Dane osobowe w Naszej-klasie: GIODO odmówił uwzględnienia wniosku skarżącego

27 maja Generalny Inspektor Ochrony Danych Osobowych wydał decyzję (DOLiS/DEC-314/08/13239), którą, po przeprowadzeniu postępowania administracyjnego, odmówił uwzględnienia wniosku... A zaczęło się od skargi w sprawie przetwarzania danych osobowych przez Nasza-Klasa sp. z o.o. z siedzibą we Wrocławiu, którą 5 miesięcy temu złożył mężczyzna, wykazując, że jego dane osobowe w zakresie wizerunku, imienia i nazwiska zostały bez jego zgody opublikowane na stronie internetowej nasza-klasa.pl. Skarżący wniósł o "usunięcie podpisu pod zdjęciem" oraz o ukaranie "portalu za niedopełnienie obowiązku".

GIODO przeprowadził postępowanie i ustalił m.in., że 31 grudnia 2007 roku jeden z "zarejestrowanych użytkowników" serwisu opublikował zdjęcie (fotografię uczniów z klasy jednej ze szkół podstawowych). Tego samego dnia kolejny użytkownik opublikował na forum związanym z tą klasą imiona i nazwiska części uczniów znajdujących się na fotografii (w tym skarżącego), oraz wskazała usytuowanie tych osób na fotografii. Skarżący kilkakrotnie (co kilka dni w styczniu 2008) ale korzystał z formularza kontaktowego, żądając od administratorów serwisu usunięcia jego imienia i nazwiska znajdującego się pod zdjęciem (za każdym razem bezskutecznie). Tak został ustalony stan faktyczny.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Generalny Inspektor zważył, co następuje

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 ustawy). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2).

Wobec okoliczności niniejszej sprawy wskazać należy, iż informacje o imieniu i nazwisku Skarżącego oraz informacje o szkole i klasie, do której uczęszczał w połączeniu z jego wizerunkiem umożliwiają identyfikację Skarżącego, a tym samym są danymi osobowymi, o których mowa w art. 6 ust. 1 ustawy. Ponadto administratorem danych osobowych Skarżącego w rozumieniu art. 7 pkt 4 ustawy jest Nasza — Klasa Sp. z o.o. Stosownie bowiem do treści tego przepisu, przez administratora danych osobowych rozumie się organ, jednostkę organizacyjną podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych.

W świetle przepisów powołanego aktu prawnego, podstawowym obowiązkiem każdego administratora jest przetwarzanie danych osobowych z zachowaniem przesłanek enumeratywnie wymienionych w art. 23 ust. 1 ustawy. Obok i niezależnie od zgody osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 ustawy), przetwarzanie danych osobowych jest dopuszczalne m.in. wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie me narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 ustawy).

Odnosząc przytoczone powyżej przepisy do okoliczności niniejszej sprawy, podkreślić należy, że przesłanką legalizującą przetwarzanie danych osobowych Skarżącego przez Nasza — Klasa Sp. z o.o. jest prawnie usprawiedliwiony cel realizowany przez administratora danych, o którym mowa w art. 23 ust. 1 pkt 5 ustawy. Cel ten wynika z tego, że ww. podmiot, na podstawie przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z późn. zm.), świadczy na rzecz zarejestrowanych użytkowników portalu www.nasza-klasa.pl usługę drogą elektroniczną, która polega na przechowywaniu danych na rzecz zarejestrowanych użytkowników w systemie teleinformatycznym. Umieszczenie przez zarejestrowanego użytkownika imienia i nazwiska Skarżącego w bazie danych portalu nasza klasa.pl powoduje, że ww. podmiot jest zobowiązany do przechowywania tych danych, aby prawidłowo świadczyć ww. usługę. Ponadto w niniejszej sprawie nie zostały naruszone prawa i wolności Skarżącego, gdyż dostęp do jego danych osobowych jest ograniczony do grupy zarejestrowanych użytkowników portalu.

Podkreślenia wymaga także, że ustawa o świadczeniu usług drogą elektroniczną wyłącza w art. 14 ust. 1 odpowiedzialność usługodawcy za przechowywane dane. Stosownie do jego treści, nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych łub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych. Z przytoczonego powyżej przepisu wynika, że Nasza — Klasa Sp. z o.o. nie odpowiada za przechowywane dane w ramach portalu nasza-klasa.pl, gdy nie wie o bezprawnym ich charakterze, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych uniemożliwi dostęp do tych danych. Mając na uwadze powyższe, należy wskazać, że pomiędzy stronami niniejszego postępowania istnieje spór, co do uznania informacji przekazanych przez Skarżącego za „wiarygodną wiadomość o bezprawnym charakterze danych”. Natomiast Generalny Inspektor Ochrony Danych Osobowych jako organ do spraw ochrony danych osobowych, którego zadania zostały określone w art. 12 ustawy, dokonuje wyłącznie oceny legalności przetwarzania danych osobowych, nie posiada natomiast uprawnień do rozstrzygania ww. kwestii.

Mając na uwadze powyższe należy wskazać, że w niniejszej sprawie nie ma podstaw do zakwestionowania, w świetle przepisów ustawy o ochronie danych osobowych, legalności przetwarzania danych osobowych Skarżącego przez Nasza — Klasa Sp. z o.o., a tym samym brak jest podstaw do wydania decyzji nakazującej usunięcie imienia i nazwiska Skarżącego zamieszczonych na forum portalu nasza-klasa.pl.

W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

[pieczęć: Generalny Ochrony Danych Osobowych
z up. Z-ca Generalnego Inspektora

(odręczny podpis)

Andrzej Lewiński]

Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 — 193 Warszawa).

Skarżący zapowiedział, że ma zamiar skorzystać z możliwości złożenia wniosku o ponowne rozpatrzenie sprawy.

Przeczytaj również w dziale dane osobowe:

PS. Kto pierwszy skomentuje? :)

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Jedno mnie zastanawia... czy

Jedno mnie zastanawia... czy teraz, zgodnie z taką interpretacją GIODO, hipotetyczna firma Nasi Dłużnicy sp. z o.o., świadcząca usługi na rzecz zarejestrowanych użytkowników portalu www.nasi-dłużnicy.pl, która polega na przechowywaniu danych na rzecz zarejestrowanych użytkowników w systemie teleinformatycznym (bla-bla-bla, wiadomo o co chodzi), będzie mogła legalnie publikować w Internecie dane dłużników?

Zdaje się, że w przypadku dłużników GIODO jednak zakazywał publikowania takich list...
http://prawo.vagla.pl/node/891

Ten, kto hostuje serwis, nie

Ten, kto hostuje serwis, nie odpowiada za to, co w nim jest. Czyli nie będzie odpowiadał na dane admin serwisu. Ale ten, kto je w serwisie umieszcza, jak najbardziej.

nie odpowiada, o ile usunie

ksiewi's picture

Hostujący serwis nie odpowiada, owszem, ale tylko jeżeli zastosuje się do przepisu art. 14 ustawy o świadczeniu drogą elektroniczną.

Zastanawiam się, czy informacja o tym, że podmiot, którego dane dotyczą złożył wniosek do GIODO nie jest przypadkiem wystarczająco "wiarygodną informacją" w rozumieniu tego przepisu...

Proszę nie zapominać, że

Proszę nie zapominać, że przepis wyłączający odpowiedzialność sam w sobie nie może stanowić podstawy odpowiedzialności. Skoro nie odpowiada, bo nie ma obowiązku przestrzegania przepisów o podstawach prawnych przetwarzania danych osobowych (a contrario z art. 31 ust. 3 zd. drugie ustawy o ochronie danych osobowych), to czy usunie, czy nie usunie, nie odpowiada administracyjnie za legalność przetwarzanych danych. Co innego natomiast odpowiedzialność cywilna - piszę o tym kilka postów niżej.

dostęp do danych jest ograniczony do grupy zarejestrowanych

gdyż dostęp do jego danych osobowych jest ograniczony do grupy zarejestrowanych użytkowników portalu [nasza-klasa].

Czy Generalny Inspekt zważył, ilu z obywateli polskich ma dostęp do tych danych (i jest zarejestrowanych w portalu), oraz jaka jest procedura rejestracji? O serwisie bugmenot nie wspominając.

First post!

--
[S.A.P.E.R.] Synthetic Android Programmed for Exploration and Repair

Cytując to samo co Marcin -

Cytując to samo co Marcin - czy więc nie należałoby skasowac swojego profilu z portalu, żeby miec podstawy do uwzględnienia prośby? Tylko jak wtedy sprawdzić, że została ona spełniona :-)

Decyzja jest kuriozalna w

Decyzja jest kuriozalna w uzasadnieniu, ale prawidłowa w rozstrzygnięciu. W serwisach typu nasza-klasa podmiot prowadzący serwis nie jest administratorem danych osobowych, ale podmiotem przetwarzającym dane osobowe na zlecenie (processor). Administratorem danych jest ten, kto te dane w serwisie umieszcza, serwis n-k wyłącznie hostuje cudze dane, czyli świadczy usługi hostingowe. Processor ponosi odpowiedzialność jak administrator danych, ale jedynie za przestrzeganie przepisów rozdziału 4 ustawy o ochronie danych osobowych, czyli przepisów o zabezpieczeniu danych. Tymczasem zarzut braku podstawy prawnej dla przetwarzania danych to zarzut naruszenia art. 23 ustawy, a więc rozdziału 3. Za przestrzeganie tych przepisów processor nie ponosi odpowiedzialności. Zresztą, to akurat jest mój dyżurny przykład na wszelkiego rodzaju szkoleniach, czy konferencjach na okoliczność pokazania, jak działa art. 31 ustawy - processorowi nie można nakazać usunięcia danych, bo nie odpowiada za legalność ich przetwarzania. I jest tak niezależnie od tego, czy admin serwisu n-k o tym wie. Czyli GIODO wniosku nie mógł uwzględnić.

A inna sprawa to uzasadnienie - tak się składa, że art. 23 ust. 1 pkt 5 ustawy ma się do danego stanu faktycznego nijak. Jak już, to 23 ust. 1 pkt 3 - czyli wykonanie umowy o świadczenie usług hostingowych. Zresztą, w całym uzasadnieniu pojawiają się chaotycznie przywoływane przepisy i instytucje, które do stanu faktycznego pasują, ale bynajmniej nie w tym porządku. Przesłanki błędne, ale wniosek prawidłowy. A skarżący się do GIODO powinien nie wnosić o ponowne rozpatrzenie sprawy, ale skierować taki sam wniosek w stosunku do tego, kto jego dane umieścił w serwisie. Zresztą, skoro n-k nie reaguje na żądanie usunięcia danych, aż się prosi o pozwanie za pomocnictwo do naruszenia dóbr osobistych.

A teraz ciekawostka - umowa powierzenia powinna być sporządzana na piśmie. Mówi o tym dyrektywa 95/46 i art. 31 polskiej ustawy. I teraz pytanie - jak ją zawrzeć on-line? Kwestię podpisu elektronicznego pomijam. I to nie tylko problem n-k - wszelkie usługi hostingowe to przetwarzanie danych na zlecenie, jeżeli tylko hostuje się dane osobowe. A wiemy skądinąd, że takie umowy zawiera się powszechnie on-line.

forma oświadczenia woli złożonego drogą elektroniczną

umowa powierzenia powinna być sporządzana na piśmie. Mówi o tym dyrektywa 95/46 i art. 31 polskiej ustawy. I teraz pytanie - jak ją zawrzeć on-line?

W obrocie powszechnie przyjęte jest, że w celu zachowania formy pisemnej przy rejestracji online, przeprowadza się potwierdzenie listowne rejestracji (które najczęściej zawiera kod, aktywacyjny: np. Allegro).

Potrzebna jest nowelizacja KC. Albo szersza wykładnia oświadczenia woli złożonego w formie elektronicznej (prowadząca do kwalifikacji jako pisemnej). Skoro strony zgodziły się na formę elektroniczną, to widać, że taka forma jest dla nich wiążąca (ale niestety między nimi, a nie w świetle ustawy).

Śmiem twierdzić, że

Śmiem twierdzić, że jeżeli wymóg formy został zastrzeżony pod rygorem ad solemnitatem, to nawet między stronami umowa nie jest wiążąca.
A nowelizacja KC raczej nie jest potrzebna - potrzebny jest działający bezpieczny podpis elektroniczny.

działający bezpieczny podpis elektroniczny

Bezpieczny podpis elektroniczny weryfikowany za pomocą kwalifikowanego certyfikatu (bpewzpkc) jest w Polsce mało rozpowszechniony. Niestety ma monopol na kwalifikowaną formę elektronicznego oświadczenia woli. Nie mam nic przeciwko temu, aby każdy używał bpewzpkc, ale powinna to być raczej opcja, a nie obowiązek.

Wizja używania bpewzpkc za każdym razem, gdy wprowadzamy do sieci nasze dane osobiste nie bardzo mi odpowiada. Poza tym, ile osób by wykupiło za kilkaset złotych podpis elektroniczny, by "bezpiecznie" zalogować się do serwisu nasza-klasa? Może idąc za ciosem w ten sposób powinniśmy logować się do większości serwisów internetowych i zakładać konta emailowe?

Powstaje też pytanie, czy moglibyśmy nadal korzystać z serwisu, gdy podpis z jakiejś przyczyny nam wygasł (np. nie wnieśliśmy w odpowiednim czasie odpowiedniej opłaty za podpis).

A skąd taki wniosek ze to forma ad solemnitatem ?

To tylko forma ad probationem. Wynika to z literalnej wykładni art 73 par 1 k.c. w związku z art 31 uodo , do tego można dołożyć jeszcze poparcie doktryny w postaci komentarza BiM. To, że GIODO w jakieś starej publikacji decyzji twierdzi przeciwnie, to jego problem.

Pozdrawiam
Darek

Administrator danych

ksiewi's picture

Nie do końca przekonuje mnie argumentacja, że hostujący serwis nie jest administratorem danych, a jedynie osobą, której użytkownicy serwisu powierzają ich przetwarzanie... (akurat w regulaminie naszej klasy wyraźnie napisano, że administratorem jest właśnie Nasza Klasa sp. z o.o., choć można pewnie argumentować, że chodzi tu o dane zarejestrowanych użytkowników, a nie o dane osób trzecich, które oni wprowadzają do serwisu...).

Art. 23 ust. 1 pkt 3 z kolei chyba nie za bardzo się tu stosuje, skoro chodzi o dane osoby trzeciej (o ile dobrze zrozumiałem stan faktyczny).

Oj, gdyby hostujący serwis

Oj, gdyby hostujący serwis decydował o celach i środkach przetwarzania danych, to nie byłby ISP, a dostawcą treści (content provider). To jedno z podstawowych założeń, o które opiera się właśnie odróżnienie ISP od content providerów. Zresztą, począwszy od Kunera (European data privacy law and online business, Oxford), a skończywszy na Carey'u (Data Protection, Oxford), wszyscy, którzy o tym piszą, tak właśnie kwalifikują hosting. W Polsce np. X. Konarski, G. Sibiga, Zastosowanie środków komunikacji elektronicznej w postępowaniu administracyjnym ogólnym po nowelizacji KPA, Monitor Prawniczy 2/2006, str. 68.
A papier (strona WWW) wszystko przyjmie - co nie znaczy, że autorzy mają rację (mam tu na myśli to, co piszą administratorzy serwisu n-k ;-)).

A co z ochrona praw wlasciciela tresci?

A mnie interesuje kwestia odwrotna:
wg interpretacji Pawla Litwinskiego serwis N-K jedynie przetwarza dane osobowe, na zlecenie administratora, ktory je tam umiescil.

Czy przy takiej interpretacji serwis ma _prawo_ je usunac w jakiejkolwiek innej sytuacji (nawet majac wiarygodne przeslanki, ze zlamano prawo) niz po wyroku sadu uznajacym, ze umieszczenie ich przez administratora lamalo prawo?

I jak to stosuje sie do innych tresci niz dane osobowe? Powszechna praktyka jest, ze serwisy hostujace tresci (blogi, strony www, aukcje) zastrzegaja sobie prawo do ich usuniecia na podstawie wlasnego widzimisie, jesli maja chocby cien podejrzenia ze zlamano prawo. Wystarczy np wniosek osoby _podajacej sie_ za wlasciciela praw autorskich do tresci, nie poparty zadnymi dowodami.
Zabezpieczajac sie przed ewentualnymi pozwami z powodztwa cywilnego serwisy te stosuja czasem praktyki porownywalne do cenzury.

Czy to jest zgodne z prawem, czy tez osoba zlecajaca przetwarzanie danych moze z kolei wystapic do sadu za bezpodstawane usuniecie jej danych? I czy zalezy to od tego czy zlecenie przetwarzania danych (osobowych lub nie) bylo platne?

Tak, jak Pan opisał,

Tak, jak Pan opisał, działa art. 14 ustawy o świadczeniu usług drogą elektroniczną. Dostawca hostingu, aby uniknąć odpowiedzialności za hostowane dane, może je usunąć na podstawie wiadomości urzędowej albo innej wiarygodnej. Stąd właśnie te zastrzeżenia w regulaminach. I ta zasada stosuje się do każdego rodzaju treści, nie tylko danych osobowych.
A w przypadku bezzasadnego usunięcia danych ten, kto zlecił ich hostowanie, ma pełne prawo dochodzenia od ISP odpowiedzialności na niewykonanie lub nienależyte wykonanie umowy.

O środkach decyduje -

ksiewi's picture

O środkach decyduje - przecież to nie użytkownicy decydują o tym, jaki serwer WWW, CMS i inne oprogramowanie oraz hardware postawi hostujący.

O celach - decyduje o tym, że dane będą przetwarzane w celu prowadzenia serwisu (tak jest na pewno w odniesieniu do danych samych użytkowników, którzy te dane podają przy rejestracji, przy podawanych przez nich danych osób trzecich można by się zastanawiać).

Decydowanie o celach i środkach czyni kogoś administratorem danych, co jest ambiwalentne raczej z punktu widzenia ustawy o świadczeniu drogą elektroniczną. Uważam, że można być dostawcą hostingu i jednocześnie administratorem danych osobowych. Jedno drugiego nie wyklucza.

No to mamy spór w doktrynie

No to mamy spór w doktrynie ;-)

A poważnie, to - niestety - jedno drugie wyklucza. I oczywiście mówimy o danych umieszczanych w sieci przez osoby korzystające z usług hostingowych - dane strony umowy hostingu przetwarzane są przez dostawcę usługi jako administratora danych.

Nie czas to i nie miejsce na tego rodzaju dyskusje, więc odsyłam do literatury - tej już przeze mnie przywołanej, a także tej bardziej ogólnej, która traktuje o pojęciu administratora danych osobowych. Tutaj więc krótko: cele przetwarzania należy rozumieć w ten sposób, w jaki termin ten używany jest w innych przepisach ustawy, w szczególności w art. 24, 25 i 26 – będą to więc pewne wartości, dla urzeczywistnienia których dochodzić będzie do przetwarzania danych osobowych; natomiast pojęcie środków przetwarzania w aspekcie decydowania o tychże środkach oznacza dokonywanie wyboru technicznych sposobów przetwarzania danych.

O celach decyduje więc ten, kto dane w sieci umieszcza - to on wybiera dane i decyduje co z nimi zrobić. O środkach decyduje również ten podmiot - to on decyduje się na umieszczenie danych w sieci przy użyciu konkretnego dostawcy usług, co właśnie jest technicznym sposobem przetwarzania danych.

gdzie jesteś administratorze?

ksiewi's picture

Rozumiem, że uważa Pan za "decydującego o środkach" podmiot, który wie w zasadzie tylko tyle, że logo nk jest żółte na niebieskim tle, a nie odwrotnie. Natomiast nie uznaje Pan za "decydującego o środkach" osoby, która zaprojektowała CMS, bazę danych, założyła na serwis zabezpieczenia przed atakami, zdecydowała się zamówić serwer u wybranego przez siebie dostawcy i podjęła szereg innych technicznych decyzji, które też może zmienić w każdej chwili nawet bez wiedzy użytkowników (zauważył Pan jak VaGla zrobił upgrade Drupala?).

Mogę zgodzić się, że nk nie decyduje o celach przetwarzania danych, które do serwisu wprowadzają użytkownicy (na forach, przy podpisywaniu zdjęć itp.). Trudno rzeczywiście decydować o celach, skoro nie można przewidzieć jakie dane zostaną wprowadzone przez pomysłowych użytkowników (np. może w swej frywolności zechcą dyskutować na forum nk dane wrażliwe dawnych kolegów?).

Ale naprawdę trudno przyjąć, że to ci użytkownicy decydują o środkach. Gdyby tak było, to praktycznie nigdy nie udałoby się przypisać statusu administratora podmiotowi, który zbiera dane - zawsze można by było powiedzieć, że o środkach decydują osoby przekazujące dane takiemu podmiotowi, bo to "one decydują się na umieszczenie danych tam, a nie gdzie indziej".

Innymi słowy - w tej sprawie nikt nie jest administratorem danych :)

Czy aby na pewno cytowana przez Pana literatura odnosi się do dostawców hostingu typu "prowadzący serwisy społecznościowe", czy może raczej typu "sprzedawcy miejsca na serwerze"?

No mamy problem

Tomasz Rychlicki's picture

Problem, kto jest "administratorem danych" (artykuł 2(d) Dyrektywy 95/46/WE) w przypadku "social networking sites" (SNS) jest conajmniej dyskusyjny i to nie tylko na forum u Vagli. Por. T. Zeggane, W. Maxwell, US and EU Authorities Review Privacy Threats On Social Networking Sites, Ent. L.R. 2008, 19(4), 69-74.

The second area requiring clarification is the concept of "data controller" in an SNS environment. Under European privacy law, the controller is the entity which determines the purposes and means of the processing of personal data. In an SNS context, there are two broad categories of data: the information that the user provides to the SNS platform to register (such as the user's real name and email address), and the data that the user uploads onto his or her profile. The former is personal data which the SNS platform controls. The latter is "user generated content", which the user controls and can choose to share (or not) with others. Some SNS platforms provide the user with tools to control the extent to which information such as photos, personal tastes and the like are used to develop targeted advertising. Where such tools exist, the argument can be made that the user (and not the SNS platform itself) is the "controller" of the content the user uploads onto the profile. The concept of data controller is the cornerstone of European privacy law. The concept of controller as it is traditionally interpreted does not fit easily into the SNS environment, where the user is the focal point.

Jak widać z powyższego, autorzy wskazują, że sytuacja wymaga conajmniej dopercyzowania pojęcia "administratora danych" w aspekcie SNS. Podobny pogląd został także przedstawiony w raporcie European Network and Information Security Agency, "Security Issues and Recommendations for Online Social Networks" (plik PDF, s. 25).

A nie prościej korzystać z

A nie prościej korzystać z istniejących instytucji, zamiast doraźnie je zmieniać? Prawo dopuszcza pełnienie roli administratora tych samych danych osobowych jednocześnie przez 2 lub więcej podmiotów. Skoro więc decyzje o celach i środkach przetwarzania podejmuje na raz admin strony i użytkownik, to może jednocześnie są administratorami tych samych danych? Nie mnóżmy istnień (tu: wyjątków od zasady) ponad istniejącą potrzebę.

Czy uznajemy wobec tego, że

ksiewi's picture

Czy uznajemy wobec tego, że decyzje o celach podejmuje użytkownik, a decyzje o środkach administrator serwisu? Czy zatem żadnemu z nich oddzielnie statusu administratora danych przypisać nie można, ale działającym razem (w formie spółki cywilnej?) już tak?

Nie, nie tak - każdy

Nie, nie tak - każdy samodzielnie i w pewnym zakresie spełnia rolę administratora tych samych danych osobowych.

cytujmy dokładnie

ksiewi's picture

Przywołana przez Pana wypowiedź X. Konarskiego i G. Sybigi dotyczy outsourcingu informatycznego administracji publicznej, a konkretnie zadań takich jak odbieranie podań i ich przechowywanie. Autorzy bynajmniej nie rozstrzygają tam kwestii, czy zleceniobiorca nie jest administratorem - wskazują jedynie na funkcjonującą praktykę zawierania umów o powierzenie przetważania.

Tylko, że e-government i outsourcing zadań z nim związanych różni się nieco od korzystania z serwisów społecznościowych. Organ wykupuje miejsce na serwerze i zamawia oprogramowanie według podanej przez siebie specyfikacji. Następnie, albo sam administruje tym oprogramowaniem (które jest jedynie hostowane przez zleceniobiorcę), albo zleca jego administrację na zewnątrz. W takiej sytuacji zawarcie umowy o powierzenie przetwarzania jest zasadne. Trudno to jednak porównać do użytkownika, który wchodzi na forum postawione np. na phpBB.

Problem jest prosty - czy

Problem jest prosty - czy hosting danych osobowych jest przetwarzaniem danych na zlecenie. I nie ma tutaj znaczenia, czy ten hosting odbywa się w ramach administracji publicznej, czy przez podmioty prawa prywatnego.

Ja twierdzę, że tak, co wynika z pewnych podstawowych konstrukcji charakterystycznych dla prawa danych osobowych i prawa komunikacji elektronicznej. I nie ma tutaj znaczenia, jaka aplikacja służy "do tworzenia systemu forów dyskusyjnych dostępnych przez strony WWW" (za Wiki). Nie jest rolą prawnika, a przynajmniej ja jej tak nie postrzegam, wikłanie się w dyskusje o platformach, aplikacjach etc. Jeżeli dane działanie wykazuje pewne cechy charakterystyczne dla określonej instytucji opisanej w przepisach, to niezależnie od tego, przy użyciu jakiego oprogramowania to działanie się odbywa, powinno zostać zakwalifikowane jako odpowiadające tej instytucji.

hosting?

ksiewi's picture

Jeżeli będzie się Pan posługiwał enigmatycznym pojęciem "hostingu" i jednocześnie deklarował, że kwestie techniczne nie są prawnie istotne, to dojdziemy do równie przydatnego i dobrze uzasadnionego wniosku, jaki był łaskaw zaprezentować pewien sędzia, który uznał "deep links" za rozpowszechnianie.

Decyzja GIODO uznaje NK za

Decyzja GIODO uznaje NK za administratora danych...pozatym kto by miał nim być? Osoba umieszczająca dane w serwisie zawierająca nieskuteczną umowę hostingu z NK?

Zawodowo często administruje dane, zawsze umowa jest potwierdzana w formie pisemnej, często żądają dokumentów firmowych.

A teraz pytanie; czy pismo skierowane do NK przez GIODO żądające wyjaśnień, opisujące sprawę, wskazujące stanowisko i roszczenia drugiej strony, jest wiarygodnym zawiadomieniem?

Jeśli nie jest, to także GIODO jest niewiarygodnym urzędem...

pozdrawiam

Dziękuję z pomocne komentarze i prosze o wiecej

To stwierdzenie o "pomocnych

To stwierdzenie o "pomocnych komentarzach" coś mi pachnie pomocą prawną przez komentarze ;-)

A tak poza wszystkim, to zawsze pozostaje droga cywilna. Skoro nie skutkuje ochrona publicznoprawna, może czas skorzystać z prywatnoprawnej.

Re: To stwierdzenie o "pomocnych

Być może to jedna z różnic między informatykami, a prawnikami.
Informatycy notorycznie i nieodpłatnie udzielają sobie na różnego rodzaju listach dyskusyjnych porad mających charakter zawodowy. Nie chciałbym urazić prawników, bo wiem, że są tacy co działają charytatywnie, ale mam wrażenie, że prawnicy jakoś częściej od informatyków, są gotowi "wystrzelić" komuś w nos, że on prywatę w publicznej dyskusji uprawia i za darmo "porady prawnej" szuka...

IMHO jeśli ta porada wiąże się z tematem dyskusji, to chyba jest całkiem na miejscu o nią poprosić...

Nie widzę powodu, dla

Nie widzę powodu, dla którego NK miałaby nie być administratorem danych. Zresztą nawet GIODO w swojej decyzji tak ją nazywa.

Inna rzecz, to pytanie, dlaczego GIODO uchylił się od nakazania usunięcia bezprawnie przetwarzanych danych. Moim zdaniem, fakt, że ustawa o świadczeniu usług droga elektroniczną wyłącza odpowiedzialność usługodawcy za przetwarzane dane nie oznacza, że GIODO nie powinien dążyć do ustalenia stanu faktycznego i przedsięwziąć kroki mające na celu ochronę danych.

"Regulamin Serwisu

Regulamin Serwisu nasza-klasa.pl
(...)
Użyte w Regulaminie pojęcia oznaczają:
1. 2.1. Administrator — podmiot zarządzający i prowadzący Serwis, którym jest Nasza Klasa Spółka z ograniczoną odpowiedzialnością, zarejestrowana w Krajowym Rejestrze Sądowym – rejestrze przedsiębiorców prowadzonym przez Sąd Rejonowy dla Wrocławia - Fabrycznej we Wrocławiu, Wydział VI Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000289629 kapitał zakładowy Spółki: 62500 zł, NIP: 898.21.22.104, REGON: 020586020.
(...)
2. 5.2. Administratorem danych osobowych jest Nasza Klasa spółka z ograniczoną odpowiedzialnością, która dokonuje przetwarzania danych osobowych Użytkowników zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (t. jedn. Dz.U. z 2002 r., nr 101, poz. 926 ze zm.) oraz ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (Dz.U. nr 144, poz. 1204 ze zm.).
(...)

Tyle regulamin PORTALU NK

i jeszcze to....

…ustalenie, iż administrator danych osobowych realizuje cel prawnie usprawiedliwiony nie może przesądzić o dopuszczalności przetwarzania danych osobowych (udostępnienia tych danych innemu podmiotowi) bez zgody osoby, której dane dotyczą. Konieczne jest dokonanie oceny, czy jest to niezbędne dla realizacji tego celu, a co najważniejsze, dokonanie wyważenia interesów administratora danych i osoby, której dane dotyczą, przy uwzględnieniu celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP…

(NSA w wyroku z 30 marca 2006 r., I OSK 628/05)

procesor vs administrator danych

Nie zgadzam się ze stwierdzeniem, iż n-k nie posiada statusu administratora danych. Argumenty:

1. Fakt, że n-k posiada własne serwery i hostuje na nich dane przez siebie pozyskiwane, nie uniemożliwia równocześnie bycia administratorem danych. Przyjęcie innego rozwiązania jest pozbawione sensu. W takim wypadku każdy administrator danych, który będzie hostował dane, będzie tylko i wyłącznie procesorem? Kluczowe jest to, czy dany podmiot decyduje o celach i środkach przetwarzania danych osobowych.

2. Definicja administratora danych z uodo idealnie pasuje do roli jaką pełni n-k.

3. Na koniec deser. Jeśli przyjmiemy, że n-k jest tylko procesorem, to rozumiem że ma podpisaną w formie pisemnej umowę na powierzenie przetwarzania danych osobowych? I kto w takim razie powierza n-k dane osobowe do przetwarzania? Administrator danych Jan Kowalski?

GIODO w sprawie Naszej-klasy kolejne komentarze

VaGla's picture

Dzisiejsza Rzeczpospolita publikuje artykuł dr Grzegorza Sibigi i mec. Xawerego Konarskiego pt.: Wizerunek w Internecie bez pełnej ochrony, który dotyczy opublikowanej tu decyzji GIODO.

Dla porządku podlinkuję tu tekst Dane osobowe w serwisach społecznościowych - decyzję warto rozpatrzyć raz jeszcze
--
[VaGla] Vigilant Android Generated for Logical Assassination

o środkach i celach

ksiewi's picture

Panowie trochę jednak prześlizgnęli się nad definicją administratora danych, jako tego który decyduje (1) o celach i jednocześnie (2) o środkach przetwarzania danych. Jak to już wcześniej tutaj wyszło, użytkownik serwisu raczej nie decyduje o środkach, choć może decydować o celach. Z kolei prowadzący serwis raczej nie decyduje o celach, choć na pewno decyduje o środkach.

O celach też może decydować

VaGla's picture

Struktura serwisu - zależna wszak od woli "wydawcy" (dostawcy usług), API (co pokazuje przykład blipa; por. Nieblipowy blip o Twitterze i ewentualnych sporach prawnych ery "beta" oraz Regulamin korzystania z Serwisu blip.pl) i inne determinanty techniczne mogą stanowić "koryta", którymi potem płynie - niczym rzeka - wola użytkowników, a więc przez budowę techniczną, np. możliwość (lub niemożliwość) przeszukiwania, możliwość (brak możliwości) edycji wprowadzonego opisu, możliwość (lub jej brak) przyporządkowywania wprowadzonych danych do innych danych (agregacja, np. dla celów marketingowych, reklamowych, etc), to wszystko - moim zdaniem - świadczy o tym, że dostawca usług - w tym przypadku nasza-klasa - decyduje o celach. Ostatecznie cel może być czysto "informacyjny", jednak o tym również zdecydował "producent" platformy - dostawca usług.
--
[VaGla] Vigilant Android Generated for Logical Assassination

umowa pomiedzy użytkownikiem a portalem (serwisem) NK

* czy akceptacja regulaminu przez użytkownika jest jednocześnie zawarciem umowy hostingu?
* czy domniemane zawarcie umowy na hostowanie danych bez zachowania wskazanej w ustawie o ODO formy pisemnej ma moc prawną?
* kto akceptuje regulamin, z kim zawarto umowę, przecież w NK nie ma jakiejkolwiek weryfikacji użytkowników, potwierdzenia itp. (może to są umowy z misiem uszatkiem?)

Ostatnio znajomi sprawdzili 3 polskie serwisy społecznościowe, (nie będę podawał ich nazw), umieścili tam zdjęcia i komentarze, np. "tam w tle, Janek z nową żoną" (nie dane osobowe!)... Zadziwiające, ale wszystkie serwisy po otrzymaniu e-mail z informacja o naruszeniu w ciągu 24 godzin odesłały e-mail do zawiadamiającego z prośbą o potwierdzenie i naświetlenie problemu, a po potwierdzeniu zablokowali zdjęcie i tekst.... Zawiadamiając publikującego materiał i żądając od niego wyjaśnień....

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>