Kto może oglądać logi własnego serwisu internetowego?
W sumie, to nie chciałem tego komentować. Mam na myśli doniesienia na temat tego, że urzędnicy Ministerstwa Sprawiedliwości udzielali się na forum dyskusyjnym miesięcznika "Press", publikując pozytywne komentarze dotyczące wicedyrektor Agencji Informacyjnej TVP Patrycji Koteckiej. Media zainteresowały się aktywnością urzędników, gdyż p. Kotecka ma być znajomą Ministra Sprawiedliwości. Powstał jednak problem ochrony danych osobowych i innych informacji...
Jak skomentował później Press - to dziennikarze TVP zwrócili redakcji uwagę na te komentarze. Jak podobno mieli napisać: "Kotecka nie dorobiła się jeszcze wielu przyjaciół w TVP i ich zdaniem peany na jej cześć pochodzą od ludzi ministra sprawiedliwości" - aktualnie strony miesięcznika Press nie są dostępne (mysql_connect(): Zbyt wiele połączeń). Zwrócono się do ministerstwa, a urzędnicy się przyznali, że teksty pochodzą od nich: "Wpisy zostały dokonane z komputerów służbowych w Ministerstwie, w godzinach wieczornych, poza godzinami pracy". OK. Sprawa była dość mocno komentowana. Gazeta.pl: Pracownicy ministerstwa sprawiedliwości wpisują się na forum (wersja z Gazety Wyborczej: Wiadomości dobre dla PiS).
Mnie zaś zainteresowała wypowiedź, której udzielił Dziennikowi dr. Ryszard Piotrowski. Dziennik w tekście Koleżanka Ziobry może liczyć na resort sprawiedliwości publikuje taki oto akapit: "Według konstytucjonalisty z Uniwersytetu Warszawskiego dr. Ryszarda Piotrowskiego, gdyby redakcja sprawdziła na serwerze, skąd dokonano wpisu na forum, wówczas można byłoby mówić o naruszeniu prawa. "Ujawnienie informacji można byłoby traktować jako pewnego rodzaju naruszenie dóbr osobistych" - mówi".
No i właśnie dlatego postanowiłem odnotować ten incydent. Warto zwrócić uwagę na to, że w bezpośrednio cytowanej wypowiedzi dr Piotrowski mówi o ujawnieniu informacji, nie zaś o jej pozyskaniu. O "sprawdzeniu na serwerze" mowa w omówieniu wypowiedzi...
Chodzi o to, że redakcja (albo ktoś, kto w imieniu redakcji obsługuje serwis internetowy) cały czas dysponuje logami związanymi z oglądalnością. Nie wiem jak jest w przypadku Press, ale większość rozwiązań portalowych ma dziś taką "funkcjonalność", że wystarczy trzy razy kliknąć, by uprawniony dowiedział się kiedy kto odwiedził serwis, jakie strony oglądał, jaki numer IP odpowiada danej akcji (np. opublikowaniu komentarza). Oczywiście swoją aktywność użytkownicy mogą w różny sposób maskować, np. za pomocą takich narzędzi jak TOR, lub innych, ale nie o to chodzi. Chodzi o to, że zdobycie wiedzy na temat aktywności użytkowników z reguły nie jest jakąś super trudną sprawą, a posunąłbym się dalej - przeglądanie logów tego typu należy do jednej z podstawowych czynności administratora serwisu internetowego. Nie zmienia to faktu, że w przypadku serwisów internetowych też można mówić o ochronie danych osobowych (por. Prawo do usunięcia konta, dane osobowe a retencja).
Można się zastanawiać nad rozdziałem funkcji w dużych redakcjach - ktoś inny opiekuje się serwisem (serwerem), ktoś inny pisze. Ten, kto opiekuje się serwisem związany jest tajemnicą pracodawcy (również przed innymi pracownikami), czasem zaś musi być szczególnie zobowiązany do ochrony danych osobowych. To by nam w jakiś sposób pomogło rozwikłać problem "sprawdzenia przez redakcję" - o czym mówi dr Piotrowski. Problem w tym, że z takie logi nieczęsto odpowiadają ustawowej definicji danych osobowych. Czasem nie da się nawet pośrednio wskazać informacji na temat konkretnej osoby fizycznej (chociaż czasem jest inaczej). Zwykle jednak mamy do czynienia z datą, godziną i numerem IP, czasem rozwinięciem nazwy domenowej hosta. To nie wskazuje na osobę fizyczną. To wskazuje na jakieś zakończenie sieci. Oczywiście można potem analizować, czy jakiś tego typu "zestaw" danych da się połączyć z treścią, a w tej np. podpis wskazujący na tożsamość osoby... Załóżmy jednak, że w jakiś sposób mamy do czynienia z danymi osobowymi. Co z serwisami internetowymi, za którymi nie stoi zbyt wielka organizacja? Czy bloger może oglądać statystyki swojego serwisu?
Polecam następujące materiały dostępne w serwisie Generalnego Inspektora Ochrony Danych Osobowych:
- Czy zbiory danych osobowych umieszczone w sieci Internet należy zgłaszać do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?
- Czy założyciel portalu internetowego musi zgłosić do rejestracji Generalnemu Inspektorowi bazę danych zawierającą informacje o osobach reprezentujących firmę (nazwiska osób "kontaktowych"), która zarejestrowała się w portalu?
- Do spełnienia jakich obowiązków wynikających z ustawy o ochronie danych osobowych zobowiązana jest firma (zajmująca się profesjonalnie wydzierżawianiem swoim klientom miejsca na serwerze), która wydzierżawia innej firmie miejsce na swoim serwerze, w celu przechowywania na nim danych osobowych i oprogramowania służącego do ich przetwarzania?
- GI-DEC-DS-28/04 - Decyzja GIODO z dnia 9 lutego 2004 r. (dotyczy udostępnienia danych osobowych użytkowników portalu internetowego, przeciwko którym Skarżący zamierza wszcząć postępowanie sądowe) (przez Spółkę została wniesiona skarga do Wojewódzkiego Sądu Administracyjnego)
- GI-DEC-DS-156/04 - Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 30 lipca 2004 r. nakazująca usunięcia udostępnionych na stronie internetowej danych osobowych na tzw. "Liście osób atakujących ..."
- GI-DEC-DS-288/04 - Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 31 grudnia 2004 r. dotycząca usunięcia danych osobowych Skarżącego ze zbiorów Spółki prowadzącej internetowy serwis aukcyjny.
Zobacz również:
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Oczywiście, że może!
Piotrze, bloger może oglądać statystyki swojego serwisu. Jak słusznie napisałeś, w ogromnej większości przypadków nie będą to dane osobowe - po prostu IP, data, godzina... Czyli wtedy problemu nie ma. Ale np. moje wejścia - po zalogowaniu - na Twoją stronę to już dane osobowe. Wiesz, że ja to ja. I masz pełne prawo do "przeglądania" takich statystyk, nawet ze mną jako mną ;-) Dlaczego? Ponieważ zezwala Ci na to art. 18 ust. 5 ustawy o świadczeniu usług drogą elektroniczną, który reguluje zasady przetwarzania tzw. danych eksploatacyjnych.
:) ja nic nie wiem :)
Jak zauważyłeś - staram się jakoś odnieść do tezy głoszonej przez dr Piotrowskiego, którego darzę szacunkiem jako osobę, z którą miałem zajęcia z prawa konstytucyjnego... :)
Wszystkiego sie nie da w takich szybkich notatkach oddać, ale można snuć dalej rozważania - zwłaszcza wobec obowiązku (technicznego) zabezpieczenia danych. Jakie obowiązki w tym zakresie może mieć bloger, który - tak akurat wyszło - nie ma żadnego wpływu na działanie baz danych, nie ma dostępu do serwera (przykładowo) mysql, etc... A w przypadku, gdy cena jest zbyt wysoka u polskich providerów, to bryk i serwis stoi na serwerach w USA, albo w Niemczech, przy czym Niemcy są w UE... Takie różne przychodzą mi do głowy pomysły na zrobienie drobnego "wrzutu"...
--
[VaGla] Vigilant Android Generated for Logical Assassination
Cóż, wypowiedź dra
Cóż, wypowiedź dra Piotrowskiego wydaje się troszkę oderwana od przepisów o świadczeniu usług drogą elektroniczną. Jest prawdą, że każda ingerencja w sferę dóbr osobistych jest taką właśnie ingerencją - wyszła mi trochę tautologia, ale chcę powiedzieć, że zapoznawanie się z danymi osobowymi innych osób jest przetwarzaniem tychże danych, co samo w sobie stanowi ingerencję w sferę dóbr osobistych tychże osób. Tak się jednak składa, że mamy w systemie prawa szereg aktów prawnych, które legalizują pewne formy ingerencji w sferę dóbr osobistych - i z taką sytuacją właśnie się spotykamy, gdy mówimy o prawnie dopuszczalnych postaciach ingerowania w prywatność w związku ze świadczeniem usług drogą elektroniczną.
A to, o czym piszesz w swoim komentarzu, to nic innego, jak powierzenie danych osobowych do przetwarzania. Do póki odbywa się w ramach Europejskiego Obszaru Gospodarczego, nie napotyka żadnych specjalnych trudności.
ano wlasnie
Dlatego też wskazałem najpierw USA, dopiero potem Niemcy (z zaznaczeniem, że są w UE). A problem nie jest trywialny, gdyż z obserwowanej praktyki wynika, że "wydawcy" serwisów internetowych nie mają żadnych umów z providerwami, których postanowienia odnosiłyby się do regulacji związanych z ochroną danych osobowych. Wygląda to tak, że wypełnia się formularz, klika się button i ustal płatności, otrzymuje się dostęp do infrastruktury, ale ani dokumentacja bezpieczeństwa danych wydawcy nie jest zgrana z taką dokumentacją providera, ani nie ustala się osób uprawnionych, które miałyby dostęp do tych danych (np. w zakresie backupów, w zakresie dokonywania operacji na bazach danych, etc...). Jeśli okazuje się, że usługa jest zbyt droga, albo jakość świadczonej usługi (np. oceniana ze względu na obsługę klienta, a więc m.in. reakcje na zgłoszenia problemów, etc...) jest niewystarczająca dla "wydawcy", to kilka kliknięć powoduje, że serwis przenoszony jest w jakieś inne miejsce. Na przykład do USA. Tam jest taniej. Wszystko odbywa się zdalnie i w całkowitym oderwaniu od polskich regulacji (w szczególności dotyczących powierzenia przetwarzania danych osobowych).
--
[VaGla] Vigilant Android Generated for Logical Assassination
Bo to jest też po troszę
Bo to jest też po troszę pytanie o prawo właściwe. Wydaje mi się (ale zastrzegam, że się na tym nie znam), że akurat ustawa o ochronie danych osobowych, ze względu na swój charakter publicznoprawny, nie podlega wyborowi prawa i znajduje zastosowanie do polskich administratorów danych osobowych. Czyli taki polski "wydawca" serwisu internetowego powinien na piśmie zawrzeć umowę powierzenia danych do przetwarzania i określić w niej cel i zakres przetwarzania danych. Jak tego nie zrobi, naraża się na odpowiedzialność karną (dostęp do danych dla osób nieuprawnionych). A w ogóle, to jeżeli zawiera taką umowę z podmiotem z USA, a podmiot ten nie uczestniczy w porozumieniu Safe Harbor, to przekazanie danych wymaga zgody polskiego GIODO...
Logi serwera a strona prywatna
Witam,
Panowie więc jak z tą blogosferą.
Bloger może przeglądać logi serwera?
Zakładając, że bloger jest osobą fizyczną,
a nie np. firmą. i prowadzi stronę prywatną.
Pozdrawiam