O polityce prywatności

Dziś w dziale artykuły prezentuję nadesłany przez p. Jakuba Bartosiaka tekst pt. "O polityce prywatności". Autor jest studentem Wydziału Prawa i Administracji UW, socjologiem i doktorantem Collegium Civitas. Jego prawne zainteresowania obejmują przede wszystkim skuteczność regulacji administracyjnoprawnych oraz regulacje poświęcone nowym technologiom.

O polityce prywatności
Jakub Bartosiak

Polityka prywatności to potoczne określenie tekstu/dokumentu umieszczonego w serwisie internetowym przez jego administratora. Zawiera on informacje takie jak rodzaj zbieranych od użytkowników danych, cel i sposób wykorzystania tych danych czy sposób kontaktu z administratorem danych1. Motywacją dla napisania niniejszego artykułu było spostrzeżenie, że w serwisach internetowych o wiele częściej można zetknąć się z polityką prywatności (dokumentem którego zamieszczenie nie jest obligatoryjne) niż z regulaminem świadczenia usług przygotowanym zgodnie z wymaganiami ustawy o świadczeniu usług drogą elektroniczną. W poniższym tekście podejmuję próbę wyjaśnienia tego zjawiska.

1. Regulacje prawne

Najważniejszym dokumentem regulującym zagadnienia prywatności i ochrony danych w Internecie jest Dyrektywa Parlamentu Europejskiego i Rady nr 95/46/WE z dnia 24 października 1995 roku. Dyrektywa ta określa m.in. kryteria legalności przetwarzania danych (art. 7), informacje jakie administrator danych jest obowiązany przedstawić osobie, której dane są przetwarzane (art. 10 i 11), obowiązek zapewnienia osobie, której dane dotyczą możliwości dostępu, poprawienia, usunięcia lub zablokowania danych. Dyrektywa wprowadza ogólne zasady:

• notyfikacji – osoby, których dane są zbierane muszą być poinformowane o tym fakcie oraz o sposobie w jaki dane te będą wykorzystane;
• wyboru – osoby, których dane są zbierane muszą mieć możliwość zrezygnowania z procesu zbierania danych;
• przekazywania danych – dane można przekazać jedynie podmiotom, które zapewniają równie wysoki poziom ochrony danych osobowych;
• bezpieczeństwa – dane muszą być zabezpieczone przed ich utratą
• spójności danych – dane muszą być rzetelne i istotne dla celu, w jakim zostały zebrane
• dostępu - osoby, których dane są zbierane muszą mieć dostęp do zbieranych o nich danych, w tym do ich poprawienia lub usunięcia, jeśli są one nieprawidłowe
• wdrożenia – powyższe zasady muszą być efektywnie wdrożone.

Warto pamiętać także o Europejskiej Konwencji Praw Człowieka, której artykuł 8 stanowi, że „Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji”2. Ważnym dokumentem jest także Konwencja Rady Europy z dnia 28 stycznia 1981 poświęcona „ochronie osób w związku z automatycznym przetwarzaniem danych osobowych”3.

Przytoczone wyżej dokumenty, uzupełnione regulacjami krajowymi, tworzą europejski model ochrony danych osobowych. Model ten jest charakterystyczny dla europejskiego (kontynentalnego) systemu prawa, w którym czołowe miejsce zajmują kompleksowe akty prawne wydane przez organy ustawodawcze.

Z całkowicie odmienną sytuacją mamy do czynienia w Stanach Zjednoczonych. Po pierwsze, do ochrony danych osobowych przywiązuje się generalnie mniejszą wagę niż w Europie. Zgromadzone dane mogą być wykorzystywane i przechowywane, nawet jeśli zostały zebrane bez zgody zainteresowanych. Prawne ograniczenia są wprowadzane ad hoc i w ograniczonym zakresie (np. Video Protection Act, Cable Television Consumer Protection and Competition Act, Fair Credit Reporting Act). Inne regulacje (Children's Online Privacy Protection Act, the Health Insurance Portability and Accountability Act (HIPAA), Fair and Accurate Credit Transactions Act (FACTA) przedkładają swobodny przepływ informacji nad ochronę danych.

W tradycji amerykańskiej duże znaczenie ma instytucja samoregulacji (przez podmioty prywatne). W dokumencie Struktura Światowej Gospodarki Elektronicznej4, strategii przygotowanej przez administrację prezydenta Clintona w 1997 roku, zagadnienia związane z rozwojem Internetu powinny być w znacznej mierze regulowane przez środowisko (firmy, użytkowników, organizacje pozarządowe). Przykłady inicjatyw takich jak Projekt Platformy ustawień prywatności5 czy TRUSTe6 wskazują, że przyjęcie takiego systemu regulacji nie jest jedynie pobożnym życzeniem polityków, lecz mechanizmem całkiem sprawnie funkcjonującym – i to w różnych aspektach. O ile bowiem P3P to społecznościowy projekt promujący określony format prezentowania informacji (dotyczących danych osobowych) w serwisach internetowych , o tyle TRUSTe to w pełni komercyjny system certyfikowania serwisów, które spełniają określone wymagania dotyczące zbierania i przetwarzania danych osobowych.

Model amerykański, pozostawiający wiele przestrzeni dla samoregulacji, zasługuje na aprobatę. Należy jednak podkreślić, że takie rozwiązania – zarówno te przedstawione powyżej, jak i inne np. kanadyjska ustawa o ochronie danych osobowych i dokumentów elektronicznych (Personal Information Protection and Electronic Documents Act – PIPEDA) – inspirowane były koniecznością dostosowania standardów ochrony danych osobowych funkcjonujących w amerykańskich firmach do wymagań europejskich. Taką rolę pełni także program Safe Harbor wprowadzony w 2000 roku przez Departament Handlu Stanów Zjednoczonych po konsultacjach z Unią Europejską. Firmy przystępujące do programu są weryfikowane i, jeśli spełniają wymagania wynikające z Dyrektywy 95/46, otrzymują odpowiedni certyfikat. Rozwiązanie to ułatwia amerykańskim firmom funkcjonowanie na rynku europejskim bez obawy o naruszenie przepisów dotyczących ochrony danych osobowych. Mimo nadzoru ze strony amerykańskiej Federalnej Komisji Handlu oraz corocznego obowiązku odnowienia certyfikatu zdarzają się sytuacje, gdy firmy objęte programem Safe Harbor nie zapewniają należytego poziomu ochrony danych osobowych7.

2. Tak się zaczęło…

Pierwszym z dużych serwisów internetowych, który zamieścił na swoich stronach dokument zwany „polityką prywatności” był Yahoo!. 30 czerwca 1998r. na stronie www.yahoo.com pojawił się odnośnik zatytułowany „Privacy policy”. Po kliknięciu na link przenosiliśmy się na stronę, z której mogliśmy się dowiedzieć, że Yahoo! bardzo poważnie traktuje naszą prywatność oraz że serwis bierze udział w przywoływanym powyżej programie TRUSTe i spełnia jego wymagania. Warto przypomnieć, że Yahoo! funkcjonowało w Internecie już od 1996 roku8. W 1999r. polityka prywatności pojawia się po raz pierwszy w serwisie AmericaOnline (www.aol.com), a w roku 2002 na stronie Netspace. W polskim Internecie jako pierwsza politykę prywatności publikuje Wirtualna Polska w 1999, a w 2000 roku robi to także Onet. W Interii regulamin zawierający zapisy dotyczące danych osobowych pojawia się w 2004 roku.

3. Prywatność w Polsce

Dyrektywa 95/46/WE została wdrożona do prawa polskiego nowelizacją Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku9. Nowelizacja ta została uchwalona w 2004 roku, tuż rozszerzeniem Unii. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Art. 23 ustawy stanowi, w jakich sytuacjach przetwarzanie danych jest dopuszczalne. Dla prowadzących serwisy internetowe szczególnie ważny jest punkt 1 ustęp 3 tego artykułu, który mówi o tym, że przetwarzanie danych jest dopuszczalne gdy „jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem”. Dotykamy tutaj zagadnień regulowanych ustawą o świadczeniu usług drogą elektroniczną (USE) z 2002 roku. Znajdziemy w niej m.in. przepis nakazujący usługodawcy stworzenie regulaminu i zawarcie w nim określonych zapisów, jak np. o sposobie nawiązania i rozwiązania umowy czy procedurze reklamacyjnej. Nie ma przeszkód by także w regulaminie zawrzeć informacje wymagane ustawą o ochronie danych osobowych. Takie rozwiązanie sprzyja przejrzystości i prostocie przekazu.

Ciekawe jest, że mamy do czynienia z sytuacją, w której serwisy (nieprzymuszane prawem) publikują różne „polityki prywatności”, poprzez które w mniejszym lub większym stopniu realizują obowiązek nałożony przez ustawę o ochronie danych ustawowych, dużo rzadziej zaś możemy znaleźć w serwisach prawidłowe regulaminy, przygotowane zgodnie z wymogami Ustawy o świadczeniu usług drogą elektroniczną.

Przyczyny tego zjawiska mogą być wielorakie. Sytuacja to może być wynikiem prostego kopiowania zachowań serwisów zachodnich (przede wszystkim amerykańskich), które z przytoczonych wyżej powodów umieszczały na swoich stronach zasady dotyczące ochrony danych osobowych10. Autorzy polskich serwisów korzystali z wzorów amerykańskich i zaadoptowali je na grunt polski Być może wytłumaczeniem jest niepewność prowadzących serwisy czy ich działalność jest świadczeniem usług drogą elektroniczną i czy wobec tego podlega przepisom odpowiedniej ustawy. Na to pytanie odpowie doktryna i orzecznictwo.

Nie można też jednoznacznie wykluczyć wersji najbardziej optymistycznej, takiej mianowicie, że administratorzy serwisów autentycznie przejmują się kwestią ochrony danych osobowych użytkowników i, zgodnie z zasadami netykiety, informują ich o zagadnieniach związanych z ochroną prywatności. Sytuacja ta jest bardziej prawdopodobna, jeśli pamiętamy, że takie podejście leży w interesie samych serwisów. Serwis, który cieszy się zaufaniem użytkowników może liczyć na ich powrót. Nie zmienia tej sytuacji nawet fakt, że prawdopodobnie większość użytkowników owej dostępnej „polityki prywatności” nie przeczytała.

4. Wnioski końcowe

Podsumowując, „polityki prywatności” publikowane na stronach rozmaitych serwisów internetowych wypełniają, na ogół, obowiązek nałożony przez ustawę o ochronie danych osobowych. Obowiązki te polegają na poinformowaniu osoby, której dane będą zbierane i przetwarzane m.in. o celu zbierania danych i sposobach ich przetwarzania, o sposobach zabezpieczenia danych czy o prawach jakie im przysługują w związku z przetwarzaniem ich danych osobowych. Mimo że ustawa nie nakłada obowiązku ujęcia tych informacji w osobnym dokumencie, w praktyce jest to najczęstszy sposób przedstawiania tych informacji. Ustawodawca ogranicza się do stwierdzenia, że informacje te muszą zostać dostępne dla usługobiorcy. Warto także zauważyć, że większości z popularnych serwisów internetowych nie wypełnia (w opinii autora) przepisów ustawy o świadczeniu usług drogą elektroniczną, a w szczególności nie udostępnia regulaminu świadczenia usług lub nie zamieszcza w nim wymaganych ustawą informacji. Niestosowanie się do przepisów ustawy przez prowadzących serwisy może jednak wynikać z ich odmiennej stanowiska co do tego, czy ich działalność stanowi świadczenie usług drogą elektroniczną. Wątpliwości te będą zapewne rozstrzygnięte przez doktrynę lub orzecznictwo rzecznictwo.

1. 1. http://pl.wikipedia.org/wiki/Polityka_prywatności
2. 2. Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności, Rzym 4 listopada 1950 r.
3. 3. Konwencja nr 108 Rady Europy, Strasburg 28 stycznia 1981 r.
4. 4. Framework For Global Electronic Commerce, http://clinton4.nara.gov/WH/New/Commerce/, 1 lipca 1997
5. 5. Tzw. P3P, funkcjonujące w ramach szerszej organizacji World Wide Web Consortium
6. 6. www.truste.org
7. 7. Safe harbor and privacy protection: a looming issue for IT professionals, Markel, M., Professional Communication, IEEE Transactions on, Vol. 49, March 2006
8. 8. Te i kolejne dane: analiza własna na podstawie web.archive.org
9. 9. Dz.U. 1997 Nr 133 poz. 883.
10. 10. Choć np. najpopularniejsza na świecie wyszukiwarka Google zamieściła taki dokument dopiero w 2009 roku!