O polityce prywatności
Dziś w dziale artykuły prezentuję nadesłany przez p. Jakuba Bartosiaka tekst pt. "O polityce prywatności". Autor jest studentem Wydziału Prawa i Administracji UW, socjologiem i doktorantem Collegium Civitas. Jego prawne zainteresowania obejmują przede wszystkim skuteczność regulacji administracyjnoprawnych oraz regulacje poświęcone nowym technologiom.
O polityce prywatności
Jakub Bartosiak
Polityka prywatności to potoczne określenie tekstu/dokumentu umieszczonego w serwisie internetowym przez jego administratora. Zawiera on informacje takie jak rodzaj zbieranych od użytkowników danych, cel i sposób wykorzystania tych danych czy sposób kontaktu z administratorem danych1. Motywacją dla napisania niniejszego artykułu było spostrzeżenie, że w serwisach internetowych o wiele częściej można zetknąć się z polityką prywatności (dokumentem którego zamieszczenie nie jest obligatoryjne) niż z regulaminem świadczenia usług przygotowanym zgodnie z wymaganiami ustawy o świadczeniu usług drogą elektroniczną. W poniższym tekście podejmuję próbę wyjaśnienia tego zjawiska.
1. Regulacje prawne
Najważniejszym dokumentem regulującym zagadnienia prywatności i ochrony danych w Internecie jest Dyrektywa Parlamentu Europejskiego i Rady nr 95/46/WE z dnia 24 października 1995 roku. Dyrektywa ta określa m.in. kryteria legalności przetwarzania danych (art. 7), informacje jakie administrator danych jest obowiązany przedstawić osobie, której dane są przetwarzane (art. 10 i 11), obowiązek zapewnienia osobie, której dane dotyczą możliwości dostępu, poprawienia, usunięcia lub zablokowania danych. Dyrektywa wprowadza ogólne zasady:
- notyfikacji – osoby, których dane są zbierane muszą być poinformowane o tym fakcie oraz o sposobie w jaki dane te będą wykorzystane;
- wyboru – osoby, których dane są zbierane muszą mieć możliwość zrezygnowania z procesu zbierania danych;
- przekazywania danych – dane można przekazać jedynie podmiotom, które zapewniają równie wysoki poziom ochrony danych osobowych;
- bezpieczeństwa – dane muszą być zabezpieczone przed ich utratą
- spójności danych – dane muszą być rzetelne i istotne dla celu, w jakim zostały zebrane
- dostępu - osoby, których dane są zbierane muszą mieć dostęp do zbieranych o nich danych, w tym do ich poprawienia lub usunięcia, jeśli są one nieprawidłowe
- wdrożenia – powyższe zasady muszą być efektywnie wdrożone.
Warto pamiętać także o Europejskiej Konwencji Praw Człowieka, której artykuł 8 stanowi, że „Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji”2. Ważnym dokumentem jest także Konwencja Rady Europy z dnia 28 stycznia 1981 poświęcona „ochronie osób w związku z automatycznym przetwarzaniem danych osobowych”3.
Przytoczone wyżej dokumenty, uzupełnione regulacjami krajowymi, tworzą europejski model ochrony danych osobowych. Model ten jest charakterystyczny dla europejskiego (kontynentalnego) systemu prawa, w którym czołowe miejsce zajmują kompleksowe akty prawne wydane przez organy ustawodawcze.
Z całkowicie odmienną sytuacją mamy do czynienia w Stanach Zjednoczonych. Po pierwsze, do ochrony danych osobowych przywiązuje się generalnie mniejszą wagę niż w Europie. Zgromadzone dane mogą być wykorzystywane i przechowywane, nawet jeśli zostały zebrane bez zgody zainteresowanych. Prawne ograniczenia są wprowadzane ad hoc i w ograniczonym zakresie (np. Video Protection Act, Cable Television Consumer Protection and Competition Act, Fair Credit Reporting Act). Inne regulacje (Children's Online Privacy Protection Act, the Health Insurance Portability and Accountability Act (HIPAA), Fair and Accurate Credit Transactions Act (FACTA) przedkładają swobodny przepływ informacji nad ochronę danych.
W tradycji amerykańskiej duże znaczenie ma instytucja samoregulacji (przez podmioty prywatne). W dokumencie Struktura Światowej Gospodarki Elektronicznej4, strategii przygotowanej przez administrację prezydenta Clintona w 1997 roku, zagadnienia związane z rozwojem Internetu powinny być w znacznej mierze regulowane przez środowisko (firmy, użytkowników, organizacje pozarządowe). Przykłady inicjatyw takich jak Projekt Platformy ustawień prywatności5 czy TRUSTe6 wskazują, że przyjęcie takiego systemu regulacji nie jest jedynie pobożnym życzeniem polityków, lecz mechanizmem całkiem sprawnie funkcjonującym – i to w różnych aspektach. O ile bowiem P3P to społecznościowy projekt promujący określony format prezentowania informacji (dotyczących danych osobowych) w serwisach internetowych , o tyle TRUSTe to w pełni komercyjny system certyfikowania serwisów, które spełniają określone wymagania dotyczące zbierania i przetwarzania danych osobowych.
Model amerykański, pozostawiający wiele przestrzeni dla samoregulacji, zasługuje na aprobatę. Należy jednak podkreślić, że takie rozwiązania – zarówno te przedstawione powyżej, jak i inne np. kanadyjska ustawa o ochronie danych osobowych i dokumentów elektronicznych (Personal Information Protection and Electronic Documents Act – PIPEDA) – inspirowane były koniecznością dostosowania standardów ochrony danych osobowych funkcjonujących w amerykańskich firmach do wymagań europejskich. Taką rolę pełni także program Safe Harbor wprowadzony w 2000 roku przez Departament Handlu Stanów Zjednoczonych po konsultacjach z Unią Europejską. Firmy przystępujące do programu są weryfikowane i, jeśli spełniają wymagania wynikające z Dyrektywy 95/46, otrzymują odpowiedni certyfikat. Rozwiązanie to ułatwia amerykańskim firmom funkcjonowanie na rynku europejskim bez obawy o naruszenie przepisów dotyczących ochrony danych osobowych. Mimo nadzoru ze strony amerykańskiej Federalnej Komisji Handlu oraz corocznego obowiązku odnowienia certyfikatu zdarzają się sytuacje, gdy firmy objęte programem Safe Harbor nie zapewniają należytego poziomu ochrony danych osobowych7.
2. Tak się zaczęło…
Pierwszym z dużych serwisów internetowych, który zamieścił na swoich stronach dokument zwany „polityką prywatności” był Yahoo!. 30 czerwca 1998r. na stronie www.yahoo.com pojawił się odnośnik zatytułowany „Privacy policy”. Po kliknięciu na link przenosiliśmy się na stronę, z której mogliśmy się dowiedzieć, że Yahoo! bardzo poważnie traktuje naszą prywatność oraz że serwis bierze udział w przywoływanym powyżej programie TRUSTe i spełnia jego wymagania. Warto przypomnieć, że Yahoo! funkcjonowało w Internecie już od 1996 roku8. W 1999r. polityka prywatności pojawia się po raz pierwszy w serwisie AmericaOnline (www.aol.com), a w roku 2002 na stronie Netspace. W polskim Internecie jako pierwsza politykę prywatności publikuje Wirtualna Polska w 1999, a w 2000 roku robi to także Onet. W Interii regulamin zawierający zapisy dotyczące danych osobowych pojawia się w 2004 roku.
3. Prywatność w Polsce
Dyrektywa 95/46/WE została wdrożona do prawa polskiego nowelizacją Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku9. Nowelizacja ta została uchwalona w 2004 roku, tuż rozszerzeniem Unii. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Art. 23 ustawy stanowi, w jakich sytuacjach przetwarzanie danych jest dopuszczalne. Dla prowadzących serwisy internetowe szczególnie ważny jest punkt 1 ustęp 3 tego artykułu, który mówi o tym, że przetwarzanie danych jest dopuszczalne gdy „jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem”. Dotykamy tutaj zagadnień regulowanych ustawą o świadczeniu usług drogą elektroniczną (USE) z 2002 roku. Znajdziemy w niej m.in. przepis nakazujący usługodawcy stworzenie regulaminu i zawarcie w nim określonych zapisów, jak np. o sposobie nawiązania i rozwiązania umowy czy procedurze reklamacyjnej. Nie ma przeszkód by także w regulaminie zawrzeć informacje wymagane ustawą o ochronie danych osobowych. Takie rozwiązanie sprzyja przejrzystości i prostocie przekazu.
Ciekawe jest, że mamy do czynienia z sytuacją, w której serwisy (nieprzymuszane prawem) publikują różne „polityki prywatności”, poprzez które w mniejszym lub większym stopniu realizują obowiązek nałożony przez ustawę o ochronie danych ustawowych, dużo rzadziej zaś możemy znaleźć w serwisach prawidłowe regulaminy, przygotowane zgodnie z wymogami Ustawy o świadczeniu usług drogą elektroniczną.
Przyczyny tego zjawiska mogą być wielorakie. Sytuacja to może być wynikiem prostego kopiowania zachowań serwisów zachodnich (przede wszystkim amerykańskich), które z przytoczonych wyżej powodów umieszczały na swoich stronach zasady dotyczące ochrony danych osobowych10. Autorzy polskich serwisów korzystali z wzorów amerykańskich i zaadoptowali je na grunt polski Być może wytłumaczeniem jest niepewność prowadzących serwisy czy ich działalność jest świadczeniem usług drogą elektroniczną i czy wobec tego podlega przepisom odpowiedniej ustawy. Na to pytanie odpowie doktryna i orzecznictwo.
Nie można też jednoznacznie wykluczyć wersji najbardziej optymistycznej, takiej mianowicie, że administratorzy serwisów autentycznie przejmują się kwestią ochrony danych osobowych użytkowników i, zgodnie z zasadami netykiety, informują ich o zagadnieniach związanych z ochroną prywatności. Sytuacja ta jest bardziej prawdopodobna, jeśli pamiętamy, że takie podejście leży w interesie samych serwisów. Serwis, który cieszy się zaufaniem użytkowników może liczyć na ich powrót. Nie zmienia tej sytuacji nawet fakt, że prawdopodobnie większość użytkowników owej dostępnej „polityki prywatności” nie przeczytała.
4. Wnioski końcowe
Podsumowując, „polityki prywatności” publikowane na stronach rozmaitych serwisów internetowych wypełniają, na ogół, obowiązek nałożony przez ustawę o ochronie danych osobowych. Obowiązki te polegają na poinformowaniu osoby, której dane będą zbierane i przetwarzane m.in. o celu zbierania danych i sposobach ich przetwarzania, o sposobach zabezpieczenia danych czy o prawach jakie im przysługują w związku z przetwarzaniem ich danych osobowych. Mimo że ustawa nie nakłada obowiązku ujęcia tych informacji w osobnym dokumencie, w praktyce jest to najczęstszy sposób przedstawiania tych informacji. Ustawodawca ogranicza się do stwierdzenia, że informacje te muszą zostać dostępne dla usługobiorcy. Warto także zauważyć, że większości z popularnych serwisów internetowych nie wypełnia (w opinii autora) przepisów ustawy o świadczeniu usług drogą elektroniczną, a w szczególności nie udostępnia regulaminu świadczenia usług lub nie zamieszcza w nim wymaganych ustawą informacji. Niestosowanie się do przepisów ustawy przez prowadzących serwisy może jednak wynikać z ich odmiennej stanowiska co do tego, czy ich działalność stanowi świadczenie usług drogą elektroniczną. Wątpliwości te będą zapewne rozstrzygnięte przez doktrynę lub orzecznictwo rzecznictwo.
- 1. http://pl.wikipedia.org/wiki/Polityka_prywatności
- 2. Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności, Rzym 4 listopada 1950 r.
- 3. Konwencja nr 108 Rady Europy, Strasburg 28 stycznia 1981 r.
- 4. Framework For Global Electronic Commerce, http://clinton4.nara.gov/WH/New/Commerce/, 1 lipca 1997
- 5. Tzw. P3P, funkcjonujące w ramach szerszej organizacji World Wide Web Consortium
- 6. www.truste.org
- 7. Safe harbor and privacy protection: a looming issue for IT professionals, Markel, M., Professional Communication, IEEE Transactions on, Vol. 49, March 2006
- 8. Te i kolejne dane: analiza własna na podstawie web.archive.org
- 9. Dz.U. 1997 Nr 133 poz. 883.
- 10. Choć np. najpopularniejsza na świecie wyszukiwarka Google zamieściła taki dokument dopiero w 2009 roku!
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Ciekawy konflikt z 2257
Mam dość ciekawe spostrzeżenie. Uczestniczę w budowaniu serwisu internetowego z erotyką, który jako działalność będzie prowadzony w Polsce, lecz będzie po angielsku. Ostatnio dużo uwagi w tej gałęzi gospodarki wywołały intepretacje i procesy związane z tzw. 2257 (http://en.wikipedia.org/wiki/2257) czyli "Child Protection and Obscenity Enforcement Act".
Jest to akt prawny uchwalony przez amerykański rząd który ma teoretycznie ograniczyć preceder rozpowszechniania (i odpłatnego udostępniania) zdjęć osób nieletnich i różnych nieprzyzwoitości.
Najważniejsze są jego postanowienia, i tak każdy kto będzie produkował materiały erotyczne musi:
Z natury rzeczy przepis ten obowiązuje wszystkich producentów na terenie USA, lecz również: "who reside and produce material within the United States or resell their products within the United States". Z oczywistych względów i międzynarodowego charakteru Internetu, strona internetowa uruchomiona w Polsce będzie również umożliwiała kupowanie i oglądanie materiałów obywatelom USA.
Lecz zgodnie z polską ustawą o "świadczeniu u.d.e." dane osobowe nie mogą być przechowywane dłużej niż jest to potrzebne do obsłużenia transakcji!
Rozważmy taki model:
Czyli gdybyśmy chcieli być w porządku wobec "2257", musimy przechowywać dane "primary producers" (zgodnie z nomenklaturą). Czy "ustawa o świadczeniu usług drogą elektroniczną" i inne polskie akty prawne nie będą ograniczać możliwości przechowywania tych danych osobwych ?
Czy wystarczy że umieścimy informacje o celu i sposobie przetwarzania wspomnianych danych w "Privacy policy" oraz "Terms and conditions" serwisu - które to każdy musi zaakceptować przed korzystaniem?
----- akty i informacje
- na wikipedii
- Pełny tekst aktu 2257
- Tekst ujednolicony u.o.ś.u.d.e
Ja nie znalazłem w ustawie
Ja nie znalazłem w ustawie przepisu, który by mówił, że "dane osobowe nie mogą być przechowywane dłużej niż jest to potrzebne do obsłużenia transakcji". Zapewne chodziło Panu o art. 19, zgodnie z którym "usługodawca nie może przetwarzać danych osobowych usługobiorcy po zakończeniu
korzystania z usługi świadczonej drogą elektroniczną".
Jak rozumiem, w przypadku Pańskiego serwisu "usługa" polega na utrzymywaniu na serwerze filmu zamieszczonego przez użytkownika. W mojej ocenie "korzystanie z usługi" trwa zatem tak długo, jak długo taki film znajduje się w serwisie. Co za tym idzie dopuszczalne jest przetwarzanie danych przez cały ten okres.
Jeżeli chodzi o opisywaną przez Pana ustawę amerykańską, to muszę przyznać, że o tej tematyce nie mam pojęcia. Tak na zdrowy rozum wydaje się jednak, że jeżeli wszystko odbywa się w Polsce, to Amerykanie mogą Panu w najgorszym wypadku zablokować dostęp do strony ze swojego terytorium.
Kwadratura koła
Jest to chyba, póki co tzw. problem kwadratury koła.
A jak sprawa wygląda w odwrotnym przypadku? tzn. np. polska księgarnia wysyłkowa, która ma stronę WWW w USA. Gromadzi ona dane osobowe osób kupujących. Któremu prawu podlegają dane przez nią przetwarzane?
Co GIODO na to?
Normy kolizyjne
Czasem mam wrażenie, że ustawodawca (amerykański, polski czy jeszcze inny) jeszcze nie do końca ogarnia o co chodzi z tym internetem i dlaczego skoro on zakazuje, to coś może istnieć dalej. Skutkiem tego są problemy takie jak przytoczone przez Was.
Warto pamiętać, że prawo polskie realizuje wymagania Dyrektywy, więc w razie ewentualnych sporów należałoby dążyć do sytuacji konfliktu USA vs UE, niż USA vs Polska.
Vagla pisał już o tego typu problemach tutaj: http://prawo.vagla.pl/node/4713
Czy to ma sens?
Nie chciałbym "dążyć" do żadnego konfliktu :) Konflikty nigdy nie są najlepszym sposobem rozwiązywania problemów (chociaż czasami najszybszym).
Z mojej zdobytej wiedzy to przede wszystkim powinienem mieć na uwadze prawo polskie. Z uwagi na to, że z tytułu 2257 był tylko jeden proces, i tylko w USA i jeszcze "nie wyszedł" (prokurator nie był w stanie przed sądem udowodnić winy, sprawa umożona) więc sprawa na razie "wisi".
Z drugiej strony właśnie czytałem artykuł znajomych "z branży", którzy mieli (nie)przyjemność najechania przez policję USA po 2 dniach działalności strony www z tytułu tzw. "obscenity act", czyli przepisów które zawężają i ograniczają zbiór erotyki jako takiej (tego jeszcze w Polsce chyba nie uchwalili).
Drogi Jakubie - w takim razie, czy mogę przechowywać dane osobowe osób korzystających z mojego serwisu (np. na potrzeby 2257) jeżeli użytkownicy wyraźnie (explicitly) wyrażają zgodę na odpowiednie, regulujące to postanowienia "Terms of Service" serwisu?
"zaadoptowali"? Czy autor
"zaadoptowali"? Czy autor artykułu wie jakiego słowa używa i co ono oznacza? Adopcja i adaptacja to coś całkiem innego.