GIODO: imię, nazwisko, zdjęcie, szkoła, klasa i rocznik - łącznie - nie są danymi osobowymi...

nagłówek decyzji GIODOWiem, że chcecie Państwo o tym podyskutować, więc zgodnie z wczorajszą zapowiedzią (por. Spam w serwisach społecznościowych zainteresował organy ścigania...) obiecana decyzja Generalnego Inspektora Ochrony Danych Osobowych. Wiadomo, że zarówno zdaniem Unii Europejskiej jak i - w konsekwencji GIODO - numery IP zostały uznane za dane osobowe. Z niedawnej decyzji zaś wynika, że imię, nazwisko, zdjęcie i informacja na temat klasy, do której się kiedyś chodziło w konkretnej szkole, zdaniem GIODO, takimi danymi osobowymi nie są, gdyż... ustalenie na podstawie tych danych tożsamości osoby, o którą chodzi, wiązałoby się z nadmiernymi kosztami... Hulaj dusza, piekła nie ma? Pokrzywdzony ma, zdaje się, zamiar iść z tym do sądu.

To jest kolejna decyzja GIODO w sprawie podpisu pod zdjęciem w serwisie Nasza klasa (por. Dalsze boje o usunięcie danych z Naszej-klasy (sąd i prokuratura wydały postanowienia) oraz linki w linkowanym wyżej tekście). Wydając decyzję datowaną bodaj na 3 września (data jest mało czytelna na posiadanym przeze mnie skanie), o sygnaturze (znów nieczytelnie) DOLiS/DEC 515/08/22857, działając na podstawie art. 138 § 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania w sprawie wniosku pokrzywdzonego (nazwiska chociaż ważne, to jednak go nie ujawnię), o ponowne rozpatrzenie sprawy jego skargi na przetwarzanie jego danych osobowych przez Nasza Klasa Sp. z o. o., z siedzibą we Wrocławiu przy ul. Dembowskiego 57/5, rozstrzygniętej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 27 maja 2008 r. (znak: DOLiS/DEC-314/08/13239,13245), Generalny Inspektor Ochrony Danych Osobowych

  1. uchylił zaskarżoną decyzję administracyjną z dnia 27 maja 2008 r. (znak: DOLiS/DEC-314/08/13239,13245),
  2. umorzył postępowanie.

Decyzja jest ostateczna, ale stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia. Skarżący ma - jak się wydaje - zamiar złożyć taką skargę do WSA.

Wypada przywołać fragment z uzasadnienia tej decyzji (część dotyczącą ustaleń faktycznych pominę, gdyż jest analogiczna do wcześniej publikowanych w tym serwisie informacji):

Po ponownym zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych uznał, że kwestionowana decyzja administracyjna z dnia 27 maja 2008, (znak: DOLiS/DEC-314/08/13239,13245) wymaga uchylenia w całości, zaś postępowanie pierwszej instancji należy umorzyć.

Przedmiotem regulacji ustawy o ochronie danych osobowych są zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1). Ustawa definiuje dane osobowe jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizyczne] (art. 6 ust. 1). Osobą możliwą do zidentyfikowania jest przy tym osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2), Informacji nie uważa się za umożliwiającą określenie tożsamości, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art 6 ust 3)

Jak zatem wynika z powyższego, status danych osobowych mają tylko informacje o osobie fizycznej zidentyfikowanej lub takiej, której identyfikacja jest możliwa bez nadmiernego nakładu kosztów, czasu bądź działań. W literaturze przedmiotu podkreśla się przy tym, że o możliwości identyfikacji osoby powinno rozstrzygać rozumienie informacji przez przeciętnego odbiorcę (por. A. Drozd „Najnowsze wydanie: Ustawa o ochronie danych osobowych. Komentarz. Wzory y pism i przepisy" Warszawa 2007 Wydawnictwo Prawnicze LexisNexis, wydanie III, ss. 504 za G. Sibigą Postępowanie w sprawach ochrony danych osobowych" Warszawa 2003, s. 38 i powołanym tam wyrokiem SA w Krakowie z dnia 19 grudnia 2000 r., sygn. akt: I Aca 794/200). Zaliczenie informacji do kategorii danych osobowych jest zatem możliwe jedynie wówczas, gdy jej odbiorca, nie ponosząc nadmiernych kosztów, nie poświęcając nadmiernie długiego czasu i nie podejmując niewspółmiernych działań, może powiązać ją z konkretną, zidentyfikowaną osobą fizyczną.

Generalny Inspektor ocenił w kwestionowanej decyzji z dnia 27 maja 2008 r. (znak: DOLiS/DEC-314/08/13239,13245), że informacje o imieniu i nazwisku Skarżącego, w połączeniu z informacjami o nazwie i adresie szkoły podstawowej oraz oznaczeniu klasy, do której uczęszczał, wraz z jego wizerunkiem z 1978/1979 roku, umożliwiają identyfikację Skarżącego, tym samym zaś stanowią jego dane osobowe. Ponowna analiza przedstawionego stanu faktycznego prowadzi jednak do wniosku, że potencjalna możliwość powiązania ww. sekwencji informacji o Skarżącym - z nim obecnie - wymaga zaangażowania niewspółmiernych kosztów, czasu lub działań. Warto przy tym zwrócić uwagę, że imię i nazwisko Skarżącego zostało przypisane do jego wizerunku sprzed lat przez osobę trzecią, w formie komentarza do fotografii i w tym sensie informacja ta nie ma charakteru obiektywnego. Organ ochrony danych podziela zatem stanowisko Spółki, iż cyt.: „(...) samo zestawienia zdjęcia sprzed 30 lat z imieniem i nazwiskiem określonej osoby oraz szkoły podstawowej, do której ta osoba uczęszczała, nie pozwala na identyfikację tej osoby bez nadmiernych kosztów i czasu (...)".

Nie można zgodzić się z uwagami Skarżącego, iż cyt.: „(...) Identyfikacja osoby, to nie znalezienie miejsca pobytu czy zamieszkania osoby, a informacje umożliwiające bezsprzecznie stwierdzenie i wskazanie osoby ta osoba i właśnie ta. Pytam więc ilu [imię i nazwisko - zmodyfikowałem ze względu na specyfikę sprawy i dobro skarżącego, dopisek mój, VaGla] chodziło do szkoły nr [nr szkoły] w [miasto] w roczniku [rocznik] do klasy [oznaczenie klasy]? Informacje zamieszczone na portalu nasza-klasa.pl umożliwia zidentyfikowanie mojej osoby nie pozostawiając żadnych wątpliwości o kogo w zawartej informacji chodzi (...)". Kluczową - z punktu widzenia ustalenia, czy kwestionowane informacje na temat Skarżącego stanowią jego dane osobowe - jest bowiem kwestia możliwości dokonania na ich podstawie, przez przeciętnego odbiorcę, identyfikacji Skarżącego obecnie.

Ustalenie, iż kwestionowane informacje o Skarżącym nie mieszczą się w definicji danych osobowych ma decydujące znaczenie z punktu widzenia rozstrzygnięcia, które musi zostać wydane w niniejszej sprawie.

Stosownie do brzmienia art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), zwanej dalej Kpa, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o umorzeniu postępowania. Brzmienie powołanej regulacji nie pozostawia wątpliwości, iż w razie stwierdzenia bezprzedmiotowości postępowania organ prowadzący to postępowanie obligatoryjnie je umarza. Jednocześnie w literaturze przedmiotu wskazuje się że bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 Kpa oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie co do istoty (B. Adamiak, J. Borkowski „Kodeks postępowania administracyjnego. Komentarz 7 wydanie C: Wydawnictwo C.H. Beck, Warszawa 2005 r., str. 485).

Postępowanie administracyjne prowadzone przez Generalnego Inspektora jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy o ochronie danych osobowych. Jak wynika z brzmienia powołanego przepisu, w przypadku naruszenia przepisów ustawy o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usuniecie uchybień (pkt 1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (pkt 2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (pkt 3), wstrzymanie przekazywania danych osobowych do państwa trzeciego (pkt 4), zabezpieczenie danych lub przekazanie ich innym i podmiotom (pkt 5), usunięcie danych osobowych (pkt 6).

Bezpodstawne było zatem żądanie Skarżącego (sformułowane w piśmie z dnia 26 marca 2008 r., a następnie powtórzone w piśmie z dnia 22 maja 2008 r.) dotyczące wydania przez organ decyzji administracyjnej cyt: „(...) stwierdzającej sprzeczność z obowiązującym prawem przetwarzania moich danych osobowych przez Nasza Klasa Sp. z o.o. w okresie od grudnia 2007 r. (...)", podobnie jak żądanie „(...) ukarania portalu (...)". Jednocześnie podkreślić należy, że żądanie Skarżącego pod adresem Generalnego Inspektora, dotyczące podjęcia przez organ działań, o których mowa w art. 18 ust. 1 ustawy, było jednoznaczne i nie budziło najmniejszych wątpliwości. Inicjując przedmiotowe postępowanie Skarżący jednoznacznie wskazał, że domaga się doprowadzenia do usunięcia przez Spółkę przetwarzanych w ramach portalu www.nasza-klasa.pl informacji o jego imieniu i nazwisku. Wobec stwierdzenia, że kwestionowane informacje o Skarżącym nie stanowią jego danych osobowych, postępowanie w ww. zakresie powinno zostać umorzone - na zasadzie art. 105 ust. 1 Kpa - wobec jego bezprzedmiotowości.

W sytuacji, gdy organ rozpatrujący sprawę w drugiej instancji ustali, iż w toku postępowania w pierwszej instancji spełnione zostały przesłanki jego umorzenia, działając w oparciu o art. 138 § 1 pkt 2 Kpa, uchyla zaskarżoną decyzję i umarza postępowanie pierwszej instancji (por. B. Adamiak, J. Borkowski „Kodeks postępowania administracyjnego. Komentarz" 7 wydanie Wydawnictwo C.H.Beck Warszawa 2005, str. 605).

Na marginesie wskazać warto, że jeżeli w ocenie Skarżącego kwestionowane upublicznienie informacji na jego temat narusza jego dobra osobiste, roszczeń z tego tytułu może dochodzić w ramach postępowania przed sądem powszechnym. Prawna ochrona dóbr osobistych statuowana jest przepisami ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 z póź. zm.). W myśl art 24 Kodeksu Cywilnego dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależni od ochrony przewidzianej w innych przepisach. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny (§ 1). Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych (§ 2).

Ponadto, jeżeli zdaniem Skarżącego Spółka wypełniła swoim działaniem znamiona czynu zabronionego ustawą o ochronie danych osobowych bądź inną ustawą pod groźbą kary, może skierować do organów ścigania zawiadomienie o podejrzeniu przestępstwa.

W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.

Dla porządku przywołam również cytowanego w powyższej decyzji dr Sibigę, który w dzisiejszej Rzeczpospolitej, przy tekście Podpisy pod zdjęciami nie znikną z nasza-klasa.pl skomentował decyzję następującymi słowami:

W tej sprawie nie powinno się stosować teoretycznego kryterium „przeciętnego odbiorcy", ale stwierdzić, czy doszło do faktycznej identyfikacji lub możliwości identyfikacji osoby, której dane ujawniono w internecie. Informacje, które dla osoby postronnej nie będą przydatne do ustalenia tożsamości, dla kolegi z klasy czy szkoły w sposób oczywisty wystarczą do jednoznacznej identyfikacji. W tym zakresie są to dane osobowe.

Z komentarzy nigdzie niepublikowanych, które "środowisko" wymienia między sobą, wspomnę tylko jeden: "GIODO umył ręce".

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Oh my GIODO

Tomasz Rychlicki's picture

Ciekawa decyzja. Ale w sumie czemu się dziwić skoro w materiałach informacyjnych na stronie GIODO, pod tytułem Czy adres IP komputera należy do danych osobowych?, czytamy:

TAK Za dane osobowe uważa się wszelkie informacje dotyczące osoby fizycznej lub wszelkie informacje możliwe do zidentyfikowania tej osoby. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić przez numer identyfikacyjny lub jeden z czynników fizycznych, fizjologicznych, umysłowych, kulturowych czy społecznych. Danymi osobowymi są zatem takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak również na określenie jej tożsamości przy pewnym nakładzie kosztów, czasu lub działań. Opinia Grupy Roboczej ds. Ochrony Danych, powołanej przez Parlament Europejski i Radę Europejską (rozdz. III pkt 3 przykład 15) uznała literalnie adres IP za dane dotyczące osoby możliwej do zidentyfikowania, stwierdzając, że: "dostawcy usług internetowych oraz menedżerowie lokalnych sieci mogą, stosując rozsądne środki, zidentyfikować użytkowników internetu, którym przypisali adresy ip ponieważ systematycznie zapisują w plikach daty, czas trwania oraz dynamiczny adres IP (czyli ulegający zmianie po każdym zalogowaniu) przypisany danej osobie. To samo odnosi się do dostawców usług internetowych, którzy prowadzą rejestr (logbook) na serwerze HTTP Nie ma wątpliwości, że w takich przypadkach można mówić o danych osobowych, w rozumieniu art. 2 Dyrektywy"

W związku z powyższym należy uznać, że w przypadkach, gdy adres IP jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową. W praktyce możemy się spotkać jednak z sytuacjami, gdy jednoznaczne przypisanie adresu IP do konkretnej, zidentyfikowanej osoby nie jest praktycznie możliwe. Sytuacja taka może wystąpić np. w kawiarenkach internetowych, gdzie komputery udostępniane są klientom bez odnotowywania ich danych identyfikacyjnych. Są to jednak sytuacje wyjątkowe. W wielu przypadkach, nawet przy korzystaniu z komputera w kawiarence internetowej, wykorzystując dane zarejestrowane przez system nadzoru wizyjnego w zestawieniu z innymi danymi (np. dotyczących płatności przy użyciu karty kredytowej), możliwe jest zidentyfikowanie osoby korzystającej w danym czasie z danego komputera. Ponieważ definicja danych osobowych sformułowana w art. 2 Dyrektywy 2002/58/WE pokrywa się z definicją podaną w ustawie o ochronie danych osobowych (art. 6 ustawy), adresy IP można uznać jako dane osobowe. Podstawa prawna Art. 6 ust. 1 ustawy z 29 sierpnia o ochronie danych osobowych Dyrektywa 94/46/WE Parlamentu Europejskiego.

Opublikowane przez: Rafał Grodzki 2008-07-28 14:23:33
Ostanio modyfikowane przez: Rafał Grodzki 2008-07-28 14:26:35
Za treść odpowiada: Małgorzata Kałużyńska - Jasak

A co z tym stanowiskiem

A co z tym stanowiskiem GIODO jest nie tak? Mam na myśli adres IP, nie sprawę N-K. Jeżeli adres IP - po zestawieniu z innymi danymi - pozwala na identyfikację osoby, która korzystała z systemu identyfikowanego przez ten adres, to ma on charakter danych osobowych. A jeżeli nie umożliwia, to nie ma.

Stanowisko GIODO przyjmuje

Stanowisko GIODO przyjmuje twardo, że "w przypadkach, gdy adres IP jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową". Podczas, gdy niewiążące w żaden sposób stanowisko Warsztatów, o których mowa wcześniej relatywizuje tę sytuację i odnosi jedynie do zbiorów danych gromadzonych przez podmioty, które mogą je powiązać z innymi danymi osobowymi.

O ile w przypadkach, o których mówi Warsztat, rzeczywiście należy uznać, że zasady przetwarzania danych przez tych administratorów muszą uznawać, że w ramach działań tego administratora posługiwanie się numerem IP zamiast innych danych nie oznacza anonimizacji, o tyle stanowisko GIODO traktuje sprawę rozszerzająco uznając de facto, że za dane osobowe zawsze należy uznawać IP.

To trochę tak, jak z

To trochę tak, jak z numerem telefonu. Jeżeli numer jest przypisany stale temu samemu użytkownikowi, to go identyfikuje, czyż nie? Podobnie z adresem poczty elektronicznej. Adres IP to nic innego jak zestaw cyfr, które identyfikują system teleinformatyczny. Ale jak na tym systemie stale pracuje określona osoba, to pośrednio identyfikują także i ją.

Nie należy natomiast zapominać o zjawisku relatywizacji pojęcia danych osobowych. W skrócie, nie jest możliwym wskazanie zamkniętego katalogu informacji, które umożliwiają, bądź też nie umożliwiają określenia tożsamości osoby fizycznej. I z drugiej strony, ta sama informacja dla jednej osoby może mieć charakter danych osobowych, a innej już nie. Wniosek z tego taki, że np. dla dostawcy mojej usługi dostępu do sieci, nadany mojemu laptopowi adres IP jest moją daną osobową. Czy to jest statyczny, czy dynamiczny adres, dla dostawcy usługi ma charakter danych osobowych. Dla informatyka w kancelarii, w której pracuję, numer IP mojego firmowego laptopa też jest moją daną osobową. Ale dla większości tych, którzy widzą teraz ten adres w sieci, już nie ma on charakteru osobowego - bo nie są w stanie ustalić, że ten adres to ja.

Z tych względów stanowisko GIODO, choć może nieco upraszczające (nie zapominajmy, że jest to dział "Pytania i odpowiedzi", który z istoty swojej nie może być zbyt skomplikowany), ale jest prawidłowe. A Grupa Robocza (bo to o niej chyba piszesz, używając słowa "Warsztaty") w swoim stanowisku tak na prawdę nie napisała niczego odkrywczego - od dawna nie było kwestionowane, że adres IP dotyczy osoby możliwej do zidentyfikowania. Tylko że nie każdy może tej identyfikacji dokonać.

To jest tak, jakby uznać,

sheep's picture

To jest tak, jakby uznać, że kolor koszulki jest daną osobową, gdyż w przypadku, gdy istnieje tylko jedna osoba nosząca koszulkę w takim kolorze, można ją jednoznacznie zidentyfikować (na przykład na zdjęciu). Zatem sklep, który sprzedaje koszulki w różnych kolorach i w dokumentacji stanu magazynowego śledzi ile jakich koszulek zostało sprzedanych, zbiera dane osobowe.

Lekka paranoja.

Wydaje mi się, że dużo rozsądniej za dane osobowe byłoby przyjąć te nagrania z kamer, logi z serwerów oraz dane z umów z ISP... To odpowiadałoby sytuacji w której ktoś mi powiedział coś o "osobie w zielonej koszulce" na pewnym zdjęciu, ale zdjęcia nie ujawnił. W zestawieniu ze zdjęciem (logami, nagraniami z kamer, etc.) informacja staje się daną osobową.
To oczywiście pod warunkiem, że zdobycie zdjęcia (logów, nagrań) wiąże się z nakładami sił i środków.

Cóż, sprowadzanie do

Cóż, sprowadzanie do absurdu jest również jedną z metod dowodzenia, niemniej charakterystyczną raczej dla nauk ścisłych, nie społecznych. I w przypadku nauk prawnych się nie sprawdza.

A poważanie, to ja mam dokładnie odwrotne zdanie. W sytuacji, gdy coraz większa ilość danych na mój temat jest zbierana sam nie wiem jak i przez kogo, instytucjonalna ochrona danych osobowych, która ma zapobiegać naruszeniom prywatności, a nie zwalczać już zaistniałe, nabiera coraz większego znaczenia. Konkretne osoby fizyczne są identyfikowane przez coraz większą ilość numerów, kodów i innych informacji, od numeru PESEL począwszy, przez numer karty kredytowej, numerze IP laptopa kończąc. A do czego prowadzi nonszalancja w tym temacie najlepiej ilustruje przykład niejakiego Clarksona, kiedyś przez Piotra podawany.

Każdy kij ma dwa końce.

sheep's picture

Osobiście wolałbym, gdyby jednak nawet znając mój numer konta osoby postronne nie mogły dysponować środkami na tym koncie zgromadzonymi :)

Postęp. Coraz łatwiej jest informacje zbierać i analizować -- więc siłą rzeczy definicje bazujące na "nakładzie sił i kosztów" podlegają zmianie.

Czym innym jest "informacja publiczna" którą możemy zdobyć mozolnie chodząc po urzędach i innych instytucjach i walcząc z biurokracją, a co innego dane które możemy automatycznie z serwerów tych instytucji pobierać.

Aż strach pomyśleć co mogłoby się stać danymi osobowymi gdyby strony (serwisy? czasopisma?) prowadzone przez instytucje użyteczności publicznej rzeczywiście były tak interoperacyjne i dostępne jak to ustawa przewiduje. Każdy kij ma dwa końce.

możliwość zidentyfikowania skarżącego obecnie

ksiewi's picture

Przeczytałem gdzieś ostatnio informację o nowej wyszukiwarce w jakimś serwisie do przechowywania zdjęć, która podobno potrafi rozpoznać osobę z zadanego jej zdjęcia na innych zdjęciach. Skądinąd wiemy o coraz doskonalszych programach do "postarzania" i "odmładzania" zdjęć. Dodać do tego kilka serwisów typu NK, w których znajomi ochoczo "tagują" zdjęcia. Dodać do tego cyfrówki z GPSem, które do zdjęcia dopisują jego dokładną lokalizację... Dodać do tego CCTV... podłączone do Internetu...

Być może obecnie skarżącego istotnie nie można zidentyfikować, ale za parę lat (miesięcy?)... kiedy to jego zdjęcie z NK będzie można wygrzebać z czeluści Internetu takich jak archive.org... w powiązaniu z danymi z innych serwisów (w których jeszcze inni jego koledzy otagują jego zdjęcia jego imieniem, nazwiskiem, numerem buta i co tam jeszcze podpowie im fantazja...)

Na co warto zwrócić uwagę...

Warto przy tym zwrócić uwagę, że imię i nazwisko Skarżącego zostało przypisane do jego wizerunku sprzed lat przez osobę trzecią, w formie komentarza do fotografii i w tym sensie informacja ta nie ma charakteru obiektywnego.

Czyżby kolejny przejaw dezawuowania tzw. "user generated content'u"?

Kto zidentyfikował

VaGla's picture

Fakt, że "osoba trzecia" przypisała imię i nazwisko do zdjęcia opublikowanego wraz z informacjami na temat szkoły, klasy i rocznika wskazuje na to, że ta osoba nie miała problemu z identyfikacją konkretnej osoby (nie wiązało się to ze zbytnim nakładem...), mając do dyspozycji mniejszy katalog "danych", niż inne osoby po operacji przypisania...
--
[VaGla] Vigilant Android Generated for Logical Assassination

Ale w ściśle

maniak713's picture

Ale w ściśle legalistycznej interpretacji jest to OK.

O ile można by uznać, że osoba umieszczająca ten podpis dysponowała danymi niedostępnymi ogólnie (tzn znała opisanego osobiście), o tyle udostępniony w ten sposób zestaw danych znacznie ułatwia identyfikację.

Mając dane o klasie, można ustalić wiek z dokładnością do roku (np I kl podstawówki = 7 lat, czasami 6 lub 8), z danych o szkole można ustalić przybliżony adres (zwykle dzieci chodzą do szkoły niedaleko od domu), ze zdjęcia można wyprodukować przybliżony portret aktualny... Niby nie jest to absolutnie dokładny namiar, ale już dobry start do dokładniejszego tropienia - pan X urodzony w roku Y w miejscowości Z, wyglądający jakoś tak.

Zastanawia mnie jeszcze jedno - czy nie mają tu zastosowania przepisy o zgodzie na użycie wizerunku?

Czyli relatywizacja?

Bo ta osoba trzecia przecież musiała już wcześniej dysponować tymi danymi, pewnie chodziła z nią do klasy, a może nadal się przyjaźnią, czy pozostają w innych bliskich stosunkach. Więc nakład pracy z jej strony musiał być minimalny. Co innego z przeciętnym odbiorcą.

GJP

Ja jakoś kompletnie nie rozumiem zamieszania z tą konkretną sprawą. Jakkolwiek bowiem pełną rację ma Pan Paweł Litwiński pisząc o "sytuacji, gdy coraz większa ilość danych na mój temat jest zbierana sam nie wiem jak i przez kogo" i jest to dla niego sytuacja niezbyt komfortowa, to jednak ja z tego wszystkiego wyciągam zupełnie inne wnioski. Jeśli bowiem tak dużo informacji na nasz temat jest w obiegu i są one dość dostępne, to przykładanie tak wielkiej wagi do zdjęcia sprzed lat jest dość śmieszne. Nie tym się trzeba zajmować. Owszem niepokoi mnie to, że - najbardziej oczywiscie rząd i państwo jako takie, w mniejszym stopniu instytucje komercyjne - wiedzą o mnie wszystko lub prawie wszystko i z tym trzeba walczyć. Natomiast z tym, żebym mógł kogoś odwiedzić w bloku i znaleźć jego nazwisko na domofonie lub odnaleźć kolegę z dawnych czasów walczyć nie trzeba. Wprost przeciwnie to trzeba zachować, żeby zachować resztki normalności.

Natomiast co do tej sprawy wydaje mi się ciekawsze inne zagadnienie. Pan Grzegorz Sibiga pisze w cytowanym tekście z Rzepy, iż "[w] tej sprawie nie powinno się stosować teoretycznego kryterium >>przeciętnego odbiorcy<<". Natomaist sama decyzja powołując się na komentarz ... tejże samej osoby (sic!) wspomina, że "[w] literaturze przedmiotu podkreśla się przy tym, że o możliwości identyfikacji osoby powinno rozstrzygać rozumienie informacji przez przeciętnego odbiorcę (por. A. Drozd „Najnowsze wydanie: Ustawa o ochronie danych osobowych. Komentarz. Wzory y pism i przepisy" Warszawa 2007 Wydawnictwo Prawnicze LexisNexis, wydanie III, ss. 504 za G. Sibigą Postępowanie w sprawach ochrony danych osobowych" Warszawa 2003, s. 38 i powołanym tam wyrokiem SA w Krakowie z dnia 19 grudnia 2000 r., sygn. akt: I Aca 794/200)".

Nie mam w tej chwili dostępu do tegoż komentarza, nie potrafię więc w pełni zweryfikować tego, czy Autor ten faktycznie raz twierdzi jedno, a raz drugie. Raczej bez szerszego kontekstu, a przede wszystkim - jak wspominam - źródłą trudno to ocenić.

Ale to jest tylko jedno zagadnienie, nawet mniej ważne. Istotniejsze jest to, żeby - ewentuylanie na kanwie tej sprawy, może do tego się choć przydać - rozstrzygnąć, czy rzeczywiście lepsze by było to widzenie przeciętnego odbiorcy (moim zdaniem tak), czy raczej, co znów trafnie zauważa Pan Paweł Litwiński, żeby brać pod uwagę relatywizację pojęcia danych osobowych.

Ponieważ znów coś tam

Ponieważ znów coś tam potworzę na temat danych osobowych i siedzę obłożony literaturą wszelaką (a dr No już dawno mówił, że trzeba dokonać digitalizacji zasobów...), pozwolę sobie na kilka uwag dot. sposobu cytowania przez GIODO.

Po pierwsze, najnowsze wydanie komentarza dra Andrzeja Drozda ma dokładnie 504 strony, jak to podaje GIODO w uzasadnieniu decyzji. Tyle tylko, że cytując pracę podajemy nie ilość stron w ogóle, ale stronę, na której cytowany pogląd się znajduje. Z tego względu nijak nie można zweryfikować, czy istotnie autor prezentuje pogląd, na który powołuje się GIODO.

Po drugie, na rzeczonej str. 38 monografii "Postępowanie w sprawie ochrony danych osobowych" znajduje się taki oto passus (zaczyna się na str. 37):

W orzecznictwie sądowym znacząco ogranicza się takie rozumienie "danych osobowych", np. w wyroku Sądu Apelacyjnego w Krakowie z dnia 19 grudnia 2000 r. dotyczącym relacji prasowej o toczącym się postępowaniu stwierdzono: "nie jest trafna stanowisko, że podanie w spornym artykule imienia i inicjału powoda umożliwiało czytelnikom tego artykułu identyfikację osoby powoda. Dla takiej oceny nie jest miarodajna okoliczność, że osoby ze środowiska powoda miały dostateczne podstawy do powiązania powoda z relacją o toczącym się postępowaniu karnym. Podstawy do takiej identyfikacji wynikały bowiem z wiedzy osób bliskich i znajomych o sytuacji powoda, a nie były prostym następstwem oznaczenia skarżonego jako Wojciecha D."

Konia z rzędem temu, kto zacytowany fragment rozumie jako "W literaturze przedmiotu podkreśla się przy tym, że o możliwości identyfikacji osoby powinno rozstrzygać rozumienie informacji przez przeciętnego odbiorcę", jak to czyni GIODO w uzasadnieniu decyzji.

A niezależnie od tych uwag warsztatowych, jeszcze jedna kwestia - oczywiście jest tak, że kwalifikacji jakiejś informacji z punktu widzenia pojęcia danych osobowych należy dokonywać z punktu widzenia konkretnej osoby, która tę informację przetwarza. Inaczej cała definicja danych osobowych traci sens - bo przecież u podstaw rozumienia tego pojęcia leży założenie, że coś, co dla jednej osoby ma charakter danych osobowych, dla innej już tego charakteru nie ma. Dlatego nie możemy automatycznie przenosić dorobku orzeczniczego prawa cywilnego na grunt ustawy o ochronie danych osobowych - to dwa różne systemy prawne, mimo tego, że chronią tą samą wartość, jaką jest prywatność.

jeszcze o tej relatywizacji

Paweł Litwiński napisał:

(...) u podstaw rozumienia tego pojęcia leży założenie, że coś, co dla jednej osoby ma charakter danych osobowych, dla innej już tego charakteru nie ma

Ok, ale takie założenie wcale nie niweczy zasadności poglądu, że istotne powinno być spojrzenie przeciętnego odbiorcy.

Niweczy i to w sposób

Niweczy i to w sposób zasadniczy. Otóż przy założeniu, że oceny dokonujemy przy pomocy pewnego wzorca, będziemy mieli jednolitą kwalifikację danej informacji. Przykład - co do zasady, imię i nazwisko identyfikuje osobę fizyczną, więc przykładamy ten wzorzec do każdego imienia i nazwiska i mamy, że imię i nazwisko jest daną osobową. A tymczasem nie jest to zawsze prawda - Jan Kowalski, i na dodatek jeszcze z Warszawy, a nie wiemy, kto to jest. I w drugą stronę - co do zasady, po numerze rejestracyjnym pojazdu nie możemy od razu powiedzieć, czyj to pojazd. A tymczasem jak sobie wykupimy abonament na parkingu, to obsługa będzie miała listę: numer rejestracyjny + właściciel. I jak tylko się pojawi nasz samochód od razu obsługa będzie wiedzieć, kto jedzie.

Ocen musimy dokonywać z punktu widzenia konkretnego podmiotu przetwarzającego dane osobowe, co z istoty swojej wyklucza posługiwanie się jakimikolwiek wzorcami. To nie prawa reklamy, czy prawo ochrony konsumenta.

Deus ex machina

ksiewi's picture

Tylko, że w obecnej rzeczywistości problemem nie jest kartka papieru przechowywana w budce stróża parkingu, dzięki której może i moglibyśmy dokładnie zidentyfikować użytkowników tego parkingu.

Problemem jest to, że coraz częściej wpisując imię i nazwisko danej osoby w wyszukiwarkę, dodając do tego dane dostępne po założeniu kont w kilku serwisach społecznościowych uzyskujemy jej pełną lub prawie pełną identyfikację. Każdy z tych serwisów oddzielnie może i nie ma danych, które pozwalają tę osobę zidentyfikować. Internet jako całość już tak.

Innymi słowy - z punktu widzenia średnio rozgarniętego użytkownika Internetu niemal wszystko jest daną osobową.

Karta to taki przykład, a

Karta to taki przykład, a nie kwintesencja problemu. Przykład na okoliczność konieczności oceny osobowego charakteru informacji z punktu widzenia administratora danych, a nie pewnych wzorców.

A co drugiej części wypowiedzi - tak, to jest problemem właśnie. Zresztą, zwracałem na niego uwagę kilka komentarzy wcześniej. Jesteśmy obecnie na takim etapie rozwoju technik przetwarzania, głównie gromadzenia i udostępniania, danych osobowych, że czas najwyższy postawić pytanie, czy obecny system ich ochrony, wywodzący się z dyrektywy 95/46/WE, jest efektywny. Moim zdaniem nie jest, czego dowodzi cała sprawa N-K i GIODO, pokazująca wyraźnie, że organ ochrony danych osobowych sobie nie radzi w dosyć skomplikowanych sytuacjach.

Ja w tym momencie jestem daleki od przesądzania, w jaki sposób problem należy rozwiązać. Ale w mojej ocenie należy zasadniczo poprawi efektywność regulacji w zakresie ochrony danych osobowych.

To jest chyba istota problemu

VaGla's picture

Również mam wrażenie, że aktualny system (prawny) ochrony danych osobowych nie jest adekwatny do obserwowanej rzeczywistości. Można go krytykować z różnych pozycji - z jednej strony "przedsiębiorcy teleinformatyczni" mówią: spełnienie wymagań stawianych przez powszechnie obowiązujące prawo jest bardzo drogie, a po spełnieniu tych wymagań jakakolwiek rozsądna praca (zwłaszcza w takiej dynamice rynku, gdzie istotne są szybkie działania przedsiębiorstwa) jest niemożliwa. Inna perspektywa podpowie, że globalizacja i wszechstronna rozproszona agregacja danych dostępnych publicznie (a można przetwarzać dziś dane publicznie dostępne) szerokim łukiem ominęła podstawy aksjologiczne ochrony danych osobowych. Jest dylemat poznawczy: z jednej strony należy dbać o prywatność (i tu są przepisy o ochronie dóbr osobistych w kodeksie cywilnym), z drugiej strony osoby powszechnie znane (jak w przypadku wizerunku i regulacji art. 81 prawa autorskiego) czy osoby pełniące funkcje publiczne (por. Prywatność osoby pełniącej funkcję publiczną i komentarze w internetowym serwisie, Wyrok TK - dostęp do informacji publicznej a prywatność, "Trybunalskie surfowanie legislacyjne") korzystają z prywatności w mniejszym stopniu, niż osoby nie znane. Wystarczy zatem (mogłoby się wydawać, chociaż to nie tak), że ujawnimy powszechnie informacje o osobach nieznanych, by przestały one być chronione we wcześniejszym zakresie. To jest ten sam dylemat, co w pytaniu: "czy powszechnie znana informacja może nadal być tajemnicą i korzystać z ochrony" (por. Stado może przejść przez dziurę po sprytnej krowie, czyli CSS nie jest "skutecznym" zabezpieczeniem, "All your base are belong to us" czyli walka o hex odbezpieczający HD-DVD i Blu-Ray).

Problemem prywatności i "tajemnicy handlowej" z porozumień TRIPS ("tajemnicy przedsiębiorstwa" w przypadku polskiej ustawy o zwalczaniu nieuczciwej konkurencji) jest cezura udostępnienia publicznego informacji. Po ujawnieniu zaś (nawet przez osobę nieuprawnioną) system wydaje się już dalej nie działać. Bo nie da się wymazać skutecznie z nośników i pamięci ludzkiej informacji raz wstrzykniętej do społeczeństwa.

--
[VaGla] Vigilant Android Generated for Logical Assassination

najlepiej porownac dwa systemy "ochrony"

system ochrony danych osobowych (potencjalnie do komercyjnego wykorzystania) i system ochrony tresci (potencjalnie do komercyjnego wykorzystania) - chodzi o tzw. prawo autorskie itd.

nie trudno sie pewnie domyslic, ktory nieefektywny ciagle system jest wspierany dotowany naprawiany przy pelnym zaangazowaniu obsypywanych nagrodami instytucji policyjnych, a od ktorego powolane instytucje "umywaja rece"

dlaczego? wszak oba systemy "ochrony" sa nieefektywne

- roznica miedzy nimi jest taka, ze pierwszy (ochrona danych) ma sluzyc kazdej istocie ludzkiej tj. calemu spoleczenstwu, drugi ma sluzyc wybranym przeciw reszcie spoleczenstwa

nic dodac nic ujac....

pozdrawiam

Ale warto zauważyć chyba,

Ale warto zauważyć chyba, przynajmniej tak mi się wydaje, że nawet jeśli założymy, że takżę średnio rozgarnięty użytkownik Internetu (choć mimo wszystko uważam to za znacząco przesadne) będzie chciał uzyskać pełną identyfikację jakiejś osoby, to może to zrobić tylko gromadząc dane, która ta konkretna osoba umieściła sama, dobrowolnie w sieci. Innymi słowy, dopiero jak ktoś się sam, jako użytkownik wpisze e naszej-klasie, goldenline, czy innym miejscu i poda tam informacje o sobie sam, to to taka pełna lub w miarę pełna identyfikacja jest możliwa. To jednak zmienia trochę obraz po mojemu.

"od przyjaciół Boże strzeż"

ksiewi's picture

Sporo tych danych to będą właśnie dane o tej osobie umieszczone w sieci przez osoby trzecie - czyli np. kolegów, którzy wrzucają zdjęcia i opisują je ("trzeci z lewej to Kazio, który w czwartej klasie kochał się w Zosi i miał dwóje z matmy").

To jednak zmienia trochę obraz po mojemu :)

To jest swoisty fenomen, że

To jest swoisty fenomen, że dzisiaj, kiedy chcemy znaleźć informację o jakiejś osobie, zaczynamy od N-K, goldenline, linkedin i innych takich. Pół biedy, jak delikwent sam tam o sobie różne rzeczy wypisuje - ale gorzej, jak wypisują inni.

Pisząc o efektywności systemu ochrony danych osobowych nie miałem na myśli zamykania serwisów społecznościowych, jak to ujął min. Serzycki. Serwisy takie działają zgodnie z prawem, ale niestety GIODO jakoś nie może wpaść na właściwe przepisy ;-) A wystarczy przywołać art. 3a ust. 1 pkt 1 ustawy, czy przy założeniu, że taka N-K jednak celem osobistym nie jest, art. 23 ust. 1 pkt 5 ustawy. Tyle tylko, że co w sytuacji, gdy ktoś gdzieś moje dane umieści, a ja tego nie będę chciał? Będzie wyraźny przejaw mojej woli... tylko jak go wyegzekwować, skoro GIODO umywa ręce? Rolą organu ochrony danych jest w takim przypadku ustalić, kto w sieci dane umieścił i czy miał do tego prawo. A jeśli ja tego sobie nie życzę, to nie ma prawa. Więc - idąc dalej - rolą GIODO powinno być nakazanie przywrócenia stanu zgodnego z prawem i doprowadzenie do tego. I to właśnie miałem na myśli, piszą o efektywności. Tak jak 30 lat temu ktoś wpadł na pomysł publicznoprawnej ochrony danych osobowych, bo prywatnoprawna okazywała się niewystarczająca już wobec ówczesnych zagrożeń, tak teraz trzeba się zastanowić, czy istniejące instytucje są efektywne, a także czy istniejące rozwiązania im taką efektywność mogą zapewnić.

Podam tylko jeden przykład - ze względu na konstrukcję ustrojową (nie jest ani administracją rządową, ani samorządową, tylko organem ochrony prawnej), GIODO nie może korzystać z ustawy o postępowaniu egzekucyjnym w administracji, celem egzekwowania własnych decyzji (przymuszania do ich wykonania). W niektórych przypadkach może tylko składać doniesienia do prokuratury, ale w razie umorzenia postępowania nie jest stroną, więc się nie może żalić... I mamy problem - bo GIODO coś nakazuje, a administrator danych mówi [...]. A idą dalej - mamy projekt nowelizacji ustawy, zgodnie z którym GIODO otrzymałby uprawnienie do nakładania kar finansowych - ale nadal bez możliwości ich egzekwowania... Tak się zastanawiam, czy to aby nie jest już naruszenie art. 24 dyrektywy 95/46, bo sankcje są kompletnie nieskuteczne.

Ja nie chcę zamykać żadnych serwisów, a straszenie taką możliwością uważam za nieporozumienie. Ja tylko chcę, żeby organ ochrony prawnej, który ma chronić moje prawa, mógł to robić i to robił.

Pisząc, że takie

Pisząc, że

takie założenie wcale nie niweczy zasadności poglądu, że istotne powinno być spojrzenie przeciętnego odbiorcy

miałem na myśli, że coś, co dla wzorca przeciętnego odbiorcy ma charakter danych osobowych, dla zwykłego już tego charakteru nie musi mieć.

Ja naprwdę się boję, że podwyższanie tego standardu ochrony, a jeszcze gorzej "poprawianie efektywności" poprzez zmianę ustawy i zaostrzanie tych kryteriów doprowadzi do tego co podaje Vagla w ostatnim (na razie) komentarzu do tego postu, cytując słowa Pana Michała Serzyckiego, że przyjęcie takich założeń doprowadzi de facto do zablokowania wszystkich portali społecznościowych. I nie tylko. Czy naprawdę tego chcemy?

Mnie ciekawi jedno w tych "danych osobowych"

Nie bardzo rozumiem jakim prawem ktoś podpisuje zdjęcie identyfikując określony wizerunek moim imieniem i nazwiskiem?

Jak w ten sposób opisuje swój wizerunek to jego sprawa i jego prawo. Jest stosowny akapit w Ustawie o Ochronie Danych Osobowych.

Pozostaje jednak pytanie.

Kto i na jakiej podstawie prawnej może dodawać informacje o kimś, informacje mogące mieścić się w definicji danych osobowych.

Zastanawia mnie jedno. Skoro serwis internetowy nie może zablokować możliwości opisów do zdjęć, to czy nie może mieć przymusu prowadzenia ewidencji (logów) w których byłoby zawarte kto pozwolił sobie na dodanie opisu osobowego do wizerunku na którym jest ktoś inny.

Osobiście uważam, że podawanie danych osobowych przez osoby trzecie winno kończyć się ściganiem z urzędu wobec tych osób trzecich.

Dane osobowe w zbiorach danych osobowych mogą się znaleźć jedynie za zgodą osoby, której te dane dotyczą. Chyba tak stanowi Ustawa o Ochronie Danych Osobowych?

W całym tym zamieszaniu dotyczącym portalu N-K, nie dostrzegłem ani razu wątku w którym ktoś zastanowiłby się, czy osoba trzecia opisując wizerunki na zdjęciach klasowych nie narusza Ustawy o Ochronie Danych Osobowych, zamieszczając informacje bez zgody osób zainteresowanych.
Dziwnym trafem, każdy urząd czy firma musi analizować czy nie naruszy aby prawa, a taki jeden z drugim "filozof" wali na portalu ogólnodostępnym informacjami, których zamieszczenia ma prawo nie życzyć sobie zainteresowana.

Przy okazji przydałby się wątek czy zdjęcie klasowe poprzez swój charakter wizualizowania wąskiej grupy ludzi, nie jest czasem objęty obowiązkiem wyrażenia zgody na publikacje wizerunku?

Pozdrawiam.

chciałbym tylko zwrócić uwagę

Chciałbym tylko zauważyć, że zjawisko - iż ktoś w ramach wspomnień przy kawie, pokazuje komuś innemu zdjęcie klasowe i mówi, z jakimi osobami chodził do klasy ileś tam lat temu - jest zjawiskiem całkiem normalnym, akceptowanym przez zdecydowaną większość ludzi i prawdopodobnie jest to zjawisko występujące od pojawienia się pierwszych zdjęć klasowych. Powiem więcej, że prawdopodobnie zjawisko to istnieje od początków cywilizacji, tylko, że wcześniej występowało (i występuje) w innych formach. A zatem tak długo, jak żyjemy w społeczeństwie, tak długo musimy oddawać mu prawo do wymieniania informacji na nasz temat. A portal N-K i inne są tylko bardziej nowoczesną formą wymiany tychże informacji. A zatem propozycje ścigania z urzędu wszystkich i z osobna każdego, który tylko powie cokolwiek na mój temat (nieważne czy dobrze, czy źle) są z mojego punktu widzenia dziwne i trochę IMHO atakują powszechnie przyjęty porządek społeczny.

Na marginesie, proszę nie wskazywać, na to, że w dobie internetu zawsze może przyjść ów mityczny gość o nicku "każdy" i wykorzystać te dane w nie wiadomo jakich (ale na bank złych) celach. Tak się składa, że sam stworzyłem sobie profil na n-k i wrzuciłem parę filmów na tubę, i tak patrząc na statsy odwiedzin, to jakoś nikt za wyjątkiem moich znajomych się na to nie "rzucił", żeby tylko zdobyć na mój temat jak najwięcej informacji. Zresztą jak sam wpisałem w wyszukiwarkę swoje imię i nazwisko to ilość informacji na mój temat jest zdecydowanie niewystarczająca, by ktokolwiek mógł mi w jakiś szczególny sposób zaszkodzić. Co najwyżej ktoś zaserwuje mi bardziej kontekstową reklamę pod nos. Ale z pewnego punktu widzenia to nawet dla mnie lepiej, bo jest mniejsza szansa na to, że sfrustruję się tym, iż znowu dostałem jakiś spam.

A tak zupełnie offtop, to z mojego punktu widzenia informacja, że ktoś uczęszczał do takiej, a nie innej klasy, jest prawie tak samo cenna, jak ta, że ktoś coś powiedział/napisał. Czyżby więc prawo cytatu miało stać w sprzeczności z UODO? ;p

pozdrawiam

Przecież to kompletnie inne

Przecież to kompletnie inne sytuacje. Moi znajomi mogą o mnie opowiadać wzajemnie jak się spotkają bo to moi znajomi i nikt obok nich nie stoi, więc mi to nie przeszkadza. Portale społecznościowe mają zasięg globalny. Gadają o mnie moi znajomi wobec całego świata. Cały świat dowiaduje się co oni o mnie napiszą.

i bardzo dobrze

Wreszcie słyszę chyba jakiś głos rozsądku ze strony GIODO w tej wielkiej aferze pod tytułem "Ochrona Danych Osobowych". Szkoda, że tak późno... i, że i tak już teraz jest dużo sfer działalności ludzkiej, gdzie ODO bardziej przeszkadza normalnym ludziom funkcjonować, niż kogokolwiek przed czymkolwiek chroni. Dla przykładu można by wskazać taką sytuację (z tego co mi wiadomo to prawdziwą i dość częstą), w której dziekanat odmawia wydania prostego dokumentu poświadczającego fakt, że ktoś jest studentem, komukolwiek innemu, niż osobie zainteresowanej. Oczywiście dziekanat zasłania się tutaj właśnie magicznym ODO i równie oczywiście wiele osób musi z tego tytułu ponieść pewne koszty, by taki dokument w miarę szybko zdobyć, co jest dla nich problemem.

Innym przykładem może być System Informacji Oświatowej - w najnowszej wersji softu do obsługi tego systemu pojawiło się w związku z ODO zabezpieczenie polegające na prostym ustalaniu poziomów dostępu do danych. W związku z tym w chwili obecnej w Polsce właśnie zostało stracone setki albo i tysiące godzin na zabawy w tworzenie kont userów w SIO. I to nie jest przesada lecz wynik prostego mnożenia (czas, jaki jest potrzebny na to jednej osobie x ilość osób, która musi to zrobić). Jako, że ludzie Ci zostaną opłaceni również z moich podatków, to chciałbym w tym miejscu zadać pytanie: Czy przed wprowadzeniem tego typu prewencji ktokolwiek wykonał jakąkolwiek analizę ryzyka możliwości wykorzystania tego typu danych w złych intencjach (grupy osób mających taki zamiar, jak również samą grupę możliwości wykorzystania tych danych w złych zamiarach) oraz częstotliwości zajścia tego zjawiska?

Patrząc na tę ustawę widzę, że pełen potencjał możliwości utrudnienia przeciętnemu człowiekowi życia jeszcze nie został w niej wykorzystany. I wcale mnie to nie cieszy.

pzdr,

"Czy chcecie, żebym zablokował serwisy społecznościowe?"

VaGla's picture

Dziś odbył się czat z ministrem Serzyckim (por. komentarz Jak chronić swoje dane osobowe? czat z GIODO...) i w trakcie tego przedsięwzięcia padł m.in. następujący komentarz do powyżej cytowanej decyzji:

Zyjemy w panstwie demokratycznym w ktorym kazdy ma swobode wypowiedzi. Czy chcecie, zebym zablokowal nagle wszystkie serwisy spolecznosciwe? Bo taki bylby efekt przyjecia iz umieszczenie tego typu informacji jest nielegalne.

--
[VaGla] Vigilant Android Generated for Logical Assassination

To ja też zadam pytanie:

LukasS's picture

To ja też zadam pytanie: Czy w państwie prawa, mam prawo decydować o tym co się z moimi danymi dzieje (w kwestii umieszczania ich przez osoby trzecie w Internecie)?

Ktoś wcześniej przywołał przykład o wymianie informacji między dwiema osobami pochylającymi się nad zdjęciem klasowym - taką wymianę mogę zrozumieć, jest pewna kontrola nad tym kto i komu taką informację podaje, w serwisach społecznościowych takiej wiedzy nie ma (i nie chodzi mi o kontrolowanie), do tego ta informacja umieszczona raz może być przeglądana nieskończenie wiele razy (dopóki istnieje na serwerze), a nawet dłużej jeśli roboty np.: Google ją zindeksują i umieszczą w cache'u.

Generalizowanie przez ministra Serzyckiego na temat zamknięcia serwisów społecznościowych jest przejawem pewnej chyba niewiedzy, ponieważ N-K jest wyjątkiem w dużej ilości różnorodnych serwisów społecznościowych i w zdecydowanej mniejszości w kontekście publikowania informacji o innych osobach. Mówiąc krótko, serwisy społecznościowe opierają się na publikacji materiałów na swój temat a nie innych, a N-K jest tu wyjątkiem.

Wydaje mi się, że nie jest wyjątkiem

VaGla's picture

Są też "serwisy społecznościowe", które pozwalają na dyskusję. Przykładowo Goldenline poza umożliwieniem przygotowania swojego profilu, umożliwia również udział w tematycznych dyskusjach, a w takich dyskusjach pisze się o innych. Ludzie komentują zdjęcia w takich serwisach jak digart.pl (i wszelkie inne pierwowzory), niektóre serwisy "społecznościowe" "gmatwają" interakcje profilowo-komentatorskie jeszcze bardziej, weźmy Blip... O Blipie było trochę w tym serwisie (por. Nieblipowy blip o Twitterze i ewentualnych sporach prawnych ery "beta", Regulamin korzystania z Serwisu blip.pl)
--
[VaGla] Vigilant Android Generated for Logical Assassination

To chyba nie tak. N-K jest

LukasS's picture

To chyba nie tak. N-K jest stworzona w ten sposób aby umieszczać informację o kimś i o sobie (w kontekście swojej klasy). Dyskusje prowadzić można w takich serwisach i poza nimi (np.:na forach, irc'u), jednak większość tych prawdziwych społecznościówek opiera się na publikacji treści o sobie na stronie swojego profilu (linkedin, fotka, sympatia etc), a gdyby iść Twoim tropem to można posądzić komunikatory o elementy społecznościowe :), niestety mieszania się tych cech nie unikniemy, które coraz bardziej się zacierają, przenikają.

Wydaje mi się także, że nie chodzi o sam fakt przekazywania danych na temat innej osoby, tylko o zestawienie pewnych stanów w danym miejscu (serwisie) przy dyskusji o kimś. Jest wyraźna różnica między wymianą informacji między dwiema osobami, dyskusji na kanale IRC czy w wątku na forum, a publikacji tych samych danych w serwisie, którego głównym celem jest łączenie się grup ludzi (gdzie mamy odpowiednie narzędzia do tego), a serwis jest powszechnie znany w całym kraju.

I dalej twierdzę, że nie można postawić znaku równości między NK a fotką, sympatią, blipem, digart'em itp.

co mam zrobić...??;/

Witam..troche odbiegam od tematu ale nie wiem Co mam zrobic z kims kto na naszej klasie zalozyl sobie profil i wypisuje pod swoja tapeta' komentarze na moj temat z mojego imienia i nazwiska..i nie wiem co z tym wszystkim zrobic bo nie mam do konca pewnosci kto to moze byc...pomóżcie..

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>