- zbieranie,
- utrwalanie,
- przechowywanie,
- opracowywanie,
- zmienianie,
- udostępnianie,
- usuwanie.
W ustawie podkreślono, że z przetwarzaniem wiążą się zwłaszcza operacje, które wykonuje się w systemach informatycznych.
W ustawie podkreślono, że z przetwarzaniem wiążą się zwłaszcza operacje, które wykonuje się w systemach informatycznych.
W przypadku Internetu Rzeczy aktualne są te same podstawy przetwarzania danych osobowych co w każdym innym przypadku. Dla Internetu Rzeczy nie ma szczególnych regulacji w tym zakresie. W oparciu o art. 23 ust. 1 ustawy o ochronie danych osobowych można wskazać kilka sytuacji (tzw. podstaw przetwarzania), w których dopuszczalne jest przetwarzanie danych osobowych:
We wpisie „Aplikacje do biegania a dane osobowe” poruszyłem kilka kwestii dotyczących prawnych aspektów aplikacji mobilnych wspierających biegaczy.
Wskazałem tam, że jest różnica prawna czy zebrane informacje o biegu i biegaczu są tylko w telefonie, czy też trafiają na zewnętrzny serwer właściciela danej apki.
A co zatem z sytuacjami, kiedy biegacz wrzuca na Facebooka wyniki swojego biegu (ewentualnie również inne dane). Jeśli traktować te dane jako dane wrażliwe, to w takiej sytuacji dopuszczalne może być przetwarzanie tych informacji, nawet bez zgody, w oparciu o art. 27 ust. 2 pkt 8 ustawy o ochronie danych osobowych. Zgodnie z tym przypisem przetwarzanie wrażliwych danych osobowych jest dopuszczalne, jeżeli przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą. Takim podaniem do publicznej wiadomości jest właśnie zamieszczenia informacji na Facebooku. Trudno o dalej posunięte podanie do publicznej wiadomości.
Lokalizacja przestrzenna portali społecznościowych może mieć istotne znaczenie prawnie, ale czasami może nie odgrywać żadnej roli. Oczywiście, odpowiedzią na pytanie o lokalizację portalu nie jest wskazanie, że „znajduje się w Internecie”. Internet nie jest przestrzenią w rozumieniu prawa. W świetle prawa, zdarzenie prawne ma miejsce przykładowo w Warszawie lub Nowym Jorku, albo szerzej: Polsce lub USA. Dlatego wszystko co się dzieje w Internecie trzeba przyporządkować konkretnemu (rzeczywistemu) miejscu. Nie jest to łatwe zadanie. Od razu wskazać należy, że miejsce położenia serwera, czyli to miejsce, gdzie faktycznie przetwarzane są dane, niekoniecznie musi mieć znaczenie dla prawa (najczęściej nie będzie miało lub pełnić będzie jedyne pomocniczą rolę).
Odróżnić należy jednak dwa rodzaje stosunków prawnych związanych z portalami społecznościowymi (kryterium podziału jest układ podmiotowy):
Dwa przykłady na powyższe rozróżnienie:
Nie zawsze zatem strona stosunku prawnego jest portal. Nie ma wtedy znaczenia gdzie znajduje się dana witryna internetowa, przykładowo w jakim państwie ma siedzibę podmiot ją prowadzący. Jednak kiedy stroną stosunku prawnego jest portal, wtedy najczęściej będzie konieczne dokonanie lokalizacji przestrzennej zdarzenia prawnego. Każda dziedzina prawa (np. prawo cywilne lub prawo karne) ma swoje przepisy, które regulują takie kwestie. Nie ma jednej zasady, która wskazywałaby gdzie jest Facebook. Czasami istotna będzie siedziba podmiotu prowadzącego portal, a czasami jedynie miejsce gdzie nastąpiły skutki zdarzenia lub miejsce, w którym wystąpiły przyczyny prowadzące do negatywnych zjawisk.
Znane mi apki wspierające bieganie wymagają założenia konta (profilu użytkownika). Tym sam nie ma wątpliwości, że dochodzi do gromadzenie danych osobowych. Pytanie jednak czy te dane gromadzone są jedynie w smartfonie, czy też może trafiają gdzieś dalej? Jeśli konto które zakładamy w aplikacji mobilnej umożliwia zalogowanie się do konta na portalu internetowym, to tym samym oczywiste jest, że te dane musiały zostać przekazane z telefonu na zewnętrzny serwer. W efekcie nie ma wątpliwości co do potrzeby ochrony takich danych i, w przypadku polskiego prawa, stosowania ustawy o ochronie danych osobowych.
Aplikacje służące bieganiu gromadzą jednak nie tylko informacje o przebiegniętych kilometrach, lecz również informacje, które mogą zostać zakwalifikowane jako dane zdrowotne w rozumieniu art. 27 ustawy o ochronie danych osobowych. Byłyby to zatem wrażliwe dane osobowe, przetwarzanie których możliwe jest tylko w ściśle określonych przypadkach. Co istotne, warunki ich przetwarzania zostały tak skonstruowane, że zazwyczaj nie sposób ich spełnić w przypadku aplikacji mobilnych, ewentualnie uczynienie im zadość wymagałoby tak daleko idących komplikacji, iż zniechęcałoby to do posługiwania się aplikacją mobilną.
Fundamentalnym problemem prawnym w przypadku aplikacji mobilnych dedykowanych biegaczom, podobnie jak w przypadku aplikacji typowo zdrowotnych, jest przetwarzanie wrażliwych danych osobowych. Sama informacja o przebiegniętej trasie nie jest dana zdrowotną, ale inne dane w tych aplikacjach zamieszczane mogą już mieć taki charakter. Nie ma nawet znaczenia na ile są to dane rzetelne – ważne, że opisują parametry organizmu biegacza.
Gdyby chcieć krótko odpowiedzieć na pytanie:
Dlaczego Internet Rzeczy jest taki problematyczny z punktu widzenia prawa?
to wskazać należy dwa powody, które przewijają się w większości opracowań dotyczących Internetu Rzeczy:
po pierwsze,
W Internecie Rzeczy kontaktują się pomiędzy sobą nie ludzie, lecz maszyny.
a po drugie,
W Internecie Rzeczy dane osobowe pełnią rolę danych technicznych.
Aby dane zdrowtne kwalifikować bądź pod art. 6 ustawy o ochronie danych osobowych (czyli regulacji mówiącej kiedy mamy do czynienia z danymi osobowymi), bądź art. 27 tej ustawy (czyli przepisy określające kiedy dane mają charakter „wrażliwy”), w pierwszej kolejności trzeba rozważyć czy podmiot przetwarzający te dane podlega pod zakres podmiotowy polskiej ustawy o ochronie danych osobowych. Dla uproszczenia wywodu, który chyba i tak prosty nie będzie, za podmiot przetwarzający uznam „właściciela” apki.
Na pewno jeśli podmiot taki ma siedzibę lub miejsce zamieszkania w Polsce to podlega pod polską ustawę o ochronie danych osobowych. Przetwarzanie danych osobowych musi również mieć związek z działalnością zarobkową, zawodowa lub służyć realizacji celów statutowych, ale zakładam, że te wymogi są zawsze spełnione, ponieważ raczej nikt nie będzie budował apki zdrowotnej kierują się innymi powodami.
Jednak nie tylko siedziba i miejsca zamieszkania określa zakres podmiotowy regulacji chroniących dane osobowe. Polskiej ustawy o ochronie danych osobowych przestrzegać muszą również podmioty mające siedzibę w państwie trzecim, czyli poza Polską, o ile przetwarzają one dane osobowe przy wykorzytsaniu środków technicznych znajdujących się na terytorium Polski. Jednak ustawy nie stosuje się jeżeli takie środki techniczne umiejscowione w Polsce służą wyłącznie do przekazywania danych. Nie jest jednak jasne co to znaczy „środki techniczne znajdujące się na terytorium Polski” oraz „przekazywanie danych”. Wątpliwości co do znaczenia tych pojęć powodują, że mając do czynienia z jakąś aplikacją, czy też szerzej systemem teleinformatycznym, nie wiadomo na 100% czy powinny przestrzegać polskich regulacji dotyczących ochrony danych osobowych.
Dla polskich przedsiębiorców kluczowe jest związanie polską ustawą w oparciu o siedzibę. Niezależnie zatem, gdzie przetwarzają dane, to z uwagi na siedzibę związani są polską ustawą o ochronie danych osobowych.
Tak jak wskazałem w poprzednim wpisie dziś kilka słów na temat uznania danych zdrowotnych za dane osobowe. Nie będzie zatem o ich kwalifikowaniu jako „wrażliwe” dane osobowe (o tym w poprzednim poście), ale czy w ogóle są to dane osobowe. Aby były to dane osobowe muszą to być, zgodnie z art. 6 ustawy o ochronie danych osobowych, informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Jeśli apka wymaga logowania, czyli założenia w jej ramach konta (profilu) użytkownika, to z zasady można wtedy mówić o danych osobowych. Odmiennie w przypadku kiedy dane są całkowicie anonimowe. Jednak nie jest zbytnio jasne co w cyberprzestrzeni jest anonimowe. Prosty przykład: nie wiem czy dane gromadzone w applowksiej apce Zdrowie są czy nie są anonimowe. Niby nie ma tam żadnego mojego konta, ale z drugiej strony cały telefon jest podpięty pod moją tożsamość. Konieczne byłoby zatem głębsze zbadanie tej apliakcji, jak i każdej innej.
W każdym razie wniosek jest krótki: aby informacje zdrowotne były danymi osobowymi muszą dotyczyć zindetyfikowanej lub możliwej do zidentyfikowania osoby (bezpośrednio lub nawet pośrednio).
Poruszałem już na tym blogu kwestię aplikacji zdrowotnych. Prawdopodbnie będę też do tego zagadnienia wielokrotnie wracał. Zachęcam do zapoznania się z nimi poprzez kliknięcie w przypisany do tego wpisu tag/kategorię „Zdrowie”, ponieważ nie powtarzam róznych problemów, ale czasami, aby zrozumieć jeden z nich, trzeba uwzględnić szerszy kontekst. Ten szerszy kontekst tworzy zaś włąsnie zbiór wpisów na tym blogu:)
Dlaczego zająłem się tym tematem? Uważam, że tego typu apki „mają przyszłość”, dlatego przepisy prawne powinny wspierać ich rozwój. Niestety tak nie jest. Obecnie obowiązujące prawo troche innaczej postrzegało cele przetwarzania danych zdrowotnych. Można śmiało założyć, że twórcy ustawy o ochronie danych osobowych nie mieli wyobrażenia, że dane zdrowtne mogą być przetwarzana w celach „samoleczenia”, a zatem służyć głównie osobie, której te dane dotyczą. Samoleczenie nie wyklucza przy tym, że właściciel apki w jakiś sposób będzie czerpał z niej zysk.
W jednym z poprzednich wpisów zasygnalizowałem problem zakwalifikowania danych zdrowotnych jako „wrażliwych” danych osobowych, które to podlegają szczególnej ochronie (krótko mówiąć: poza kilkama wyjątkami przetwarzanie takich danych jest zabronione na równi z informacjami o poglądach politycznych, wyznaniu i zyciu seksualnym). To jeden z trzech kluczowych problemów na gruncie ochrony danych osobowych – drugi dotyczy bardziej generalnego rozstrzygnięcia czy dane zdrowotne są w ogóle danymi osobowymi, a trzeci czy „właściciel” apliakcji podlega pod zakres przedmiotowy polskiej ustawy o ochronie danych osobowych. Innymi słowy, są trzy zagadnienia:
Jest jeszcze jeden ogólny problem, ale mający wymiar techniczny. Aby problem ochrony danych osobowych zaistniał z zasada dane te powinny być przesyłane na zewnętrzny serwer. Jeśli dane osobowe „nie opuszczają” smartfona to zazwyczaj nie zajdzie problem ochrony danych osobowych – nie jest to jednak całkowicie wykluczone, gdyż wszystko zależy od konstrukcji apki i modelu biznesowego.
W tym wpisie zajmię się pierwszą kwestią, drugą w jutrzejszym, a trzecią kiedyś tam. Zaczynam zatem od problemu szczegółowego, a tematy ogólniejsze (wstępne) przedstawię w dalszej kolejności. Choć jest to wbrew logice, to jednak gdyby uznać, że dane zdrowotne nie są danymi wrażliwymi w rozumieniu ustawy o ocronie danych osobowych, to tematy ogólniejsze stają się już mało porywające:)
Odpowiedz na pytanie czy dane zdrowotne są wrażliwymi danymi osobowymi, czyli takimi o jakich mówi art. 27 ustawy o ochronie danych osobowych, zależy zawsze od konkretnej aplikacji zdrowotnej. Różnie przecież można skonfugurować apki, przez co mogą wykorzystywać odmienne informacje. Przyjmę tutaj za bazową applowską apkę „Zdrowie” (dostępną chyba tylko w IOS > 8 i raczej tylko na urządzeniach nowszej generacji – być może dostępna jest tylko w iPhone 6 i 6 plus, a niedługo w „s”). W przypadku innych apek można poczynić analogię do poniższych twerdzeń.
Przedmiotowa apka umożliwia gromadzenie m.in. takich informacji:
W mojej ocenie wszystkie z tych tych informacji to dane zdrowotne w rozumieniu art. 27 ustawy o ochronie danych osobowych, a zatem są to dane wrażliwe. Zresztą nawet w apce „Zdrowie” są nazwane jako „Dane zdrowotne”. Wydaje mi się, że obecnie nimałej części tych danych nie można jeszcze wprowadzić do tej apki z powodu braku stosownych urządzeń wejściowych. Ja znam póki co tylko Apple Watcha jako urządzenie, które pozwalałoby na dostarczenie części tych danych.
Powyższe nie wystarczy do uznania, że cała apka podlega pod regulację ustawy o ochronie danych osobowych, w tym pod art. 27 tej ustawy traktującej o danych wrażliwych. Konieczne jest również, aby były to dane osobowe, czyli dane identyfikujące konkretną osobę – o tym, jak już zapowiedziałem powyżej, w jutrzejszym wpisie.
Robiąc zakupy w Internecie prawie zawsze można się natknąć na opcje do odhaczenia o brzmieniu: „wyrażam zgodę na przetwarzanie moich danych osobowych w celu wykonania umowy”. Ogólnie rzecz ujmując, to uważam, że dobrze, iż takie opcje są do odznaczenia (niezależnie od wymogów prawnych), ponieważ uwidacznia to konsumentowi fakt podawania swoich danych osobowych oraz zwraca uwagą na ich przetwarzanie przez sklep. Jednak zgoda na przetwarzaniu danych osobowych w celu wykonania umowy często jest niepotrzebna.
Wprawdzie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych stanowi, że „przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę”, ale art. 23 ust. 1 pkt 3 tej ustawy mówi, że przetwarzanie możliwe jest również bez zgody, o ile „jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą”. Sklep internetowy z mocy prawa jest zatem uprawniony do przetwarzani danych osobowych w celu realizacji umowy. Nie musi mieć zgody. Faktycznie jednak często taka zgoda dotyczy bardziej prowadzenia profilu osobistego na portalu, aniżeli realizacji konkretnej umowy. Wtedy jest wymaga, ponieważ trudno wiązać funkcjonowanie profilu osobistego z realizacją konkretnej (a zatem pojedynczej) umowy.
Przy okazji tylko wskaże, że ewentualne wiązanie zgody na przetwarzanie danych osobowych w celu realizację umowy z innymi celami (np. marketingowymi) jest niedopuszczalne. Naruszałoby to interesy konsumentów.