Dane osobowe, które trzeba chronić

Na temat zawiłości związanych z ochroną danych rozmawiamy z dr. Wojciechem Rafałem Wiewiórowskim – Generalnym Inspektorem Ochrony Danych Osobowych.

Robert Kamiński: Zacznijmy od podstaw – co to są dane osobowe, które trzeba chronić?

Wojciech Rafał Wiewiórowski:  Danymi osobowymi są wszystkie informacje, które można powiązać bez większego trudu z konkretną osobą fizyczną. Każde tego typu dane powinny podlegać pewnej ochronie, aczkolwiek należy pamiętać, że przepisy prawne, które dotyczą ochrony danych osobowych, gwarantują również swobodę ich przekazywania. Zawsze jednak musi istnieć podstawa uprawniająca do przetwarzania danych osobowych, czyli do wykonywania na nich jakichkolwiek operacji. Może nią być np. przepis prawa lub zgoda osoby, której dane dotyczą. Warto zaznaczyć, że dane osobowe mogą mieć bardzo różny charakter, a ten sam zestaw informacji dla jednej osoby nie będzie stanowił danych osobowych, a dla drugiej już tak. Dobrym przykładem jest adres IP czy MAC adres komputera – na pierwszy rzut oka nie są to dane osobowe. Jednak w niektórych przypadkach tak jest – np. dla operatora telekomunikacyjnego IP powiązane z informacją, do kogo zostało przypisane i jakich taryf ta osoba używa, mogą stanowić interesujące dane osobowe. Nie ma zatem precyzyjnej definicji danych osobowych, ale chyba nie powinno jej być.

RK: Rozumiem, że wizerunek może być również daną osobową?

WRW: Wizerunek może być daną osobową kiedy w łatwy sposób można połączyć go z innymi danymi, które indywidualizują osobę. Szansa na to, że monitoring umieszczony w miejscu publicznym takim jak ulica miasta umożliwi zidentyfikowanie konkretnej osoby jest niewielka, natomiast monitoring w miejscu pracy niewątpliwie pozwala jednoznacznie powiązać wizerunek z pozostałymi danymi osobowymi  posiadanymi przez pracodawcę. W sklepie wielkopowierzchniowym są osoby, których zidentyfikować się nie da, ale są również pracownicy, którzy są znani pracodawcy. Monitoring w tym przypadku ma służyć jednocześnie bezpieczeństwu anonimowych klientów, zapobieganiu kradzieżom  i ocenie pracy pracowników.

RK: Nie przez przypadek zapytałem o wizerunek – obecnie w sklepach bez problemu mógłbym nabyć latające zabawki-drony wyposażone w kamerę, dzięki którym można np. odnaleźć własnego kota, który udał się z wizytą do sąsiadów, ale jednocześnie zarejestruję przebywające tam osoby. Ponieważ znam sąsiadów, nie ma problemu identyfikacji. Rozumiem, że tego typu dane podlegają ochronie?

WRW: Tak, to prawda. Dotknął Pan interesującego zagadnienia, do którego można podchodzić w różny sposób. Nagrywanie obrazów przez drony używane np. w armii na potrzeby zapewnienia bezpieczeństwa narodowego nie będzie podlegało przepisom ustawy o ochronie danych osobowych. W przypadku policji czy straży miejskiej, o ile tego typu tryb nadzoru miałby być przez nie stosowany, wymagałby uregulowania w przepisach, bo obecne nie przewidują możliwości korzystania z takich urządzeń. Natomiast w zastosowaniu prywatnym sprawa jest delikatna – używanie różnego rodzaju urządzeń nagrywających: kamer, rejestratorów , aparatów fotograficznych nie jest przecież zabronione i przetwarzanie tego typu danych na potrzeby prywatne i użytku domowego jest jak najbardziej dozwolone, nawet jeśli przetwarzamy dane osobowe. Natomiast w przypadku rejestracji poczynań wspomnianego przez Pana kota zaczyna się problem – dopóki śledzi go Pan na swojej posesji lub terenie publicznie dostępnym, nie ma problemu, natomiast nagranie jego „wypadu” na teren sąsiadów nie stanowi, co prawda, nieuprawnionego przetwarzania danych osobowych, ale jest naruszeniem prywatności. Prywatność zaś jest pojęciem znacznie szerszym niż ochrona danych osobowych, gdyż obejmuje również ochronę dóbr osobistych wynikającą z Kodeksu cywilnego. I tu można narazić się nie tyle na administracyjną odpowiedzialność wynikającą z tego, że tworzymy jakiś zbiór danych, ale przede wszystkim na odpowiedzialność cywilną spowodowaną naruszeniem dóbr osobistych sąsiada. Trzeba mieć jednak na uwadze, że w Polsce nie mamy wystarczającej regulacji prawnej dotyczącej monitoringu i video monitoringu. Od półtora roku występujemy do Ministerstwa Spraw Wewnętrznych z permanentną prośbą o podjęcie efektywnych prac nad ustawą o monitoringu wizyjnym. Na razie żadnych efektów nie widać.

RK: Porzucając temat kota i dronów – coraz więcej osób używa smartfonów, które przechowują dane osobowe, a co więcej synchronizują się z tzw. chmurą, gdzie te dane są również przechowywane. Operatorem chmury może być dostawca usług internetowych, może to być również np. firma Google, która archiwizuje zarówno kontakty, jak i korespondencje. Kto jest w tej sytuacji odpowiedzialny za ochronę danych osobowych?

WRW: Bez wątpienia użytkownik i to na nim spoczywa pełna odpowiedzialność za ochronę danych osobowych. Co ciekawe, ta odpowiedzialność spoczywa również na pracodawcy, jeżeli to on kupił i udostępnia smartfony swoim pracownikom. Na nim bowiem spoczywa obowiązek zadecydowania, w jaki sposób mogą być one wykorzystywane, a więc to on decyduje o celach, sposobie i zakresie przetwarzania danych, stając się administratorem danych zobowiązanym do właściwej ich ochrony. Przy czym pracodawca, określając sposób, w jaki dane urządzenie może być przez pracownika używane, niejako przenosi na niego odpowiedzialność za właściwą ochronę danych osobowych. Ważne, aby instrukcje użytkowania przekazał pracownikowi w sposób zrozumiały, tak by pracownik był świadomy obowiązujących go zasad. W przypadku gdy pracownik w sposób świadomy je naruszy, np. przekaże dane osobie nieuprawnionej, to on będzie ponosił odpowiedzialność karną. Natomiast za obowiązujące w danej firmie zasady i mechanizmy ochrony danych osobowych tak czy inaczej odpowiada pracodawca. Podobnie jest w przypadku korzystania z samochodu służbowego. Jeśli pracownik spowoduje wypadek, będzie odpowiadał osobiście.

RK: Jak rozumiem, podobnie sytuacja przedstawia się w przypadku serwisów internetowych – np. list czy forów dyskusyjnych?

WRW: W przypadku serwisów internetowych generalnym problemem jest określenie, kto jest administratorem danych osobowych, a kto tylko procesorem, czyli przetwarzającym dane. Nie ma jednej, wspólnej dla wszystkich serwisów definicji. Rzecznicy ochrony danych osobowych zgodnie twierdzą, że pierwszym i podstawowym administratorem danych jest osobą lub podmiot, który tworzy narzędzia do przetwarzania danych i umożliwia korzystanie z nich, a nie ten, kto zamieszcza posty. Z zasady media społecznościowe, np. Facebooka czy nk.pl traktuje się jako administratorów danych, choć nie jest wykluczone, że niektóre profile mogą stanowić odrębne zbiory danych osobowych.

RK: Kto jest zatem odpowiedzialny za przetwarzanie danych osobowych osób, które polubiły nasz fanpage na Facebooku?

WRW: W tym przypadku administratorem danych jest zarówno  twórca fanpage’a, jak i Facebook, choć odpowiedzialność może być rozłożona w różny sposób. Nie mam wątpliwości, że administratorem danych użytkowników jest Facebook, który może posiadać dane, których twórca fanpage’a może nie znać. W czasie rejestracji użytkownik musi bowiem podać swoje prawdziwe dane, nie jest jednak powiedziane, że te dane musi znać inny użytkownik tego samego serwisu społecznościowego. Dla twórcy fanpage konkretny użytkownik może być rozpoznawalny jedynie pod pseudonimem. Natomiast Facebook jest w stanie powiązać go z konkretną osobą. Jednak w większości przypadków twórca fanpage’a dysponuje danymi osób, które zostały fanami danego serwisu. Co więcej, dane te są z reguły do czegoś wykorzystywane, a zatem zastosowanie znajdą przepisy ustawy o świadczeniu usług drogą elektroniczną. Zobowiązują one m.in. do stworzenia regulaminu fanpage’a, określającego m.in. cel, w jakim dane będą wykorzystywane.

RK: Do kogo zatem może „poskarżyć się” osoba, która otrzymuje przez Internet np. niechciane przesyłki reklamowe?

WRW: Problem polega na tym, że w Polsce nie istnieje instytucja, która zajmuje się problemem spamu. Ja jako Generalny Inspektor Ochrony Danych Osobowych mogę najwyżej zajmować się bazą, która jest wykorzystywana na potrzeby rozsyłania spamu, a nie samą czynnością, jaką jest jego rozsyłanie. W bardzo wąskim zakresie zajęto się tym problemem w ustawie o świadczeniu usług drogą elektroniczną, jednak jednej instytucji zajmującej się tym zagadnieniem obecnie w Polsce nie ma.