Konta w serwisach internetowych a "drobne bieżące sprawy życia codziennego"

Wydaje się, że Generalny Inspektor Ochrony Danych Osobowych zmienił zdanie w kwestii konieczności rejestrowania zbioru danych osobowych przez osoby prowadzące serwisy internetowe. Niektórzy pamiętają odpowiedź na pytanie "Czy założyciel portalu internetowego musi zgłosić do rejestracji Generalnemu Inspektorowi bazę danych zawierającą informacje o osobach reprezentujących firmę (nazwiska osób „kontaktowych”), która zarejestrowała się w portalu?", która to odpowiedź od długiego czasu (i nadal) widnieje w serwisie edukacyjnym GIODO? Jeśli nie pamiętacie, albo wcześniej jej nie widzieliście, to warto sięgnąć, ponieważ - jak się wydaje - GIODO krystalizuje zdanie na temat rejestracji zbiorów danych stanowiących zaplecze dla serwisów internetowych. Jutro Dzień Ochrony Danych Osobowych, więc może będzie ktoś miał okazję dopytać?

Odnośnie zacytowanego wyżej pytania, to odpowiedź na nie dostępna jest w serwisie ABC REJESTRACJI ZBIORÓW DANYCH OSOBOWYCH jako jedno z przykładowych pytań dotyczących rejestracji zbiorów. Można ją również znaleźć w serwisie głównym GIODO. Odpowiedź na sygnalizowane pytanie dotyczy wszak wielu osób, które prowadzą serwis internetowy, ale ani nie dysponują infrastrukturą teleinformatyczną (np. szafami serwerowymi w chronionej serwerowni), a często nawet swoją aktywność koncentrują na komputerze, który stoi pod biurkiem w pracy, wpiętym do jakiejś sieci, na niejasnych często zasadach. Są też platformy hostingowe, które pozwalają na tworzenie serwisów w miarę prosty sposób, bez pytania o cokolwiek, bez zbędnych formalności. Dlatego wszystkiego wcześniej i nadal dostępna odpowiedź stanowiła pewną chwiejną - przyznaję - "gwarancje bezpieczeństwa prawnego". Brzmi ona tak:

Zgodnie z art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), administrator danych obowiązany jest zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 tej ustawy.

Podstawą zwolnienia administratora danych z obowiązku rejestracji zbioru danych osób "kontaktowych" jest art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych. Przesłanka ta ma zastosowanie wobec zbiorów danych "przetwarzanych w zakresie drobnych bieżących spraw życia codziennego".

Zbiór danych osób kontaktowych służy usprawnieniu, przyspieszeniu działalności administratora. Zbiór ten ma zatem charakter pomocniczy, a co za tym idzie dane w nim zawarte traktować należy jako przetwarzane w zakresie drobnych, bieżących spraw życia codziennego.

Zwolnienie administratora danych z obowiązku zgłoszenia zbioru danych do rejestracji nie zwalnia go z szeregu innych obowiązków wynikających z przepisów o ochronie danych osobowych. Administrator danych zobowiązany jest m.in. spełnić jedną z przesłanek legalizujących przetwarzanie danych wskazanych w art. 23 ust. 1 tej ustawy oraz dopełnić obowiązku informacyjnego.

Tymczasem, najprawdopodobniej z okazji Dnia Ochrony Danych Osobowych, Minister Serzycki wziął udział w programie lookr.tv, który dostępny jest pod tytułem 2010.01.25 Zapytaj eksperta: GIODO, styczeń 2010. Tam Minister Serzycki, odpowiadając na "kolejną pulę pytań Internautów", odpowiedział również na pytanie (pierwsze w tej puli), które brzmiało: czy istnieje jakaś lista działań, które należy wykonać tworząc serwis internetowy, który posiada bazę użytkowników z danymi będącymi danymi osobowymi? Pytanie miało również drugą część, doprecyzowującą (z czego może wynikać rozbieżność interpretacyjna). Otóż druga część tego pytania doprecyzowywała, że pytającemu chodzi o "serwisy społecznościowe" (cokolwiek to znaczy), ale zacytuję to w całości: "Chodzi mi o jakieś podstawowe wytyczne dla tworzących portale społecznościowe. Co zrobić i w jaki sposób, aby wszystko było w naszym portalu zgodnie z doktryną GIODO? Jakie mają być zabezpieczenia, jak je sformułować, jakie praktyki stosować, etc.?" I na tak postawione, rozbudowane dość pytanie (przeczytane przez Pana Ministra "jednym ciągiem"), Minister Serzycki odpowiedział, że "trzeba pewne działania wykonać, aby móc zarządzać serwisem internetowym", potem chwilę o regulaminie, o obowiązku informacyjnym, o należytym zabezpieczeniu danych... Aż wreszcie Generalny Inspektor Ochrony Danych Osobowych stwierdził - i to wydaje mi się zmianą wobec powyżej cytowanej odpowiedzi:

Jak również należy pamiętać o tym, że administrator powinien zarejestrować taki zbiór danych osobowych...

W tej sytuacji nie jestem pewny, czy adresaci odpowiedzi udzielonych przez GIODO będą potrafili rozwikłać problem, którą z wypowiedzi należy uznać za obowiązującą: czy odpowiedź opublikowaną w serwisie edukacyjnym i powtórzoną w serwisie głównym GIODO, w szczególności z powołaniem się na odpowiedni przepis (art. 43 ust. 1 ustawy o ochronie danych osobowych), czy też może odpowiedź udzieloną dla potrzeb wystąpienia w pewnej szczególnej, telewizyjnej formule, zaproponowanej przez lookr.tv?

W trakcie udzielania tej odpowiedzi Minister Serzycki wtrącił tam, jednak nie podkreślając tego, słowa: "w przypadkach wskazanych w ustawie", co jest dość pojemną figurą retoryczną. Dotyczyło to - sądząc z kontekstu - informacji o prawie wniesienia pisemnego umotywowanego żądania zaprzestania przetwarzania danych osobowych, ale nie samej rejestracji. Być może jednak można by próbować interpretować odpowiedź GIODO, że jeśli ustawa wskazuje sytuacje, w których rejestrować zbioru w GIODO nie trzeba, to jednak prowadzący serwis internetowy nie będą do tego obowiązani, ale... No, mam wrażenie, że po tym wystąpieniu pojawi się szereg wątpliwości. Sprawa rozbija się o mało precyzyjne określenie "przetwarzania w zakresie drobnych bieżących spraw życia codziennego". Ponieważ ono nie jest przez ustawę definiowane...

Zresztą zauważa to również GIODO, gdy na swojej stronie (do której zresztą odwołuje się w rocznych sprawozdaniach) wyjaśnił to pojęcia słowami w haśle pt. Jaki jest zakres pojęcia ''drobnych bieżących spraw życia codziennego"?, w którym można przeczytać:

Pojęcie "drobnych bieżących spraw życia codziennego", użyte w art. 43 ust. 1 pkt 11 nie zostało zdefiniowane w ustawie. Także Kodeks cywilny, który się nim posługuje, nie precyzuje omawianego sformułowania. Konieczne zatem wydaje się odwołanie do istniejącego na gruncie K.c. orzecznictwa i literatury przedmiotu. Uznać więc należy, że chodzi o sprawy drugorzędne, nie mające zasadniczego znaczenia dla administratora danych. Jednocześnie jednak ta "drugorzędność" powinna mieć charakter obiektywny, w przeciwnym wypadku zbiór zawierający określone dane i służący określonym celom, prowadzony przez jednego administratora, a uznany przez niego za prowadzony w "drobnych bieżących sprawach życia codziennego" może nie być uznany za taki przez innego dysponenta zbioru. W ujęciu subiektywnym określony zbiór dla jednych podmiotów stanowi rzeczywiście zbiór drugorzędny, dla innych natomiast mieć znaczenie zasadnicze. Może to doprowadzić do znacznej niejednolitości praktyki, co zwłaszcza z uwagi na penalizację nie zgłoszenia zbioru do rejestracji (art. 53 ustawy) nie powinno mieć miejsca. Dla przykładu wskazać należy, iż Generalny Inspektor za przetwarzanie danych w drobnych bieżących sprawach życia codziennego uznał przetwarzanie danych w zbiorach prowadzonych w celu kontroli wstępu na teren określonych obiektów (tzw. księgi wejść i wyjść).

Widzę w tym materiale lookr.tv, że za plecami Ministra Serzyckiego stoi komentarz do ustawy o ochronie danych osobowych autorstwa prof. Barty, dr Fajgielskiego i prof. Markiewicza. Jest to chyba jedno z pierwszych wydań, gdyż ma na grzbiecie białe logo Zakamycza, a kolejne mają już kolorową kropkę Wolters Kluwer. Mogę sprawdzić w różnych wydaniach, sprawdzę w wydaniu czwartym (z kolorową kropką z 2007 roku). Na temat art 43 ust. 1 pkt 11 ustawy tu jest tylko krótki akapit, a brzmi on tak (str. 641):

Za zbiory danych przetwarzanych w zakresie drobnych, bieżących spraw życia codziennego, a więc zbiory, których administratorzy, zgodnie z pkt 11, zwolnieni są z obowiązku rejestracyjnego Generalny Inspektor Ochrony Danych Osobowych uznaje zbiory będące rejestrami przepustek jednorazowych, prowadzone zarówno przez podmioty sfery prywatnej, jak i publicznej (por. m.in. Sprawozdanie z działalności Generalnego Inspektora Ochrony Danych Osobowych za okres 01.01.2001-31.12.2001 r., druk sejmowy z 8 marca 2002 r., nr 322, s 349).

A więc nawet mniej, niż na stronie GIODO. Ważne jednak, że autorzy odwołują się do Sprawozdania rocznego GIODO. Od tego czasu pojawiło się więcej Sprawozdań z działalności Generalnego Inspektora. Aby pokazać chociażby dwa ostatnie, należałoby wskazać, że w dniu 7 lutego 2008 r. na 8 posiedzeniu Sejmu RP, Generalny Inspektor Ochrony Danych Osobowych, przedstawił Sprawozdanie z działalności w 2006 r., a w dniu 6 listopada 2009 r. na 53 posiedzeniu Sejmu RP, Generalny Inspektor Ochrony Danych Osobowych przedstawił Sprawozdanie z działalności w 2007 i 2008.

Osoby ciekawe wszystkich sprawozdań znajdą je na odpowiedniej stronie GIODO: Sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych za rok. Jeszcze tam nie ma roku 2008. W roku 2007 w Sprawozdaniu (PDF, 166 stron) można znaleźć następujący fragment:

Podobnie jak w latach ubiegłych, część ze zgłoszonych zbiorów danych nie podlegała obowiązkowi rejestracji. Najczęstszą podstawą zwolnienia z obowiązku rejestracji była jedna z przesłanek określonych w art. 43 ustawy. Przykładowo z obowiązku rejestracji zwalniani są administratorzy danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, zbiorów tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, zbiorów dotyczących osób korzystających z usług medycznych administratora danych, jak również zbiorów danych osobowych obecnych i byłych pracowników administratora danych, zbiorów danych osób ubiegających się o zatrudnienie u administratora danych (kandydaci do pracy), zbiorów danych osób zrzeszonych (np. członkowie
stowarzyszenia). W 2007 r. przygotowano 121 projektów pism informujących o zwolnieniu administratora danych na podstawie art. 43 ustawy.

Poza informacją o dodaniu do art 43 kolejnego punktu (2b, czyli zwolnienie dla administratorów danych przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej) w tym sprawozdaniu art 43 nie ma wiele więcej, a więc sprawozdanie to nie jest pomocne do poszukiwania interpretacji pojęcia "przetwarzanie w zakresie drobnych bieżących spraw życia codziennego".

W Sprawozdaniu za rok 2006 (PDF, 138 stron), w kontekście art 43... jest odwołanie do zbiorów wyższych uczelni, do administratorów danych dotyczących osób korzystających z obsługi adwokackiej oraz obsługi radcy prawnego... O bieżących sprawach życia codziennego nie widzę słowa. Sprawozdanie za rok 2005 (PDF, 319 stron) wspomina o problemach z fundacjami i stowarzyszeniami, o zgłoszeniu dokonanego przez Komendanta Głównego Straży Granicznej (art. 43 ust. 1 pkt 4 ustawy)... Sporo ciekawych informacji, ale... Nie, nie ma tu bieżących sprawa życia codziennego. W 2004 roku Sprawozdanie (PDF) ma 279 stron. Sporo tam odesłań do "bieżącego okresu sprawozdawczego", do "bieżących wydarzeń"... Jest interesująca informacja:

(...)
Podmioty wykorzystujące w swej działalności Internet zgłosiły do rejestracji w 2004 roku 50 zbiorów danych osobowych. W 2003 i 2002 roku liczba zgłoszeń do rejestracji wynosiła – odpowiednio – 27 oraz 28. Z ogólnej liczby zgłoszonych do rejestracji zbiorów należy wyodrębnić m.in. zbiory klientów sklepów internetowych, użytkowników kont pocztowych, użytkowników serwisów dla osób poszukujących pracy, uczestników internetowych konkursów i promocji oraz innych akcji marketingowo-reklamowych.

Do najczęściej pojawiających się, w związku z wypełnieniem zgłoszenia rejestracyjnego, uchybień należy zaliczyć brak określenia sposobu udostępnienia danych oraz brak informacji o odbiorcach i kategoriach odbiorców, którym dane mogą być przekazywane. Ponadto dało się zauważyć nieprawidłowości w opisie zastosowanych w celu zabezpieczenia danych osobowych środków technicznych i organizacyjnych, określonych w rozdziale 5 ustawy o ochronie danych osobowych, jak również w rozporządzeniu wykonawczym do ustawy. W każdym przypadku wystąpienia uchybień, których potwierdzenie stanowiłoby przesłankę do wydania decyzji o odmowie rejestracji, przeprowadzone zostało postępowanie wyjaśniające.
(...)

W tym Sprawozdaniu jest przypis nr 590 (do omówienia dotyczącego banków), w którym można znaleźć znajomo brzmiące słowa:

Administrator danych osób reprezentujących instytucje i podmioty gospodarcze, które przetwarzane są w zbiorze jedynie w celu utrzymywania kontaktów służbowych z reprezentowanymi przez te osoby podmiotami został poinformowany o zwolnieniu niniejszego zbioru danych z obowiązku rejestracji na podstawie art. 43 ust. 1 pkt 11 ustawy, zgodnie z którym z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Ale to w 2003 roku (PDF, 203 strony) Sprawozdanie przynosi ważną informację "źródłową" dla powyższego przypisu z roku następnego:

Przetwarzanie danych w celu utrzymywania kontaktów z kontrahentami, partnerami przedsiębiorcy przez wyznaczonych do tego pracowników oraz w zakresie niezbędnym do realizacji tego celu służy usprawnieniu działalności administratora. Zbiór tego rodzaju danych ma charakter pomocniczy, a co za tym idzie dane w nim zawarte traktować należy jako przetwarzane w zakresie drobnych, bieżących spraw życia codziennego.

W tymże sprawozdaniu jest też odesłanie do strony internetowej, gdzie GIODO "wyjaśnił" pojęcie, a co już wyżej zacytowałem.

To, co? Idziemy dalej? Wiele więcej niż na stronie internetowej już się nie spodziewam. Rok 2002 (PDF, 510 stron). Tu jest obszerny fragment na temat "Zwolnienia z obowiązku zgłoszenia zbioru danych osobowych do rejestracji" (str. 328), chociaż w zakresie art. 43 ust. 1 pkt 11 ustawy jest tylko odesłanie (przypis 637) do "DRZDO/401/002406/00-3514/02". Próżno jednak tego szukać w Sieci.

W tym opracowaniu jest rozdział I.2 Portale internetowe (str. 482), w którym czytamy:

Interesującą grupą podmiotów poddaną kontroli w 2002 roku były portale internetowe. W 2002 r. przeprowadzone były kontrole w „Interia.pl” oraz „Wirtualna Polska”, które należą do jednych z większych podmiotów tego typu. Portale Internetowe świadczą m.in. usługi z zakresu udostępniania użytkownikom Internetu kont pocztowych. W przypadku „Interia.pl” samo założenie konta pocztowego nie obliguje jeszcze jego posiadacza do wyjawienia swoich danych osobowych. Konieczność taka pojawia się dopiero w chwili, gdy użytkownik korzysta z innych usług oferowanych przez portal, takich jak np. serwisy: „praca”, „tropiciel”, czy „piłkarska ruletka”. W „Interia.pl” wprowadzenie i modyfikacja danych użytkownika konta szyfrowane jest zawsze protokołem SSL. Logowanie do założonego już konta poprzez przeglądarkę internetową taką jak np. Ms Explorer, czy np. Netscape, szyfrowane jest na życzenie użytkownika również wspomnianym powyżej protokołem. Jednakże już połączenie z kontem dokonywane za pomocą takich aplikacji, jak np. Ms Outlook, czyli programowych klientów poczty, wykorzystujących protokoły POP3 i SMTP, w żaden sposób nie są szyfrowane. Brak szyfrowania w tym przypadku powoduje, że identyfikator i odpowiadające mu hasło dostępu do konta przesyłane są do serwera w postaci jawnej, co umożliwia niewielkim nakładem sił przechwycenie ich przez osoby postronne. Przechwycenie przez osobę nieupoważnioną identyfikatora użytkownika konta oraz odpowiadającego mu hasła oznacza, że osoba ta posiada dostęp nie tylko do wszystkich danych osobowych prawowitego użytkownika konta, ale również do całej korespondencji, jaką użytkownik konta prowadzi.

W przypadku portali internetowych znaczącym problemem jest sposób zbierania danych osobowych. Dane osób korzystających z usług oferowanych przez portale internetowe pozyskiwane są drogą elektroniczną i wprowadzane do bazy bezpośrednio przez osoby zainteresowane. Zgodnie z Art. 23 ust.1 pkt.1 u.o.d.o. przetwarzanie danych dopuszczalne jest tylko wtedy, gdy osoba, której dane dotyczą wyrazi na to zgodę. Powstaje tu problem wprowadzenia do bazy danych osoby, która nie wyraziła zgody na przetwarzanie jej danych. Przed tego typu sytuacją portale zabezpieczyły się w taki sposób, że formularz z danymi osobowymi użytkownika może zostać wypełniony wyłącznie po uprzednim przeczytaniu regulaminu, gdzie w sposób jednoznaczny podana jest informacja, iż wprowadzenie danych do bazy równoważne jest wyrażeniu zgody na ich „zbieranie i przetwarzanie”. Poważniejszym problemem wynikającym z faktu zbierania danych osobowych drogą elektroniczną jest brak możliwości potwierdzenia tożsamości osoby wprowadzającej dane. O ile w przypadku płatnych usług oferowanych przez portal weryfikacja wprowadzającego dane następuje poprzez wystawioną fakturę, o tyle w przypadku bezpłatnych usług internetowych zidentyfikowanie osoby wprowadzającej dane do systemu jest praktycznie nie- możliwe. Może to prowadzić to do sytuacji, w której dane osobowe są przetwarzane bez wiedzy osoby, której dotyczą, nie mówiąc już o jakimkolwiek wyrażaniu zgody na przetwarzanie tych danych. Wskazany tu problem dotyczy nie tylko portali internetowych, ale wszystkich firm pozyskujących dane osobowe drogą elektroniczna. W tym przypadku najlepszym rozwiązaniem byłoby zastosowanie podpisu elektronicznego. Niestety technologia ta nie została jeszcze w naszym kraju rozpowszechniona na tyle, aby można było ją wprowadzić do powszechnego użytku.

Jest jakiś trop. Przecież zakładanie konta w serwisie internetowym nie musi oznaczać od razu konieczności podawania danych osobowych. Przecież może ustalenie tożsamości wiązałoby się z nadmiernymi kosztami, czasem lub działaniami (art. 6 ust. 3 ustawy)? Czy aby na pewno? Login, adres poczty elektronicznej (by wysyłać potwierdzenie zmiany hasła)... Niektórzy podają jako login swoje prawdziwe imię i nazwisko, a wówczas wraz z adresem poczty elektronicznej (i np. adresem strony www, którą chętnie się podaje, by komentując w serwisie rozsiewała radosną nowinę o aktywności danego komentatora) mamy często do czynienia z danymi osobowymi. A może trzeba iść innym tropem? Na zasadzie art. 43 ust. 1 pkt 9 ustawy z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych powszechnie dostępnych... A przecież wystarczy chociaż jeden rekord z danymi osobowymi w bazie danych, by był to zbiór danych osobowych (z których pewnie część nie będzie powszechnie dostępna)... Może jednak lepiej wrócić do koncepcji art 43 ust. 1 pkt 11 ustawy, a więc, że owszem, że dane osobowe, ale w bieżących sprawach życia codziennego zgłaszać do rejestru nie trzeba (chociaż zabezpieczyć, poinformować i owszem)?

W 2001 roku Sprawozdanie (PDF, 476 stron) zawiera część zatytułowaną "Zbiory danych osobowych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego (art. 43 ust. 1 pkt 11)" (str. 342). Czytamy tam:

Wyłączeniem tym objęte zostały zgłoszone do rejestracji zbiory danych osobowych będące rejestrami przepustek jednorazowych, prowadzone zarówno przez podmioty sfery prywatnej jak i publicznej.

Np. przedsiębiorstwo “POLMOS” Białystok S.A. zgłosiło do rejestracji zbiór danych o nazwie „Rejestr przepustek materiałowych” (zgłoszenie do rejestracji nr R 42448/99). Ze zgłoszenia wynikało, iż celem przetwarzania danych w przedmiotowym zbiorze jest kontrola dostępu do obiektów i pomieszczeń osób przybywających do obiektów spółki. W związku z tym uznano, iż zbiór danych osobowych o nazwie „Rejestr przepustek materiałowych” nie podlega obowiązkowi zgłoszenia do rejestracji na podstawie art. 43 ust. 1 pkt 11 ustawy.

No, ale przecież trudno sobie wyobrazić, że tylko zbiory przepustek temu wyłączeniu podlegają?

W sprawozdania już dalej nie brnę. Co tu robić? Gdzie jeszcze szukać wskazówek?

Jest jeszcze jedno miejsce, w którym warto trochę poszperać. To Centralna Baza Orzeczeń Sądów Administracyjnych.

Sprawy z zakresu ochrony danych osobowych mają w tym systemie symbol "647". To tam można znaleźć słynne stanowiska sądu w sprawie sygn. OSK 667/09 (a wcześniej II SA/Wa 1495/08 - Wyrok WSA w Warszawie z 2009-03-03), ale kiedy podać w parametrach wyszukiwania "Dz.U. 2002 nr 101 poz 926" - jako akt prawny, a w polu "Przepis" podać "art 43 ust. 1 pkt 11", to system odpowiada: "Nie znaleziono orzeczeń spełniających podany warunek!" Może zbyt szczegółowo chciałem wskazać, o co mi chodzi. System opisuje sprawy z dokładnością co do ustępu, nie zaś co do punktu.

Jest kilka takich orzeczeń, które do bieżących spraw życia codziennego się odnoszą. Przykładowo: prawomocny II SA/Wa 1026/08 - Wyrok WSA w Warszawie... Napisałem, ze "kilka"? Skłamałem. To jest jedyne, które potrafi znaleźć serwis z orzecznictwem przy takich warunkach wyszukiwania. A może nie skłamałem, skoro wiadomo, że ten wyrok zapadł po wcześniejszym wyroku NSA z dnia 7 maja 2008 r., sygn. akt I OSK 983/07? NSA nie analizował pojęcia "bieżących spraw życia codziennego", a zupełnie z innych powodów przesłał sprawę do WSA.

WSA zaś oddalił skargę, stwierdził, że GIODO wydał decyzję odpowiadającą prawu. Wyrok jest prawomocny, chociaż WSA również nie analizował pojęcia "drobne bieżące sprawy życia codziennego" w kontekście ochrony danych osobowych. Mamy zatem jedynie ten fragment uzasadnienia, w którym sąd czyni ustalenia związane z dotychczasowym przebiegiem postępowań i można tam przeczytać:

Prowadzenie zbioru danych uczestników zdarzeń na terenie [...] i [...] nie można było zakwalifikować jako drobnych bieżących spraw życia codziennego, albowiem rejestracja takich zdarzeń należała do określonych w przepisach prawa obowiązków Służby Ochrony [...]. Organ nie podzielił stanowiska skarżącej spółki w zakresie zwolnienia jej od obowiązku rejestracji przedmiotowego zbioru. Generalny Inspektor Ochrony Danych Osobowych wskazał także, że nie można do zakresu działań wewnętrznych służb ochrony osób i obiektów przyjmować wykonywania czynności operacyjno-rozpoznawczych w postaci ochrony osób i obiektów oraz zabezpieczenia miejsca popełnienia czynów przestępczych.

Oj, znów bym skłamał. W tej samej sprawie jest przecież jeszcze drugi cykl orzeczeń: I OSK 983/07 - Wyrok NSA z dnia 2008-05-07 oraz II SA/Wa 2110/06 - Wyrok WSA w Warszawie z 2007-03-16. Może chociaż tu? Również chodzi o raporty sporządzane przez pracowników Służby Ochrony Metra ze zdarzeń na Stacji Techniczno-Postojowej i linii metra, ale chociaż mowa o bieżących sprawach życia codziennego w stanowisku skarżącego, to NSA i WSA przyglądały się art 7 pkt 1 ustawy i nawet w uzasadnieniu NSA wcale, a w uzasadnieniu WSA również nie odniesiono się do stanowiska GIODO, które jednak w przypadku WSA zacytowano:

(...)
Organ uznał, że skoro raporty tworzą zbiór, to nie można przyjąć, że byłby on zwolniony z obowiązku zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych na podstawie art. 43 ust. 1 pkt 11 ustawy, należy wskazać że przesłanka ta dotyczy zwolnienia z rejestracji zbioru danych, administratorów danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. Pojęcie "drobnych bieżących spraw życia codziennego" nie zostało w przepisach zdefiniowane, jednak można uznać, że oznacza ono sprawy, które z obiektywnego punktu widzenia są niewielkiej wagi. Prowadzenia zbioru danych uczestników zdarzeń na terenie Stacji [...] i [...] nie można zakwalifikować jako drobnych bieżących sprawach życia codziennego, bowiem rejestracja takich zdarzeń należy do określonych w przepisach prawa obowiązków [...] , jako wewnętrznej służby ochrony (dzienniki wydarzeń zawierające m.in. dane personalne osób uczestniczących w wydarzeniu stanowią dokumentację ochronną, o której mowa w § 8 ust. 1 rozporządzenia w sprawie wewnętrznych służb ochrony, ponadto w § 8 pkt 5 ww. rozporządzenia wskazano, że dokumentacja ochronna prowadzona jest w formie pisemnej, zaś z punktu 6 wynika obowiązek kolejnego numerowania kart tej dokumentacji). Z powyższych względów nie można zgodzić się ze stanowiskiem Spółki w zakresie zwolnienia omawianego zbioru danych z obowiązku rejestracji na podstawie art. 43 ust. 1 pkt 11 ustawy.
(...)

To już znamy.

Ostatecznie można sięgnąć jeszcze do II SA/Wa 1700/05 - Wyrok WSA w Warszawie z dnia 2006-01-26, w uzasadnieniu którego czytamy:

Nie można również podzielić poglądu Spółki, iż przetwarza ona dane ww. osób w zakresie drobnych bieżących spraw życia codziennego (art. 43 ust. 1 pkt 11 u.o.d.o.). Dane te przetwarzane są przede wszystkim w celu zawarcia i wykonania umowy nabycia [...], a zatem w celu realizacji podstawowego przedmiotu działalności Spółki.

Czyli, że jeśli w celu realizacji podstawowego przedmiotu działalności, to nie w zakresie drobnych bieżących spraw życia codziennego?

I to - jeśli chodzi o serwis orzeczniczy prawie wszystko. Prawie, bo można jeszcze przeglądać ten serwis w inny sposób i znaleźć II SA/Wa 1085/04 - Wyrok WSA w Warszawie z dnia 2005-02-09, gdzie GIODO przegrał, a chodziło o możliwość wydobywania od podmiotów prowadzących portale internetowe danych użytkowników dla potrzeb wszczęcia przeciwko takim użytkownikom postępowania sądowego. Sprawa dotyczyła portalu, dotyczyła użytkowników, ale nie rejestracji zbioru. Można znaleźć II SA/Wa 1177/08 - Wyrok WSA w Warszawie z dnia 2008-11-18 (dane osobowe w uchwale Rady Miejskiej na stronie BIP), albo - bardzo interesujący - I OSK 1743/07 - Wyrok NSA z 2008-11-25 (tu o zgodzie na przetwarzanie danych i wniosku o założenie konta bankowości elektronicznej), albo II SA/Wa 71/07 - Wyrok WSA w Warszawie z 2007-11-30 (udostępnianie danych osobowych osoby posiadającej prawo do domeny).

Daniel. Daniel Wieszczycki chyba zgłosił kiedyś prowadzoną jednoosobowo stronę internetową do GIODO, czym - o ile pamiętam wywołał spore zamieszanie w Biurze GIODO. Bo problem tu jest m.in. taki, że przecież jak tworzyć politykę bezpieczeństwa, gdy strona jest co prawda na serwerze, ale przecież dostęp do niej (i do zbioru) administrator ma - po zalogowaniu się hasłem administracyjnym - praktycznie z dowolnego komputera podłączonego do Sieci na Ziemi... W tym również z przenośnego laptopa, z którym jakiś administrator może chcieć podróżować autobusem... Może go zapytam, albo sam zdecyduje się skomentować?

Jutro Dzień Ochrony Danych Osobowych i dni otwarte w biurze GIODO. Jeśli ktoś się wybiera, to może mógłby zapytać Pana Ministra? Jak wiadomo - tegoroczne hasło obchodów brzmi „Masz prawo do prywatności w Internecie”, a - jak można przeczytać na stosownej stronie - "w związku z tym wykłady skoncentrują się przede wszystkim wokół tematów związanych z ochroną prywatności w świecie elektronicznym, a także ochroną praw dziecka w Internecie". Tak już zupełnie na marginesie - dzieci również dziś zakładają strony internetowe, które wymagają logowania się użytkowników (np. by móc skomentować - co chronić może przed spamem, lub aby zalogowanym pokazywać ich wcześniejsze komentarze)... Czy to wystarczająco drobne sprawy? Nawet może drobniejsze, niż księga wejść i wyjść?

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Wisienka na torcie

Digital Mike's picture

Tak na szybko: Sprawozdanie za rok 2008 jest dostępne tu: http://www.giodo.gov.pl/plik/j/pl/id_p/1616.pdf (nie to, że łatwo je na stronie GIODO znaleźć, po prostu niedawno z niego korzystałem).

Zboczę trochę z tematu, bo dla mnie wisienką na torcie jest pytanie o czas rejestracji zbioru. Odpowiedź GIODO brzmiała, że bez względu na rodzaj danych (sensytywne czy nie) rejestracja odbywa się "bez zbędnej zwłoki, można powiedzieć, że natychmiastowo". Ostatnią bazę zgłaszałem w połowie zeszłego roku, więc może coś się ruszyło, ale to "natychmiastowo" wynosiło kiedyś dla zbiorów z danymi niesensytywnymi po kilka miesięcy (sensytywne chyba miały jakiś priorytet i rejestrowały się nieco szybciej). Całe szczęście, że do legalnego przetwarzania danych wystarcza samo zgłoszenie zbioru...

pozdrowienia, Michał

Szacun, Piotrze, za

Szacun, Piotrze, za przeglądniecie tego wszystkiego!

Tylko tyle?

VaGla's picture

Tylko tyle? Szczerze powiedziawszy myślałem, Panie Doktorze, że się ustosunkujesz do tematu bardziej, no, wiesz. :) Oczywiście mam i wielbię Komentarz tandemu Barta-Litwiński, ale tu nie napisaliście na temat "zwykłych spraw życia codziennego" więcej niż trio Barta-Fajgielski-Markiewicz. To, co jest, jest na stronie 408, chociaż nie ma tam żadnego przykładu, a wspomniani wyżej autorzy mili jeden przykład.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Wstyd, no wiem, że wstyd...

Wstyd, no wiem, że wstyd... Na moje usprawiedliwienie mam to, że organizowanie własnej kancelarii zajmuje duuuużo czasu i bywa nieco stresujące, zwłaszcza w aspekcie - nomen omen - drobnych bieżących spraw życia codziennego takiej kancelarii ;-)

A poważniej, to ja już stanowisko w tej sprawie zająłem, i to chyba w Twoim serwisie - otóż moim zdaniem to, co jest publikowane w serwisach społecznościowych przez "posiadaczy" kont to przetwarzanie danych w celach osobistych tych osób. To powoduje, że do tych danych się w ogóle nie stosuje przepisów ustawy o ochronie danych osobowych. I mam świadomość, że powoduje to osłabienie publicznoprawnej ochrony danych osobowych, ale w mojej ocenie nie ma innego wyjścia, żeby utrzymać ten rodzaj aktywności sieciowej i nie pozamykać serwisów, jak kiedyś sugerował min. Serzycki. Czyli moim zdaniem efekt zwolnienia z obowiązku rejestracyjnego osiąga się inną drogą.

PS
Są 3 przykłady w komentarzu, zresztą z orzecznictwa GIODO ;-)

dozwolony użytek osobisty

ksiewi's picture

Już chyba kiedyś próbowałem pociągnąć dalej taką interpretację i pytałem, czy jeżeli publikowanie danych osobowych w Internecie to przetwarzanie w celach osobistych, to czy publikowanie utworów w Internecie nie będzie na podobnej zasadzie korzystaniem z tych utworów w ramach dozwolonego użytku osobistego.

Jasne, że kwestie te regulują odrębne przepisy. Niemniej jednak, abstrahując od przepisów to tu i tu mamy pewne dobra niematerialne ("własność intelektualną" jak chcą niektórzy). Dlaczego moja "własność intelektualna" w postaci utworów miałaby być lepiej chroniona i użytkownicy mieliby nie móc publikować moich utworów w celach osobistych, podczas gdy moja "własność intelektualna" w postaci moich danych osobowych byłaby chroniona gorzej?

Przecież dozwolenie publikacji cudzych utworów przez użytkowników na różnego rodzaju serwisach typu NK, YT itd. również osłabia ich ochronę, ale też przecież "nie ma innego wyjścia aby utrzymać ten rodzaj aktywności sieciowej i nie pozamykać serwisów..."

Dlaczego twórczość mielibyśmy chronić bardziej od prywatności, skoro to przecież w naturze twórczości leży publikowanie, a w naturze prywatności leży zachowywanie dla siebie?

Moim zdaniem próba

Moim zdaniem próba łączenia tych dwóch problemów zaprowadzi nas donikąd. Inny jest przedmiot ochrony - w przypadku uodo jest to prywatność, w przypadku upaip - osobiste i majątkowe prawa autorskie. Tego elementu majątkowego właśnie brak w przypadku uodo, co moim zdaniem wyklucza budowanie tutaj analogii.

majątkowy charakter

ksiewi's picture

No tak, publikowanie utworów to wkroczenie w autorskie prawa majątkowe. Publikowanie danych ze sfery prywatności to wkroczenie w niemajątkowe dobra osobiste. Prawa niemajątkowe są przez prawo traktowane "mniej poważnie" niż prawa majątkowe.

Nie wiem tylko, czy to jest istotna i wystarczająca różnica pozwalająca przyjąć skrajne interpretacje. Poza tym istnieją przecież osoby zarabiające na swojej prywatności równie dobrze jak osoby, które zarabiają na swojej twórczości. Być może ustawodawca powinien nadać prawu do prywatności charakter prawa majątkowego podobnie jak to uczynił dawno temu z prawami autorskimi.

To jeszcze raz - ja nie

To jeszcze raz - ja nie twierdzę, że wstawienie na NK przez jednego użytkownika danych osobowych jego całej klasy jest przetwarzaniem danych osobowych w celach osobistych tego użytkownika. Ja po prostu nie mogę nie dostrzec pewnych zjawisk społecznych, takich choćby jak serwisy społecznościowe, które:

a) opierają się o dane zamieszczane przez użytkowników,
b) wymagają opisania z punktu widzenia obowiązującego prawa.

I jedyne, co robię, to próbuję te zjawiska opisać mając takie instrumentarium, jakie mam. Prawo ochrony danych osobowych nie nadąża za zmianami w życiu społecznym i pora i czas sobie z tego zdać sprawę.

jasne

ksiewi's picture

Istotnie warto zdać sobie sprawę z pewnych rzeczy.

Ja na przykład zauważam takie tendencje, że w odpowiedzi na zjawisko masowego publikowania w Internecie cudzych utworów Internautów nazywa się piratami, złodziejami i proponuje rozwiązania ustawowe mające na celu ułatwienie dochodzenia takich naruszeń.

Natomiast w odpowiedzi na zjawisko masowego publikowania w Internecie cudzych danych osobowych mówi się np., że prywatność to w sumie nie jest nikomu aż tak bardzo potrzebna...

Nie przesadzałby aż tak...

Nie przesadzałby aż tak... Po prostu w obydwu przypadkach występuje ogromna różnica w sile oddziaływania na opinię publiczną potencjalnych pokrzywdzonych: ci, których prawo do prywatności jest potencjalnie naruszane, są zatomizowani i pozbawieni jednolitej reprezentacji, podczas gdy ci, których prawa autorskie są potencjalnie naruszane, na brak środków nie narzekają.
I z drugiej strony - potencjalni naruszyciele praw autorskich są dopiero na etapie organizowania się, podczas gdy duzi gracze czerpią korzyści finansowe z rozwoju społeczeństwa informacyjnego.

Natomiast w tym wszystkim nie zapominałbym o jednej rzeczy - to nie mityczni "oni" naruszają nasze prawo do prywatności, tylko my sami, publikując informacje o nas bez umiaru i zastanowienia. Naszej-Klasy nie stworzyli marsjanie, tylko użytkownicy, wypełniając serwis informacjami podawanymi dobrowolnie. Pamiętajmy o tym drobnym szczególe.

bynajmniej

ksiewi's picture

Rozumiem, że prawo po prostu bardziej chroni tych, którzy są silniejsi i mają więcej środków? Czyli to jest ta istotna różnica, a nie majątkowy/niemajątkowy charakter praw i inne takie teoretyczno-prawne niuanse?

Tylko jedno zastrzeżenie - istotna cześć naruszeń prawa do prywatności na portalach społecznościowych polega na tym, że to właśnie inne osoby publikują dane o nas.

Nie mówię o sytuacjach, w których ktoś ochoczo podaje dane o sobie samym, podobnie jak nie widzę większego problemu, gdy twórca dobrowolnie dzieli się swoją twórczością (choć tu znowu mamy paradoks - prawo nie zawiera zbyt wielu instytucji chroniących podmioty prywatności przed ich nieroztropnością, podczas gdy twórca jest chroniony przed samodzielnym dysponowaniem własną twórczością mechanizmami takimi jak tabele wynagrodzeń, wynagrodzenia niezbywalne...).

Nie, prawo nie chroni

Nie, prawo nie chroni bardziej tych, którzy są silniejsi i mają więcej środków. Ci, którzy są silniejsi i mają więcej środków głośniej mówią o swojej niedoli - w odpowiedzi na zjawisko masowego publikowania w Internecie cudzych utworów Internautów nazywają piratami, złodziejami i proponują rozwiązania ustawowe mające na celu ułatwienie dochodzenia takich naruszeń.

A jakiś pomysł na rozwiązanie problemu publikowania przez innych naszych danych osobowych bez naszej zgody? Karać publikujących? Zamykać portale? A może po prostu edukować, edukować i jeszcze raz edukować?

RSiUN

ksiewi's picture

Jakiś pomysł? Może by wprowadzić taki rejestr stron i usług internetowych, które zawierają treści mogące naruszyć prywatność a dostawcy internetu byliby zobowiązani do ich blokowania?

Albo może jak ktoś naruszy cudzą prywatność to wyślemy mu trzy ostrzeżenia, a później odłączymy od Internetu?

Dostrzegam potężne

Dostrzegam potężne pokłady ironii...
Tak mi się coś wydaje, że w ten sposób nie posuniemy się dalej w dyskusji. No chyba, że tu chodzi tylko o to, żeby gonić króliczka ;-)

ironia

ksiewi's picture

Zgodzimy się chyba, że pomysły takie jak powyżej, zmierzające do "wyłączania Internetu" nie są właściwe. Ale jeżeli nie są one właściwe dla ochrony prywatności, to tym bardziej nie powinny być uznane za właściwe dla ochrony twórczości.

Ja po prostu chciałem zwrócić uwagę na dziwną sytuację, w której nawołuje się do zaostrzenia prawa chroniącego wartość mniejszą (twórczość) a jednocześnie milczy się lub nawołuje do zliberalizowania prawa chroniącego wartość większą (prywatność). "Większą" w sensie zasługującą na większą ochronę, w porównaniu do ochrony przyznawanej wartości "mniejszej".

Konkretnych pozytywnych pomysłów na razie nie mam, jednak myślę, że w ostatecznym rozrachunku zarówno twórcy jak i podmioty prawa do prywatności będą musieli nauczyć się żyć w świecie, w którym przedmioty ich praw nie podlegają ich wyłącznej kontroli.

Ustawę stosuje się

Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych

Czyli jeśli ktoś prowadzi np. portal społecznościowy, ale czyni to społecznie (nie ma firmy, nie ma reklam) to bazki zgłaszać nie musi, a bywa, że takie portale są o wiele bardziej obfite w dane niż komercyjne :>

Warto zwrócić uwagę na

Warto zwrócić uwagę na podobne pytanie, które pada w II części filmu (6:35), gdzie GIODO jest pytany wprost o bazę składającą się z loginów i e-maili. Odpowiedź "Jeżeli w zbiorze przetwarzamy informacje, które są danymi osobowymi to oprócz konkretnych przypadków należy taką bazę zarejestrować." niewiele wyjaśnia.
Osobiście odnoszę wrażenie, że intencją pytającego było uzyskanie informacji czy tego typu (login oraz e-mail) informacje uważamy za dane osobowe podlegające rejestracji.

Szybka reakcja na aktualne

Szybka reakcja na aktualne sprawy, nie ma co panie Piotrze :)

Czyli małe podsumowanie - z tego co można było dowiedzieć się z filmu (wywiadu) z panem Serzyckim, to jeśli mamy bazę danych, przechowującą dane: login użytkownika, adres mailowy użytkownika, czyli dane uchodzące za dane osobowe, to taką bazę należy w GIODO zarejestrować? Nie uda się tego podciągnąć pod dane drugorzędne, "przetwarzane w zakresie drobnych bieżących spraw życia codziennego", tak?

Pozdrawiam

Login to Pan Pikuś, co z IP???

Maciej_Szmit's picture

Jeśli wg GIODO adres IP jest daną osobową to ja się pytam, czy wszelkie logi systemowe należy rejestrować w GIODO???

To nie pomysł GIODO, a UE:

Digital Mike's picture

To nie pomysł GIODO, a UE: "Internet access providers and managers of local area networks can, using reasonable means, identify Internet users to whom they have attributed IP addresses as they normally systematically “log” in a file the date, time, duration and dynamic IP address given to the Internet user. The same can be said about Internet Service Providers that keep a logbook on the HTTP server. In these cases there is no doubt about the fact that one can talk about personal data in the sense of Article 2 a) of the Directive …)” - za WP 37: Privacy on the Internet - An integrated EU Approach to On-line Data Protection- przyjęte 21.11.2000.

Natomiast co do pytania: logi to zbiory danych sporządzane, jak dla mnie, doraźnie, ze względów technicznych, więc jeżeli są po jakimś czasie usuwane, to nie powinno być problemu - taki doraźny zbiór danych nie podlega rejestracji (por. art. 2 ust. 3 Ustawy).

Co do głównego wątku: zawsze bezpieczniej zgłosić bazę - bo inspektorzy będą się zmieniać (np. p. Serzyckiemu w tym roku kończy się kadencja, jestem ciekaw co dalej) i każdy następny może na pewne kwestie patrzeć inaczej niż poprzednik, a zgłoszenie bazy sprawia, że nie musimy się zastanawiać czym są "drobne bieżace sprawy życia codziennego" i czy na pewno nasza działalność mieści się w zakresie tego pojęcia, dzięki czemu mamy jeden problem na głowie mniej. No i zawsze GIODO może nam odmówić rejestracji - a wtedy mamy w ręce urzędowy papier i jesteśmy "czyści".

pozdrowienia, Michał

Gdyby być w tym stanowisku

Gdyby być w tym stanowisku konsekwentnym - tak, należy rejestrować. Co nie znaczy, że tak uważam. I chyba GIODO tak też nie uważa, skoro niezgłoszenie zbioru danych do rejestracji stanowi przestępstwo, a ilość skazań z tego właśnie przepisu od 1998 r. nie przekroczyła 10...

Nie rejestrowałem strony - jeszcze :)

Piotrze, nie rejestrowałem strony. Moje serwisy, które prowadziłem/prowadzę są prywatne, a skoro "Ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych" to nie rejestrowałem. Uznałem, że skoro mam hobby prowadzić stronę o moich rowerowych wędrówkach po Irlandii, nie jest to związane z działalnością gospodarczą, to nie ma obowiązku rejestracji. To samo z prywatnym blogiem.

Konsternację w GIODO wzbudziła natomiast moja (skuteczna) próba rejestracji zbioru danych klientów prawnika, który nie jest adwokatem ani radcą prawnym.

Napisze coś więcej w weekend, bo teraz mocno zajęty jestem, ale chciałbym zwrócić uwagę na powszechną praktykę GIODO rejestracji zbiorów danych osób, zapisanych do newslettera. Taki zbiór zawiera jedynie adresy e-mail osób zapisanych, nic więcej, a zbiory są rejestrowane. Czyli zapisanie się do newslettera nie jest DBSŻC :)

Dlatego, idąc tym tropem, jeśli przedsiębiorca zakłada portal, na którym zbiera dane osobowe w postaci adresów e-mail, loginów, dat urodzenia itp (zakres najczęściej podawany przy rejestracji na forach internetowych) - to zbiory takie powinny być zarejestrowane. I są rejestrowane.

Tp jest właśnie ciekawe,

Tp jest właśnie ciekawe, że można mieć mocno "wypasione" bazy danych osobowych, ale nie trzeba ich rejestrować bo np. portal społecznościowy prowadzimy "społecznie".

To jest ok, bo dane tam podawane są przez ludzi bez przymusu, podają co chcą i łgają czesto gęsto o co nikt do nich nie ma pretensji :)

Jest jednak cała masa baz, których w myśl Ustawy nie trzeba rejestrować, a dane w nich to nasze dane osobowe, których raczej nie chcielibyśmy ujawniać.

Przykład?

Proszę bardzo. Lekarze rozliczający się z NFZ lista pacjetów w tym dane b. wrażliwe :) na prywatnych kompach, nie muszę mówić, że lekarz nie musi i często nie zna się na komputerach, przy dzisiejszych wirusach jestem pewny, że sporo z tych bazek jest w niepowołanych rękach.

Instytucja (też związana ze służbą zdrowia), przechowuje dane o stanie naszych umysłów (b. wrażliwe dane) na zwykłym kompie nazwanym serwerem wpiętym bezpośrednio do sieci via modem tepsy.

Przykładów jest sporo nikt chyba nad tym nie panuje....

rejestracja a inne obowiązki administratora danych

ksiewi's picture

To, że dany zbiór nie podlega rejestracji nie oznacza jeszcze, że jego administrator nie musi dopełnić obowiązku zabezpieczenia danych zgodnie z ustawą.

> To, że dany zbiór nie

> To, że dany zbiór nie podlega rejestracji
> nie oznacza jeszcze, że jego administrator
> nie musi dopełnić obowiązku zabezpieczenia
> danych zgodnie z ustawą.

Jasne, ale to tylko teoria (prawo) życie wygląda inaczej i zastanawiam się po co tworzyć prawo, do którego nikt (prawie) się nie stosuje. Sądzi Pan, że nagle tysiące lekarzy, lub osób je rozliczających zapisze się na kursy dokształcające z zakresu zabezpieczania systemów IT?

Logiczne jest, że tam gdzie nie sięga ręka GiODO tam w kwestii bezpieczeństwa danych niewiele się zrobi. Problem w tym, że właśnie tam umieszczane dane są "najwrażliwsze".

Ależ sięga. To, że nie ma

Ależ sięga. To, że nie ma obowiązku rejestracji nie oznacza braku jurysdykcji GIODO. Inspektor zachowuje pełne uprawnenia zarówno kontrolne, jak i prawno-administracyjne.

Orzeczenia NSA

Po podaniu jako warunek w polu "Szukane słowa" następujących dwóch fraz można znaleźć 5 orzeczeń

"Dz.U. 2002 nr 101 poz 926"~4 "art 43 ust 1 pkt 11"

Na stronie GIODO

Na stronie GIODO czytamy:

Zgodnie z art. 40 ustawy o ochronie danych osobowych administrator danych obowiązany jest zgłosić prowadzony przez siebie zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych z wyjątkiem przypadków wskazanych w art. 43 ust. 1 tej ustawy. W szczególności, stosownie do art. 43 ust. 1 pkt 9 ustawy, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych powszechnie dostępnych. Przesłanka ta jest spełniona, jeżeli z danymi zawartymi w zbiorze może się zapoznać – bez szczególnego nakładu sił i środków – nieograniczony krąg podmiotów. Zaznaczyć należy, że administrator danych jest zwolniony z obowiązku rejestracji jedynie wtedy, gdy powszechnie dostępne są wszystkie, a nie tylko niektóre dane zawarte w zbiorze danych.
Reasumując: w przypadku udostępniania wszystkich danych przetwarzanych w zbiorze nieograniczonemu kręgowi podmiotów, jakim są użytkownicy Internetu, administrator danych nie jest zobowiązany do zgłoszenia tego zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 43 ust. 1 pkt 9 ustawy).

Więc jeśli portal internetowy udostępnia wszystkie dane publicznie, to nie trzeba rejestrować???

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>