.
Mamy 12 435 opinii naszych Klientów
Zadaj pytanie » Zadaj pytanie »

Indywidualne Porady Prawne

Masz podobny problem?
Opisz nam go i zadaj pytania.

(zadanie pytania do niczego nie zobowiązuje)

Rejestracja bazy danych osobowych

Autor: Wioletta Dyl • Opublikowane: 31.07.2013

Chciałabym zadać kilka pytań dotyczących rejestracji bazy danych osobowych. Czy fakt, że host firmowej strony internetowej przechowuje m.in. adresy IP odwiedzających, obliguje właściciela strony do zgłoszenia wniosku do GIODO (nawet jeśli serwer stoi za granicą, np. w USA)? Czy udostępnienie czytelnikom bloga możliwości komentowania wpisów – co oczywiście czynią na własne życzenie – albo formularza kontaktowego czy newslettera także wymusza obowiązek rejestracji w GIODO? 


Masz podobny problem? Kliknij tutaj i zadaj pytanie.

Zasady bezpieczeństwa przetwarzania danych osobowych regulują zasadniczo następujące akty prawne:

 

  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (j.t.: Dz. U. 2002 r. Nr 101, poz. 926);
  • ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r. Nr 144, poz. 1204 ze zm.);
  • rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024);
  • rozporządzenie z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz. 1536).

 

Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych w art. 6 ust. 1-3 jedynie ogólnie określa, co należy uznawać za dane osobowe. Są to według niej wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Za osobę możliwą do zidentyfikowania uważana jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

 

Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

 

Jak wynika z przytoczonej definicji, ustawodawca nie określił dokładnie, które informacje mają status danych osobowych, lecz wskazał jedynie, czym należy się kierować w klasyfikowaniu informacji, które mogłyby być traktowane jako dane osobowe. Jest to szczególnie istotne w dobie intensywnego rozwoju nowych technologii, których użytkownicy pozostawiają coraz więcej tzw. cyfrowych śladów. Cyfrowym śladem jest np. adres IP, który identyfikuje stację komputerową w sieci. Może on być przypisany do konkretnej osoby fizycznej niezależnie od tego, w jaki sposób technicznie czynność ta jest wykonana.

 

Można wyróżnić dwa rodzaje danych:

 

  • Dane o abonentach dostawców Internetu (providerów internetowych) zawierające numer publiczny IP w powiązaniu z danymi osobowymi abonenta (osoby prywatnej) lub firmy.
  • Dane o ruchu telekomunikacyjnym, czyli dane na temat wykonywanych połączeń teleinformatycznych składających się m.in. z numerów IP, używanych protokołów oraz czasu trwania połączenia. Dane te nie zawierają wprost danych osobowych, a jedynie dane techniczne dotyczące wykonanych połączeń i rodzaju usług, z których abonent korzystał.

 

Pierwszy rodzaj danych w sposób oczywisty należy zakwalifikować jako dane osobowe, natomiast dane o ruchu telekomunikacyjnym (tzw. logi systemowe serwerów i innych urządzeń sieciowych, które pośredniczą w realizacji połączenia), zawierające dane techniczne dotyczące połączeń, w tym numery IP, będą stanowiły informacje, które umożliwiają identyfikację osób, których dotyczą, natomiast same ich nie identyfikują. Uznanie adresu IP za dane osobowe zależy zatem od charakteru, okoliczności i sposobu, w jaki te dane są przydzielane i przetwarzane.

 

Należy jednak wziąć także pod uwagę takie elementy, jak:

 

  • sposób powiązania tych danych z innymi danymi, które mogą wskazać na osobę, której dotyczą;
  • ryzyko, że informacje te mogą być porównane z innymi informacjami dostępnymi publicznie i ich zestawienie może doprowadzić do identyfikacji osoby, której dotyczą;
  • prawdopodobieństwo pozyskania w przyszłości dodatkowych informacji, które umożliwią zidentyfikowanie osoby, której dotyczą.

 

Zgodnie więc ze wskazaną powyżej definicją danych osobowych będą to dane osobowe, które umożliwiają identyfikację osób, których dotyczą, same ich nie identyfikując.

 

W mojej opinii administrator danych winien dokonać rejestracji bazy danych w GIODO.

 

Proszę pamiętać, że ustawa o ochronie danych osobowych nie ma zastosowania w zaledwie kilku przypadkach, np.:

 

  1. Kiedy przetwarzamy dane w celach osobistych i domowych – niezwiązanych z pracą zawodową czy zarobkową.
  2. Kiedy administratorem danych jest podmiot, który ma siedzibę poza Państwami EOG i jedynie przesyła dane przez terytorium Polski.
  3. Częściowo także wtedy, gdy dane są przetwarzane w związku z działalnością prasową, literacką i artystyczną.
  4. Kiedy dane nie są przetwarzane w systemie informatycznym i jednocześnie nie tworzą zbioru.

 

Jeżeli zatem nie spełnia Pani powyższych warunków, można z cała pewnością uznać, że jest Pani zobligowana do spełnienia warunków stawianych przez ustawę administratorom danych osobowych. Administrator danych osobowych jest osobą odpowiedzialną za legalność i bezpieczeństwo przetwarzania danych osobowych. Do jego obowiązków należy nie tylko zapewnienie technicznych warunków bezpieczeństwa procesu przetwarzania danych, w tym bezpieczeństwa baz, w których dane są utrwalane – zgodnie z zasadami wskazanymi w szczególności w rozporządzeniu w sprawie warunków przetwarzania danych – lecz także dopełnienie tzw. obowiązków informacyjnych i w przypadkach wskazanych w ustawie rejestracji zbioru przez GIODO.

 

Niestety fakt, że serwer znajduje się za granicą, nie zwalania z obowiązku rejestracji bazy w GIODO.

 

Zgodnie z art. 3 ust. 2 pkt 2 ustawy o ochronie danych osobowych, jej przepisy znajdują zastosowanie do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych – które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

 

Okolicznością przesądzającą o zastosowaniu przepisów polskiej ustawy o ochronie danych osobowych będzie więc lokalizacja siedziby firmy (na terytorium Polski), nie zaś lokalizacja wykorzystywanych przez nią serwerów. Kryterium lokalizacji środków technicznych wykorzystywanych do przetwarzania danych osobowych (w tym serwera) jest stosowane wyłącznie do podmiotów mających siedzibę w państwie trzecim (poza obszarem Europejskiego Obszaru Gospodarczego), natomiast gdy prowadzący sklep internetowy lub serwis jest podmiotem polskim (z siedzibą w Polsce), podlega przepisom polskiej ustawy o ochronie danych osobowych. Podmiot taki jest m. in. zobowiązany zgłosić do rejestracji zbiór danych swoich klientów/użytkowników Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 ustawy), z zastosowaniem zasad wynikających z przepisów rozdziału 6 ustawy.

 

W ślad za jednym z pism wyjaśniających GIODO można dodać, że pojęcie środków technicznych zarówno w kontekście analizy przepisów dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, a także ustawy o ochronie danych należy rozumieć szeroko (tzn. są to wszystkie środki tradycyjne i elektroniczne służące do przetwarzania danych). Polskie przepisy nie przesądzają ponadto, czy dla zastosowania polskiej ustawy o ochronie danych na terytorium Rzeczypospolitej Polskiej muszą znajdować się wszystkie, czy tylko niektóre wymienione powyżej środki (np. serwer, na którym przechowywane są dane osobowe w określonym zbiorze). Zważywszy na globalny charakter większości procesów przetwarzania danych wymóg lokalizacji wszystkich środków technicznych na terytorium danego państwa EOG prowadziłby do znacznego ograniczenia ochrony poprzez wyłącznie stosowania przepisów o ochronie danych obowiązujących w danym kraju EOG, które gwarantują odpowiedni poziom ochrony tych danych.

 

A zatem należy jednoznacznie stwierdzić, że jeżeli posiada Pani stały adres zameldowania w Polsce lub też Pani firma jest zarejestrowana w naszym kraju, występuje obowiązek zgłoszenia bazy do GIODO, gdyż zachodzą przesłanki z art. 40 ustawy o ochronie danych osobowych.

 

Ponadto dobrze byłoby pamięta pamiętać, że w myśl ustawy w takim przypadku należy zawrzeć umowę powierzenia przetwarzania danych osobowych. Niezawarcie umowy powierzenia jest doprowadzeniem do udostępnienia danych podmiotowi nieupoważnionemu sankcjonującym przestępstwo karne z art. 51 ustawy o ochronie danych osobowych: „Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.

 

Zgodnie z art. 52 tej ustawy „kto administrując danymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.

 

Innymi słowy, jeżeli korzystamy z usług firmy hostingowej, a hosting obejmuje jakąkolwiek czynność związaną z danymi osobowymi (wystarczy przechowywanie lub tworzenie backupów), to mamy obowiązek zawarcia pisemnej umowy powierzenia zgodnie z art 31 ustawy o ochronie danych osobowych.

 

Co do kwestii rejestrowania komentatorów wpisu umieszczanych na blogu, rzecz nie jest taka błaha, jak wydawałoby się na pierwszy rzut oka. Różne osoby komentując wpisy na blogu, podają nick, e-mail (GIODO uznaje e-mail za daną osobową), adres strony www. Robią to oczywiście dobrowolnie i przez nikogo niezmuszane. Z pewnością dane zamieszczane w treści wpisów nie są objęte zakresem przetwarzania wykonywanego przez administratora danych wyznaczonego przez właściciela lub administratora danej strony www, nie oznacza to jednak, że nie mogą być one wykorzystane przez osoby nieuprawnione. Niemniej jednak, pomijając treść wpisu, użytkownicy Internetu powierzają przetwarzanie swoich danych osobowych, ujawniając je w formularzach rejestracji, zakładając konto lub profil użytkownika, aktywując usługi internetowe, zawierając umowy o świadczenie usług internetowych. Niestety blog zna numery IP tych osób. Jest to więc z pewnością baza danych osobowych.

 

Jeżeli natomiast chodzi o formularze kontaktowe, proszę pamiętać, że korzystając z formularza, podaje się swoje dane kontaktowe, ewentualnie adres e-mail. Zatem nawet mając na stronie formularz kontaktowy czy też formularz zapisania na newsletter – już przetwarzamy dane, które zapisywane są w zbiorze przechowywanym na serwerze operatora naszego hostingu.

 

Dla Pani to niestety same niedobre wieści. Proszę mi jednak wierzyć, że dzięki rejestracji bazy danych osobowych w GIODO, która wymusza posiadanie stosownych dokumentów dotyczących polityki prywatności czy zasad bezpieczeństwa przetwarzania danych, jesteśmy bardziej wiarygodni dla użytkowników Internetu. Nie ma więc tego złego, co by na dobre nie wyszło…

 

Jeżeli chcesz wiedzieć więcej na ten temat – kliknij tutaj i zapytaj prawnika >>

 

Komentarze (1):

Uwaga!
Szanowni Państwo!
Nasi prawnicy nie odpowiadają na pytania zadawane w formie komentarza pod tekstem. Jeśli chcą Państwo powierzyć swój problem naszym prawnikom, prosimy kliknąć tutaj >>

  • III plus 9 =

05.08.2013

Adres IP identyfikuje najwyżej urządzenie (a i to nie zawsze), z którego nastąpiło połączenie z internetem. W wielu sytuacjach nie da się tego powiązać z konkretnym użytkownikiem, np. w sieci blokowej z jednym IP, sieciach bezprzewodowych, na komputerach w kafejce internetowej. Na jakiej podstawie numer IP miałby więc zostać uznany za daną osobową?
Podobna wątpliwość dotyczy adresu e-mail. Dlaczego daną osobową miałby być adres służbowy, np. biuro@, kontakt@, sekretariat@, itp., z którego może korzystać bardzo wiele osób? Lub adres ze zwierzęciem, rośliną, czy zupełnie przypadkowym ciągiem znaków, np. chomik72@, stokrotka1954@, qwerty@? Przecież nie można stwierdzić, kto tego adresu używa. Nie da się tego jednoznacznie ustalić nawet wtedy, gdy adres e-mail zawiera imię i nazwisko, np. jan.kowalski@, bo osób o takich danych są dziesiątki lub setki, a ponadto można założyć taki adres naprawdę nazywając się inaczej.
W związku z tym należy przyjąć, że adresy IP i e-mail, o ile nie występują wraz z innymi danymi, nie są danymi osobowymi, a zatem nie podlegają prawnej ochronie czy obowiązkowi rejestracji w GIODO.

krakus

.
Porad przez Internet udzielają
prawnicy z dużym doświadczeniem:
Prawnicy

Zapytaj prawnika

Zadanie pytania do niczego nie zobowiązuje!
Wycenę wyślemy do 1 godziny
Szukamy ambitnego prawnika »