GIODO do europosła: popraw formularz na stronie

Mamy sporo wątpliwości dotyczących ochrony danych osobowych w serwisach internetowych, dlatego pozwoliłem sobie niniejszym przywołać "Sygnalizację Generalnego Inspektora Ochrony Danych Osobowych z dnia 8 stycznia 2008 r., dotyczącą wyeliminowania nieprawidłowości w procesie przetwarzania danych osobowych pozyskiwanych za pomocą formularza zamieszczonego na stronie internetowej". Ten list, jest interesujący również dlatego, że został wysłany do jednego z "naszych" eurodeputowanych. Szkoda, że trafiłem na niego dopiero teraz, ale lepiej późno niż wcale.

Sygnalizacja (sygn. DOLiS-035-47/07/330/08) dostępna jest online, w formacie PDF, a ja poniżej pozwolę sobie na jej zacytowanie w innym, bardziej dostępnym (mam nadzieję) formacie. Przy okazji warto zauważyć, że udostępniając materiał na swojej stronie GIODO nie umieścił w nim nazwiska europosła, ani też adresu strony internetowej, o którą chodzi. Wiadomo jedynie, że list do posła do Parlamentu Europejskiego został przez GIODO wysłany 8 stycznia 2008 r. (a więc minęło trochę czasu).

zwracam się o podjęcie działań mających na celu wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych pozyskiwanych za pomocą formularza zamieszczonego na stronie internetowej www i dostosowanie go do wymogów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.).

Impulsem do niniejszego wystąpienia było zawiadomienie pozyskane przez Generalnego Inspektora Ochrony Danych Osobowych oraz informacje zawarte na stronie internetowej www, z których wynika, iż osoby zainteresowane przesyłaniem do Pana Posła korespondencji drogą elektroniczną obowiązane są wpisać w formularzu zamieszczonym na wymienionej wyżej stronie internetowej swoje dane osobowe w zakresie imienia i nazwiska, wieku, adresu e-mail, a także wskazać województwo, na terenie którego mieszkają. Wspomniany formularz zawiera również pola, w których (fakultatywnie) nadawca korespondencji może wpisać nazwę miasta, w którym mieszka oraz numer telefonu stacjonarnego i komórkowego. Ponadto warunkiem przesłania korespondencji jest wyrażenie przez nadawcę zgody na przetwarzanie jego danych osobowych, które następuje poprzez zaznaczenie pola „x” usytuowanego obok formuły zgody w brzmieniu: „Wyrażam zgodę na wykorzystanie i przetwarzanie moich danych osobowych przez Y, w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 1997 r. nr 133 poz. 883).”

Wobec powyższego informuję, iż stosownie do art. 7 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Jednocześnie należy podkreślić, że zgoda na przetwarzanie danych osobowych powinna odnosić się do skonkretyzowanego stanu faktycznego i precyzować sposób i cel ich przetwarzania. Powyższe stanowisko potwierdził Naczelny Sąd Administracyjny, który w uzasadnieniu wyroku z dnia 4 kwietnia 2003 r. (sygn. akt II SA 2135/02) orzekł, iż „(...) wyrażający zgodę musi mieć w momencie jej zawarcia świadomość tego, co kryje się pod tym pojęciem.” Dalej czytamy również, że „(...) zgoda musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania.” Mając na uwadze powyższe oraz to, iż w treści formuły zgody opublikowanej na stronie internetowej wwwl nie został określony cel przetwarzania danych osobowych, wskazać należy, iż formuła ta nie odpowiada wymogom ustawy o ochronie danych osobowych. Z treści formuły zgody na przetwarzanie danych osobowych powinno bowiem w sposób nie budzący wątpliwości wynikać, w jakim celu pozyskiwane dane osobowe będą przetwarzane.

Na marginesie wskazuję również, iż zamieszczona w treści przytoczonej powyżej formuły zgody na przetwarzanie danych osobowych informacja o publikatorze ustawy o ochronie danych osobowych (tzw. metryczka) jest nieaktualna, bowiem tekst jednolity tej ustawy został opublikowany w Dzienniku Ustaw z 2002 r. Nr 101, poz. 926. W późniejszym okresie ustawa ta była także zmieniana, w związku z czym aktualna informacja o jej publikatorze powinna brzmieć: „Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.”

Ponadto proces przetwarzania danych, w tym ich pozyskiwania, powinien przebiegać przy zachowaniu także innych zasad określonych w przepisach ustawy o ochronie danych osobowych. Zasady te mają formę podstawowych obowiązków, jakie powinien spełnić każdy administrator danych. Z treści przepisu art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych wynika, iż administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, w szczególności jest obowiązany zapewnić, aby dane te były adekwatne w stosunku do celów, w jakich są przetwarzane. Przepis ten wyraża zasadę adekwatności przetwarzania danych osobowych co oznacza, iż administrator danych nie powinien zbierać danych osobowych o większym – niż jest to uzasadnione celem przetwarzania danych – stopniu szczegółowości. Powyższe stanowisko zostało potwierdzone przez Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z dnia 1 grudnia 2005 r. (sygn. akt II SA/Wa 917/2005) stwierdził, że „Adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swoimi danymi a interesem administratora danych. Administrator danych nie może w żaden sposób stawiać swego interesu ponad dobro osoby, której dane przetwarza. Równowaga będzie zachowana, jeżeli administrator zażąda danych tylko w takim zakresie, w jakim to jest niezbędne do wypełniania celu, w jakim dane są przez niego przetwarzane.”

Zważywszy na powyższe, jeżeli dane osobowe nadawców kierowanej do Pana Posła korespondencji są przetwarzane jedynie w celu udzielenia odpowiedzi w związku ze zgłaszanymi sprawami, to pozyskiwanie takich danych, jak wiek, nazwa miejscowości i województwa, na terenie którego znajduje się miejsce zamieszkania nadawcy korespondencji, oraz należący do niego numer telefonu (stacjonarnego i komórkowego), zdaje się prowadzić do naruszenia powoływanej zasady adekwatności, a tym samym stanowi naruszenie obowiązujących w tej mierze przepisów. Wątpliwe jest bowiem, by do udzielenia odpowiedzi w każdej zgłoszonej sprawie konieczne było udostępnienie przez nadawcę korespondencji jego danych osobowych we wskazanym powyżej zakresie.

Ponadto z analizy informacji zawartych na stronie internetowej www. wynika, iż nie został dopełniony obowiązek określony w art. 24 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z powołanym przepisem w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku; celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych; prawie wglądu do swoich danych oraz ich poprawiania; dobrowolności albo obowiązku podania
danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. W art. 24 ust. 2 ustawy o ochronie danych osobowych wymienione zostały przesłanki zwalniające od powołanego obowiązku, jednakże nie będą one miały zastosowania w omawianej sprawie.

Niezależnie od powyższego wyjaśniam, iż na administratorze danych spoczywają również inne obowiązki określone w przepisach ustawy o ochronie danych osobowych oraz wydanych na jej podstawie aktów wykonawczych. Należą do nich:

  1. obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, poprzez zapewnienie, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ustawy o ochronie danych osobowych),
  2. obowiązek respektowania praw osób, których dane dotyczą, określonych w rozdziale 4 ustawy o ochronie danych osobowych,
  3. obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem, o których mowa w art. 36 – 39 ustawy o ochronie danych osobowych, zaś w przypadku przetwarzania danych w systemie informatycznym – w przepisach rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024),
  4. wynikający z art. 40 ustawy o ochronie danych osobowych obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 pkt 1 – 11 tej ustawy.

W związku z zasygnalizowanymi powyżej nieprawidłowościami zwracam się do Pana Posła o dostosowanie procesu przetwarzania danych osobowych pozyskiwanych za pomocą formularza zamieszczonego na stronie internetowej www. do wymogów ustawy
o ochronie danych osobowych oraz o poinformowanie mnie o podjętych w tym zakresie działaniach.

Prawda, że interesujący list?

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Fajnie, ale posła nie ukarzą...

Bardzo ciekawy i sporo wyjaśniający "przeciętnemu zjadaczowi chleba" (czytaj: webmasterowi) :-)

Mnie ciekawi szczególnie 4 punkt na końcu:

wynikający z art. 40 ustawy o ochronie danych osobowych obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 pkt 1 – 11 tej ustawy.

Znam firmę, która tworzy strony dla klientów-firm. Na tych stronach ci klienci prowadzą sprzedaż rezerwacji turystycznych, sklepy itp.

Notka o UoODO jest, ale zgłoszenia nie ma.
Czy i jak teraz ta "znajoma" firma może to odkręcić i czy w ogóle musi?

Jej pracownicy mają dostęp do baz danych, aczkolwiek nie zajmują się prowadzeniem strony - te prowadzą klienci.

Z tego co wiem, takich firm jest cała masa i przynajmniej część ma świadomość problemu, ale się boi konsekwencji zgłoszenia - za niezgłoszenie w odpowiednim terminie też są potencjalnie kary...

Prawda jest straszliwa

Właśnie przymierzam się do odpalenia serwisu internetowego.
Zacząłem się zagłębiać w tę całą ochronę danych osobowych... i okazało się że prawda jest straszliwa.
Wyłączeń od rejestracji(owe art. 43 ust. 1 pkt 1 – 11) masz raptem 11, z czego tylko dwa dotyczą przeciętnych witryn - ogólnodostępność danych i przetwarzanie w celu wystawienia faktury.

Teraz - wejdź na stronę GIODO, odpal e-GIODO i wejdź w wyszukiwarkę zarejestrowanych zbiorów. Znajdziesz allegro, onet i kilka innych molochów, a z reszty to może 1% sklepów/serwisów internetowych.
[Ciekawostka: zarejestrowana jest cała masa agentów ubezpieczeniowych i pośredników w handlu nieruchomościami - chyba jakieś prikazy branżowe mają]

Na drugi ogień wziąłem hosting. Z moich poszukiwań wynika, że *NIE MA* w Polsce hostingu dla małej firemki, który by zapewnił zgodność z wymaganiami ustawy o odo. Czytaj: 99% serwisów przechowuje dane osobowe nielegalnie (dobrze piszę? Nie zabrzmiało jak "nielegalny program komputerowy" :) ?).

Co więcej, GIODO na swojej stronie uznaje IP za daną osobową, maila za taką daną nie uznaje - chyba że uznaje (za a nawet przeciw)...

Oczywiście rozumiem złożoność sytuacji, że np mail w połączeniu z IP pozwala na identyfikację konkretnej osoby, nawet jeśli IP i mail z osobna nie pozwalają itd, aczkolwiek skąd ja mam to wiedzieć co w jakiej konotacji z czym stanowi podstawę do potencjalnego zidentyfikowania osoby w rozsądnym czasie i przy rozsądnych kosztach? Ja chcę tylko prosty serwis założyć...

Wniosek jest taki, że każda działalność w internecie powinna, dla bezpieczeństwa, spełniać wymagania ustawy o odo, a jak nie to do dwóch latek za prętami.

Moi przyszli konkurenci nie zarejestrowali się w GIODO, nie mają na stronach informacji wymaganych przez ustawę o świadczeniu usług drogą elektroniczną, wielu nie pisze nic o ochronie danych osobowych, działają często na hostingach współdzielonych, więc daję 99% pewności że te sprawy u nich leżą. A jednak działają już po parę lat - i nic się nie dzieje.

Pytanie - mam to wszystko olać i jechać na żywioł, czy może wykupić w serwerowni miejsce pod kolokację, zabezpieczyć teren, zamontować sejf, kupić serwer, zatrudnić administratora, zarejestrować się w GIODO i... nie zostać zarejestrowanym z jakiegoś powodu, którego przezwyciężenie pochłonie kolejne 10k?

A może piszę głupoty i ktoś ma prostą receptę na zgodne z prawem przetwarzanie danych osobowych w małych serwisach internetowych?

PS. Czy jeśli będzie już ogólnopolska baza DNA (tak jak w UK), to czy każda firma będzie perfidnie łamać ustawę o odo? Przecież każdy klient zostawia próbkę DNA na podłodze, a skoro PESEL jest daną osobową, to DNA tym bardziej...

Nie wszystko trzeba rejestrować...

VaGla's picture

Czy założyciel portalu internetowego musi zgłosić do rejestracji Generalnemu Inspektorowi bazę danych zawierającą informacje o osobach reprezentujących firmę (nazwiska osób "kontaktowych";), która zarejestrowała się w portalu?, a tam:

(...)
Zbiór danych osób kontaktowych służy usprawnieniu, przyspieszeniu działalności administratora. Zbiór ten ma zatem charakter pomocniczy, a co za tym idzie dane w nim zawarte traktować należy jako przetwarzane w zakresie drobnych, bieżących spraw życia codziennego.

Zwolnienie administratora danych z obowiązku zgłoszenia zbioru danych do rejestracji nie zwalnia go z szeregu innych obowiązków wynikających z przepisów o ochronie danych osobowych. Administrator danych zobowiązany jest m.in. spełnić jedną z przesłanek legalizujących przetwarzanie danych wskazanych w art. 23 ust. 1 tej ustawy oraz dopełnić obowiązku informacyjnego.
(...)

--
[VaGla] Vigilant Android Generated for Logical Assassination

Tyle że...

...z tej odpowiedzi GIODO (którą już wcześniej czytałem) rozumiem, że w portalu zarejestrowała się firma - której dane z definicji nie są objęte ochroną, a dodatkowo są tam dane reprezentantów tej firmy. Pomijając to, czy dane pracowników "kontaktowych" są objęte ochroną(w końcu chyba tylko imię i nazwisko podają "swoje", tel i mail są firmowe - i jeśli są "kontaktowi" to ich dane są "powszechnie dostępne"?), to ja mam inną sytuację - logować się będą u mnie użytkownicy indywidualni.

Natomiast największym problemem nie jest samo zarejestrowanie się, tylko spełnienie wymagań ustawy i rozporządzenia wykonawczego - w końcu naprawdę rejestracja tylko potwierdza spełnienie wymagań.

Powyższy cytat nijak się

Powyższy cytat nijak się ma do przedstawionego problemu.
Generalnie wychodzi na to, że UoODO to fikcja gdyż naprawdę mało kto się nią przejmuje.

Są tak naprawdę dwa poważne problemy:

1. Co ma zrobić podmiot który spóźnił się ze zgłoszeniem i już przetwarza dane, choć nie powinien? Tak czy tak podkłada sobie minę - IMO jest to luka w ustawie - dla zgłaszających się przed zgłoszeniem naruszenia zapisów (tzn. zanim prokurator/GIODO się dowie) powinna być jakaś karna opłata, np. 1000 EUR.

2. Brakuje konkretnych przykładów nt. infrastruktury oraz studiów przypadku (sklep z własnym serwerem, sklep z hostingiem dzielonym itp. itd.). Skąd ma zwykły webmaster wiedzieć, jakie są fizyczne zabezpieczenia w serwerowni na drugim końcu kraju/świata i czy są one wystarczające? Kreator formularza zgłoszeniowego jest ok, ale jak go wypełnić - to jest czasem zagadka...

Zresztą prawda jest taka, że dane nie są prawie nigdzie chronione i ludzie się bardzo dziwią, że nie da się postawić zwykłej bazki 'ot tak' i że trzeba wdrażać jakąś kontrolę, w tym fizyczną, nad całością...

No i co z tym zrobić?

Masz jakieś wiadomości na temat co firmy z tym fantem robią?
Zaczynają pod stołem, a gdy serwis się rozrasta to zgłaszają się do GIODO i liczą na wyrozumiałość?
Czy dobrze myślę że 95%-99% prowadzących sklepy i serwisy to formalnie rzecz biorąc przestępcy?

IMO: zgłosić

Nie mam wiedzy co do ogółu. Myślę, że większość takich sklepów działa z naruszeniem prawa, bo koszty jego przestrzegania są za duże w sytuacji, gdy obrót jest niewielki.

Nie znam wyjścia z tej sytuacji, intuicja mi podpowiada: zgłaszać. Ale czy nie zostanie się za to pokaranym, to nie wiem. Ale na zdrowy rozum: jak nie zgłosisz i coś się rypnie to pozamiatane, jak zgłosisz i zaczniesz przestrzegać zasad, to się raczej nic nie rypnie i ew. konsekwencje powinny być mniej przykre.

Ciekawa korespondencja z GIODO

http://tiny.pl/892m

Ostatnie bodajże 3 posty pod tym linkiem i kontynuacja na kolejnych stronach.

Chciałem sam pokorespondować z GIODO, ale na powyższym przykładzie okazuje się, że to nie ma najmniejszego sensu. Co prawda rozumiem, że oni nie są od wyjaśniania prawa, ale jednak mają ustawowe zadanie szerzenia wiedzy o ochronie danych osobowych - więc prawny tutorial dla sklepu internetowego czy jakiegoś forum były całkiem na miejscu :)

Jak chronić swoje dane osobowe? czat z GIODO...

Mozna spróbować zadać pytanie GIODO, czat na portalu Wirtualna Polska, juz w czwartek 10.09.2008 po 14.00
szczegóły na;

http://czat.wp.pl/id_czata,3276,naszgosc.html#pyt

Taaaa

Z tego co czytam, wszyscy błądzimy we mgle ... GIODO. Interesował mnie watek małego serwisu internetowego, który rejestruje swoich członków po minimum. Czyli tylko wymyślony Login i e-mail. Ale nigdzie nie można uzyskać informacji. Nawet w GIODO. To jakaś paranoja. Zostały stworzone przepisy, których nikt nie rozumie i nie potrafi interpretować.
A może coś się zmieniło w temacie ??
Jakby co to jestem pod hudsonproject@interia.pl. Każde doświadczenie cenne jest.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>