GIODO: dane na stronie

Na stronie Generalnego Inspektora Ochrony Danych Osobowych dostępna jest decyzja GIODO z dnia 22 marca 2005 r. w sprawie udostępniania przez operatora telefonicznego danych osób fizycznych korzystających z usługi dostępu do internetu, osobom nieupoważnionym, poprzez umieszczanie tych danych na stronie internetowej (sygn. GI-DEC-DS-58/05).

Generalny Inspektor, na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i 6 w związku z art. 23 ust. 1 i art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) po przeprowadzeniu postępowania administracyjnego w sprawie udostępniania przez firmę telekomunikacyjną, danych osób fizycznych korzystających z usługi dostępu do internetu, w tym danych Pani X, osobom nieupoważnionym, poprzez umieszczanie przedmiotowych danych na stronie internetowej, nakazał:

Firmie telekomunikacyjnej, przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osób fizycznych (abonentów) korzystających z usługi dostępu do internetu , w tym danych Pani X, poprzez usunięcie tych danych ze strony internetowej oraz nieudostępnianie w przyszłości na wyżej wskazanej stronie danych osób fizycznych, na rzecz których firma telekomunikacyjna. będzie świadczyć usługę dostępu do internetu.

W uzasadnieniu czytamy:

"Istotą ochrony danych osobowych jest ochrona prywatności osoby, której dane dotyczą. Źródło tej ochrony wynika przede wszystkim z przepisów ustawy z dnia 2 kwietnia 1997 r. –Konstytucja Rzeczypospolitej Polskiej (Dz. U. Nr 78, poz. 483 z późn. zm.). Stosownie bowiem do treści art. 47 Konstytucji Rzeczypospolitej Polskiej, każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz decydowania o swoim życiu osobistym. Ponadto, zgodnie z art. 51 ust. 5 Konstytucji Rzeczypospolitej Polskiej, zasady i tryb gromadzenia oraz udostępniania informacji o osobie określa ustawa. Dyspozycję powołanego przepisu wypełnia właśnie ustawa o ochronie danych osobowych, która określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przetwarzanie danych osobowych jest zgodne z prawem jedynie wówczas, gdy administrator danych legitymuje się posiadaniem co najmniej jednej, spośród wymienionych w art. 23 ust. 1 ustawy, materialnych przesłanek dopuszczalności przetwarzania. Stosownie do art. 23 ust. 1 ustawy, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, 2) gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Jednocześnie, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy). Ponadto, według stanu prawnego obowiązującego do momentu nowelizacji ustawy o ochronie danych osobowych w dniu 1 maja 2004 r., stosownie do art. 47 ust. 3 pkt 3 ustawy, administrator danych mógł przekazać dane osobowe za granicę, jeżeli przekazanie było niezbędne do wykonania umowy pomiędzy administratorem danych a innym podmiotem. Obecnie przepis ten ma zastosowanie wyłącznie w odniesieniu do państw trzecich w rozumieniu art. 7 pkt 7 ustawy, tj. do państw nienależących do Europejskiego Obszaru Gospodarczego.

Mając na uwadze powołane wyżej przepisy oraz okoliczności niniejszej sprawy należy wskazać, iż działanie T polegające na umieszczaniu danych osób fizycznych korzystających z usługi dostępu do internetu na stronie internetowej, nie spełnia żadnej z przesłanek przetwarzania danych określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych.

W szczególności, nie można zgodzić się z T, iż działanie takie jest niezbędne dla realizacji umowy świadczenia usługi dostępu do internetu . Wprawdzie, jak wskazała T., świadczenie ww. usługi jest ściśle związane z przydzieleniem usługobiorcy adresu IP, jednakże z materiału dowodowego zebranego w niniejszej sprawie nie wynika, aby w celu przydzielenia tego adresu osobie fizycznej konieczne było umieszczenie jej danych w bazie „www” prowadzonej przez firma Y, tj. organizację przyznającą pule adresów IP podmiotom świadczącym usługi telekomunikacyjne, w tym T. Podkreślenia wymaga, iż w żadnym z dokumentów przedstawionych przez T., tj. zarówno w standardowej umowie usługowej zawartej pomiędzy T. a firmą Y, jak również w dokumencie ripe-288 nie ma postanowień wskazujących na konieczność rejestracji na stronie internetowej danych osobowych indywidualnych użytkowników adresów IP. Brak takich postanowień potwierdzają również wyjaśnienia T, która w piśmie z dnia 5 października 2004 r. wskazała, iż „w żadnym dokumencie nie zostało wprost wyrażone, że aby klienci otrzymali adresy IP, należy przekazać adresy klientów”.

Wprawdzie pkt 4.0 dokumentu ripe-288, na co powołuje się T, stanowi, iż „wszystkie przydziały i alokacje muszą być zarejestrowane w Bazie Danych firmy Y”, należy jednak przez to rozumieć, iż muszą być tam zarejestrowane wszystkie adresy IP oraz dane lokalnego administratora krajowego, w przedmiotowej sprawie jest nim T., któremu firma Y przydzielił ten adres, ewentualnie dane pracownika tego administratora, nie zaś dane indywidualnych użytkowników adresu IP. Powyższe potwierdzają praktyki stosowane przez innych lokalnych administratorów krajowych,. Po wpisaniu bowiem na stronie internetowej zapytania o użytkownika adresu z puli przyznanej dla administratora krajowego można jedynie uzyskać informację o lokalnym administratorze krajowym, a nie o konkretnym użytkowniku tego adresu. Zbędność umieszczania na ww. stronie internetowej danych osób korzystających z usługi dostępu do internetu DSL potwierdzają również przesłane przez Rzecznika Ochrony Danych Osobowych w Holandii wnioski ze spotkania Rzecznika z przedstawicielami firmy Y. W dokumencie tym wskazano m. in., że baza danych adresów IP zawiera „dane techniczne, które są niezbędne do funkcjonowania Internetu, jak również dane administracyjne i techniczne informacje kontaktowe (...) Nazwisko konkretnego pracownika Dostawcy Usług Internetowych może być zawarte w bazie wraz ze szczegółami dotyczącymi kontaktu służbowego. W bazie danych nie przetwarza się informacji dotyczących klientów Dostawców Usług Internetowych, którym przydzielono indywidualne adresy IP. Informacje zawarte w bazie danych firmy Y nie mogą w żaden sposób zostać odniesione do indywidualnych odbiorców adresów IP.”

Nie można również zgodzić się z argumentacją T., iż umieszczanie danych osób, którym przydzielono adres IP jest konieczne w celu zlokalizowania „osoby dokonującej naruszeń w sieci Internet”. Należy bowiem wskazać, iż umieszczając w bazie danych firmy Y dane lokalnego administratora krajowego (ewentualnie dane jego pracownika), można poprzez tego administratora dotrzeć do konkretnego użytkownika adresu IP, który wykorzystuje sieć Internet nielegalnie Powyższe umożliwia z jednej strony szybkie zlokalizowanie osoby dokonującej naruszeń w sieci Internet, z drugiej zaś, nie naraża osób korzystających z usługi DSL na udostępnianie ich danych osobowych nieograniczonej liczbie osób.

W konsekwencji, nie można uznać, aby umieszczanie przez T danych osób fizycznych, w tym danych Skarżącej, na stronie internetowej było warunkiem koniecznym dla przyznania im adresu IP, a tym samym było konieczne dla realizacji umowy o świadczenie usługi dostępu do internetu. W związku z powyższym bezspornym jest, iż w niniejszej sprawie nie zachodzi przesłanka udostępnienia ww. danych określona w art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych, jak również przesłanka określona w art. 47 ust. 3 pkt 3 powołanej ustawy, odnośnie danych udostępnionych przed jej nowelizacją, tj. przed dniem 1 maja 2004 r. T bowiem w żaden sposób nie wykazała, w szczególności nie przedstawiła żadnych dowodów potwierdzających niezbędność umieszczania danych osób korzystających z usługi dostępu do internetu na ogólnodostępnej stronie internetowej

Podstawy prawnej umieszczenia danych Skarżącej w bazie danych firma Y nie może także stanowić art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, bowiem podpisując umowę o świadczenie usługi dostępu do internetu, Skarżąca nie wyraziła zgody na udostępnianie jej danych osobowych innym podmiotom, w szczególności nie wyraziła zgody na udostępnianie tych danych za pośrednictwem służb informacyjnych T.

Ponadto, T. nie wykazała również, aby opisana w przedmiotowej sprawie praktyka znajdowała uzasadnienie w obowiązujących przepisach prawa, w szczególności w regulującej zasady świadczenia usług telekomunikacyjnych ustawie z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 ze zm.). Nie można zatem uznać, iż podstawą umieszczenia danych osób fizycznych w bazie danych firmy Y jest art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. W rozpatrywanej sprawie nie zachodzą również okoliczności wskazane w art. 23 ust. 1 pkt 4 i 5 ustawy.
Podkreślić również należy, iż strona internetowa, na której T. umieszcza dane osób fizycznych korzystających z usługi dostępu do internetu, jest stroną ogólnodostępną, zatem umieszczone tam dane może pozyskać nieograniczona liczba osób. Tym samym, T. naraża dane swoich abonentów na udostępnienie ich osobom nieupoważnionym, co stanowi naruszenie art. 36 ust. 1 ustawy o ochronie danych osobowych.

Reasumując, stwierdzić należy, że umieszczanie przez firmę telekomunikacyjną danych osób fizycznych korzystających z usługi dostępu do internetu na stronie internetowej nie spełnia żadnej z przesłanek określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Ponadto, działanie takie jest również niezgodne z art. 36 ustawy o ochronie danych osobowych. W tej sytuacji, w pełni uzasadnione jest nakazanie T usunięcia przedmiotowych danych z ww. strony internetowej, w tym danych osobowych Pani X, oraz nakazanie zaprzestania stosowania praktyki polegającej na umieszczaniu na tej stronie danych osób fizycznych, na rzecz których firma telekomunikacyjna będzie świadczyć usługę dostępu do internetu".