. Prawdopodbnie będę też do tego zagadnienia wielokrotnie wracał. Zachęcam do zapoznania się z nimi poprzez kliknięcie w przypisany do tego wpisu tag/kategorię „Zdrowie”, ponieważ nie powtarzam róznych problemów, ale czasami, aby zrozumieć jeden z nich, trzeba uwzględnić szerszy kontekst. Ten szerszy kontekst tworzy zaś włąsnie zbiór wpisów na tym blogu:)

Dlaczego zająłem się tym tematem? Uważam, że tego typu apki „mają przyszłość”, dlatego przepisy prawne powinny wspierać ich rozwój. Niestety tak nie jest. Obecnie obowiązujące prawo troche innaczej postrzegało cele przetwarzania danych zdrowotnych. Można śmiało założyć, że twórcy ustawy o ochronie danych osobowych nie mieli wyobrażenia, że dane zdrowtne mogą być przetwarzana w celach „samoleczenia”, a zatem służyć głównie osobie, której te dane dotyczą. Samoleczenie nie wyklucza przy tym, że właściciel apki w jakiś sposób będzie czerpał z niej zysk.

W jednym z poprzednich wpisów zasygnalizowałem problem zakwalifikowania danych zdrowotnych jako „wrażliwych” danych osobowych, które to podlegają szczególnej ochronie (krótko mówiąć: poza kilkama wyjątkami przetwarzanie takich danych jest zabronione na równi z informacjami o poglądach politycznych, wyznaniu i zyciu seksualnym). To jeden z trzech kluczowych problemów na gruncie ochrony danych osobowych – drugi dotyczy bardziej generalnego rozstrzygnięcia czy dane zdrowotne są w ogóle danymi osobowymi, a trzeci czy „właściciel” apliakcji podlega pod zakres przedmiotowy polskiej ustawy o ochronie danych osobowych.  Innymi słowy, są trzy zagadnienia:

  1. czy dane zdrowotne są „wrażliwymi” danymy osobowymi?
  2. czy dane zdrowotne są w ogóle „danymi osobowymi”?
  3. czy apka gromadząca dane zdrowtne podlega pod zakres podmiotowy polskiej ustawy o ochornie danych osobowych?

Jest jeszcze jeden ogólny problem, ale mający wymiar techniczny. Aby problem ochrony danych osobowych zaistniał z zasada dane te powinny być przesyłane na zewnętrzny serwer. Jeśli dane osobowe „nie opuszczają” smartfona to zazwyczaj nie zajdzie problem ochrony danych osobowych – nie jest to jednak całkowicie wykluczone, gdyż wszystko zależy od konstrukcji apki i modelu biznesowego.

W tym wpisie zajmię się pierwszą kwestią, drugą w jutrzejszym, a trzecią kiedyś tam. Zaczynam zatem od problemu szczegółowego, a tematy ogólniejsze (wstępne) przedstawię w dalszej kolejności. Choć jest to wbrew logice, to jednak gdyby uznać, że dane zdrowotne nie są danymi wrażliwymi w rozumieniu ustawy o ocronie danych osobowych, to tematy ogólniejsze stają się już mało porywające:)

Odpowiedz na pytanie czy dane zdrowotne są wrażliwymi danymi osobowymi, czyli takimi o jakich mówi art. 27 ustawy o ochronie danych osobowych, zależy zawsze od konkretnej aplikacji zdrowotnej. Różnie przecież można skonfugurować apki, przez co mogą wykorzystywać odmienne informacje. Przyjmę tutaj za bazową applowską apkę „Zdrowie” (dostępną chyba tylko w IOS > 8 i raczej tylko na urządzeniach nowszej generacji – być może dostępna jest tylko w iPhone 6 i 6 plus, a niedługo w „s”). W przypadku innych apek można poczynić analogię do poniższych twerdzeń.

Przedmiotowa apka umożliwia gromadzenie m.in. takich informacji:

  • ciśnienie tętnicze,
  • częstotliwość skurczów,
  • temperatura,
  • tętno,
  • masa mięśniowa,
  • tkanka tłuszczowa,
  • waga,
  • cukier we krwi,
  • nasycenie tlenem,
  • indeks perfuzji obwodowej.

W mojej ocenie wszystkie z tych tych informacji to dane zdrowotne w rozumieniu art. 27 ustawy o ochronie danych osobowych, a zatem są to dane wrażliwe. Zresztą nawet w apce „Zdrowie” są nazwane jako „Dane zdrowotne”. Wydaje mi się, że obecnie nimałej części tych danych nie można jeszcze wprowadzić do tej apki z powodu braku stosownych urządzeń wejściowych. Ja znam póki co tylko Apple Watcha jako urządzenie, które pozwalałoby na dostarczenie części tych danych.

Powyższe nie wystarczy do uznania, że cała apka podlega pod regulację ustawy o ochronie danych osobowych, w tym pod art. 27 tej ustawy traktującej o danych wrażliwych. Konieczne jest również, aby były to dane osobowe, czyli dane identyfikujące konkretną osobę – o tym, jak już zapowiedziałem powyżej, w jutrzejszym wpisie.

 

Zgoda na przetwarzanie danych w celu zakupu towarów w sklepie internetowym

Robiąc zakupy w Internecie prawie zawsze można się natknąć na opcje do odhaczenia o brzmieniu: „wyrażam zgodę na przetwarzanie moich danych osobowych w celu wykonania umowy”. Ogólnie rzecz ujmując, to uważam, że dobrze, iż takie opcje są do odznaczenia (niezależnie od wymogów prawnych), ponieważ uwidacznia to konsumentowi fakt podawania swoich danych osobowych oraz zwraca uwagą na ich przetwarzanie przez sklep. Jednak zgoda na przetwarzaniu danych osobowych w celu wykonania umowy często jest niepotrzebna.

Wprawdzie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych stanowi, że „przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę”, ale art. 23 ust. 1 pkt 3 tej ustawy mówi, że przetwarzanie możliwe jest również bez zgody, o ile „jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą”. Sklep internetowy z mocy prawa jest zatem uprawniony do przetwarzani danych osobowych w celu realizacji umowy. Nie musi mieć zgody. Faktycznie jednak często taka zgoda dotyczy bardziej prowadzenia profilu osobistego na portalu, aniżeli realizacji konkretnej umowy. Wtedy jest wymaga, ponieważ trudno wiązać funkcjonowanie profilu osobistego z realizacją konkretnej (a zatem pojedynczej) umowy.

Przy okazji tylko wskaże, że ewentualne wiązanie zgody na przetwarzanie danych osobowych w celu realizację umowy z innymi celami (np. marketingowymi) jest niedopuszczalne. Naruszałoby to interesy konsumentów.