10:04
13/5/2014

W ramach cyklu Poniedziałek z Prawnikiem, na przemian, co tydzień prezentujemy raz — rozmowę z Jarosławem Górą na temat aspektów prawnych dotyczących bezpieczeństwa IT, a raz odpowiedzi Jarosława Góry na wasze pytania. W tym tygodniu wypadają odpowiedzi na wasze pytania dotyczące obowiązków i praw osób prowadzących serwisy internetowe i blogi.

Na pytania odpowiada Jarosław Góra – prawnik, szef departamentu Nowych Technologii i IP w kancelarii Ślązak, Zapiór i Wspólnicy, autor ipbloga.
IP BLOG logo + tekst

Maciej: Proszę o informację jak mam rozumieć artykuł 43 ust. 1 pkt 11 Ustawy o ochronie danych osobowych? Jaki jest zakres pojęcia ”drobnych bieżących spraw życia codziennego”?

Jarosław Góra: Pojęcie „drobne bieżące sprawy życia codziennego” nie zostało zdefiniowane na gruncie żadnej ustawy i rzeczywiście wiąże się z tym spory problem interpretacyjny. Co więcej, sam GIODO różnie się na ten temat wypowiadał. Taką niejednolitą praktykę należy skrytykować, bowiem z niedopełnieniem obowiązku zgłoszenia zbioru danych wiążą się nieprzyjemne konsekwencje natury karnoprawnej.

Za zbiory, w których przetwarzane są dane w zakresie drobnych bieżących spraw życia codziennego Generalny Inspektor Ochrony Danych Osobowych uznał np. zbiory będące rejestrami przepustek jednorazowych, zbiory danych przetwarzanych w celu identyfikacji osób mających dostęp do obiektów należących do administratora danych w celu ochrony przed dostępem do nich osób nieuprawnionych, czy też zbiory w postaci księgi interesantów.
Sprawie przyjrzał się kiedyś Piotr Waglowski, który rozłożył ten temat na części pierwsze, zatem zainteresowanych odsyłam: http://prawo.vagla.pl/node/8907

Maciej: Czy prowadząc serwis internetowy i od użytkowników wymagam podania adresu e-mail, aby przesłać im jedynie wiadomość z linkiem w celu potwierdzenia jakiegoś zgłoszenia gdzie następnie taki adres e-mail jest usuwany z mojej bazy danych (po takim kliknięciu lub po 24h jeśli ktoś nie kliknie) to czy mogę się powołać właśnie na ten punkt 11 i nie rejestrować zbioru danych osobowych?

Po pierwsze należy zweryfikować, czy przetwarza Pan te dane w zbiorze. Zbiór danych musi posiadać strukturę danych, dostępnych według określonych kryteriów, zatem nie każdy rozproszony zestaw danych będzie zbiorem, który podlega ewentualnemu zgłoszeniu. Po drugie adres mailowy może być dana osobową, ale nie musi. W pańskim przypadku najprawdopodobniej będzie, ponieważ będzie funkcjonował w zestawieniu z innymi danymi serwisu.

Jeśli natomiast chodzi o powołanie się na art. 43 ust. 1 pkt. 11 ustawy, celem uniknięcia rejestracji zbioru, to sugerowałbym ostrożność. Nie znam szczegółów związanych z prowadzoną przez Pana działalnością, nie wiem na czym polegają „zgłoszenia” następnie „potwierdzane, zatem ciężko ocenić mi, czy to drobna bieżąca sprawa. Mając na uwadze ponad to problemy interpretacyjne, o których pisałem wcześniej, warto przynajmniej spróbować zarejestrować zbiór (można tego dokonać drogą elektroniczną i nie jest to bardzo skomplikowane) i uzyskać stanowisko GIODO, który zarejestruje zbiór albo uzna, że ten nie wymaga rejestracji.

Xender: 1. Nie sądzę, żeby sam adres e-mail stanowił dane osobowe. Ale to tylko moje [nieprawnicze] zdanie.

W pewnych przypadkach adres e-miał może być daną osobową. Oczywiście jeśli bez większych problemów umożliwia on identyfikacje danej osoby fizycznej.
Dla przykładu: adres 2lk321jdsa@gmail.com raczej nie pozwala na identyfikacje konkretnej osoby fizycznej z mojego punktu widzenia (z punktu widzenia Googla jednak już nawet taki adres może być daną osobową, pozwalającą powiązać ją z konkretną osobą). Z drugiej strony adres jan.nowak@wp.pl, mimo, iż zawiera imię i nazwisko, nie specjalnie pozwala na identyfikację konkretnego Jana Nowaka. Natomiast adres jan.nowak@nazwafirmy.pl już może identyfikować konkretną osobę fizyczną, jeśli w tej firmie pracuje jeden Jan Nowak.
Mam nadzieję, że podane przykłady pokazują w czym rzecz.
Przyjmuje się, że adresy poczty elektronicznej spełniają kryteria uznania ich za dane osobowe wówczas, gdy bądź samoistnie (np. zawierające nazwisko i imię), bądź łącznie z innymi przetwarzanymi wraz z adresem informacjami (np. adresem pocztowym) pozwalają zidentyfikować osobę użytkownika.

Xender: 2. Myślę, że częstszym przypadkiem jest przechowywanie adresu e-mail w bazie danych obok takich danych, jak login i hasło (oczywiście jako posolony hash, bcrypt czy co tam teraz uchodzi za bezpieczne ;) ), celem umożliwienia przywrócenia zapomnianego hasła na ów e-mail. W tym wypadku – czy login, hasło i e-mail stanowią dane osobowe? AFAIK z definicji nie, bo nie umożliwiają jednoznacznej identyfikacji danej osoby [w “świecie rzeczywistym” (choć nie wiem, co jest nierzeczywistego w internecie :P)].

Znów, dane te mogą mieć charakter danych osobowych, ale nie muszą. Jeśli pozwalają na identyfikację i powiązanie ich z konkretną osobą, będą miały taki charakter. W sytuacji natomiast, gdy bez dodatkowych informacji na to nie pozwalają, będzie tak jak Pan pisze.

Xender: Czy dodanie do tego rekordu a) imienia i nazwiska uczyni zeń już zbiór danych osobowych? A b) numeru telefonu? c) Fizycznego adresu [domu]? d) Nr-u PESEL? Tu jest już dość oczywiste, że tak. Z chęcią dowiedziałbym się od pana Jarosława, gdzie leży ta granica, a gdzie możemy mówić o przypadkach niejednoznacznych (w końcu granica nie musi być ostra).

Tak jak wskazałem wyżej, nie da się jednoznacznie określić granicy i każdy przypadek wymaga indywidualnej analizy.

Filip: Ja z kolei chciałbym wiedzieć jak wygląda kwestia polityki cookies. Bo na chwilę obecną mam dość mieszane wiadomości, jedni mi mówią że jak korzystasz tylko z ciasteczka sesyjnego, to nie muszę informować. Drudzy z kolei piszą że jeżeli mam jakąś politykę prywatności na stronie zawartą w regulaminie strony i tam opisaną informacje na temat cookies to nie muszę na stronie dawać żadnego komunikatu.
To w końcu trzeba ten komunikat umieszczać na stronie? Niebezpiecznik niby takiego komunikatu nie posiada, Nie posiada też nigdzie żadnej polityki prywatności, więc o co tutaj chodzi z tą ustawą o plikach cookie ?

Szymon: Ja chciałbym się wreszcie dowiedzieć, czy informacja o cookies może być zawarta w stopce na dole strony (widoczna po przewinięciu) czy jednak muszę męczyć użytkownika okienkiem na samej górze od razu po wejściu?

O kontrowersjach związanych z ciasteczkami i aspektami prawnymi z nimi związanymi pisałem kiedyś na blogu (http://www.ipblog.pl/2013/04/ciasteczka-widze-ciasteczka-ciasteczka-widze/), także myślę, że mogę do tego odesłać.
Osobiście krytycznie oceniam te przepisy, które mają na celu ochronę prywatności, a moim zdaniem są martwe. Co więcej, uważam, że w praktyce nie da się sensownie spełnić wymogów ustawowych. Sprawdziłem to na wielu stronach internetowych, które korzystają z ciasteczek, a których administratorzy dostosowując się do zmiany przepisów zamieścili komunikaty o nich. Problem w tym, że w większości przypadków po kliknięciu braku zgody na politykę cookies, te na moim komputerze już się znalazły i przesłały jakieś informacje na stronę.
Jeśli chodzi natomiast o formę spełnienia obowiązku informacyjnego, czy ma to być ramka zasłaniająca cała stronę, czy informacja na górze/dole strony, czy ma być pełna, czy też ma odsyłać do jakiejś polityki – tutaj prawo milczy, a nie doczekaliśmy się jeszcze orzecznictwa. Praktyka jaka jest, wszyscy widzimy. Jak powinno być, nie wiadomo.

Xender: Przy okazji: jakiś czas temu był proof-of-concept “niezniszczalnego” “ciasteczka” – oznaczało ono klienta używając niezależnie kilku różnych technologii – zdaje się, iż były tam zwykłe cookies, flash cookies, local storage, {jakaś technologia, która w zamyśle ma służyć do oznaczenia przez serwer wersji danego zasobu (np. obrazka), żeby nie trzeba było go ściągać ponownie, dopóki się rzeczywiście nie zmieni na serwerze – nie pamiętam dokładnej nazwy} i parę innych.
Czy użycie podobnej metody redundantnego osadzenia identyfikatora, który używałby wszystkich mechanizmów poza [flashowymi] cookies pozwoliłoby na skuteczne obejście prawa wymagającego podanie informacji o cookies? ;->

Zielonego pojęcia nie mam ☺ Proszę o tłumaczenie na mniej informatyczny język :P

Xender: A tak w ogóle, to z tego co kojarzę, jest to prawo UE, a nie polskie. Czy to nie jedno z tych, które wymagają ratyfikacji w kraju, aby były wiążące? Jeśli tak, czy jest ono ratyfikowane przez RP?

Owszem, kojarzy Pan dobrze, że całe zamieszanie to wynik prawa unijnego (rozporządzenia i dwóch dyrektyw). Prawo polskie zostało do nich dostosowane – w omawianym tu zakresie znowelizowano art. 173 ustawy z dnia z dnia 16 lipca 2004 r. Prawo telekomunikacyjne.

lekto: Jak wygląda sprawa informowania o ciasteczkach jeśli strona jest postawiona na serwerze w USA a domena jest polska?

Polskie przepisy w tym zakresie obwiązują podmioty, które mają miejsce zamieszkania lub siedzibę na terytorium Polski. Mniej istotne z tego punktu widzenia jest to, gdzie znajduje się serwer.

KONIEC I CZĘŚCI ODPOWIEDZI NA WASZE PYTANIA — KOLEJNA ZA TYDZIEŃ

Jarosław Góra

Jarosław Góra

Jarosław Góra, absolwent UJ, fascynat kwestii związanych z twórczością i nowymi technologiami. W pracy zawodowej rozwija specjalizację IP oraz zajmuje się prawem funkcjonującym w otaczającej nas cyberprzestrzeni i kwestiami związanymi z dowodami elektronicznymi i informatyką śledczą. Stara się burzyć utarty do przesady poważny i nudny obraz adwokata.

Przeczytaj także:

26 komentarzy

Dodaj komentarz
  1. Xander pisze zapewne o Evercookie (por. https://niebezpiecznik.pl/post/niezniszczalne-ciasteczka-evercookie/). O samych Flash cookies pisaliśmy tu: https://niebezpiecznik.pl/post/grozne-ciasteczka-flashowe/

    Zarówno evercookie jak i flashcookie wiążą się z przechowywaniem informacji po stronie użytkownika.

    …ale browser fingerprinting już nie (a z punktu widzenia marketingu, idea i zastosowanie jest takie samo jak cookies, z tym że to NIE PODPADA POD USTAWĘ ;) O browser fingerprintingu pisaliśmy tu: https://niebezpiecznik.pl/post/internet-cie-sledzi-i-namierza-bron-sie/

    • Dziękuję panu Jarosławowi za odpowiedź. ;)

      Tak, chodziło mi o evercookie, a dokładniej również o to, czy ustawa uwzględnia localStorage i podobne technologie podobne do Cookies, które jednak nic z “cookies” w nazwie nie mają.

      Finferprinting też jest ciekawy.

      A, i popełniłeś typo w moim nicku, ale nie szkodzi w sumie.

    • Sama ustawa nie mówi o cookies: „Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego[…]” więc również localStorage wpada pod ten opis.

  2. Ależ ta ustawa jest absurdalna. Kto ją wymyślił powinien za każdy wyświetlony komunikat dostać po jednym uderzeniu pejczem :f
    Z resztą w momencie WEJŚCIA NA STRONĘ tojuż jest DLA TEJŻE STRONY opt-in moim zdaniem.
    Ustawienia przeglądarki są tworzone wcześniej, także jeśli już, to w samej przeglądarce przy pierwszym uruchomieniu powinen się wyświetlać komunikat o istnieniu takiej technologii, że domyślnie jest włączona, i mozna ją wyłączyć (w przeglądarce opt-out, prawda)

    • Właśnie. Nie jestem pewny, ale ustawa chyba mówi o przechowywaniu informacji po stronie usera a nie konkretnie o cookies (a jakoś cały polski internet w krócej niż tydzień skupił się na cookies). Przecież jest masa innych rzeczy ściąganych przez przeglądarkę i to są również informacje składowane na komputerze. Przeglądarka powinna informować, że próbuje się korzystać z internetu w którym to i tu specyfikacja http.

      Poza tym jest druga opcja. Polacy mają coraz szybszy internet – żeby przesłać komunikat na każdej stronie to zawsze trochę łącza zabierze :) Masoński spisek.

  3. Czy w kontekście zbierania danych osobowych przez Kościół Katolicki (lub inny związek wyznaniowy) jest wymagane rejestrowanie zbioru danych do GIODO?

    Czy wystarczy wtedy jednak tylko informacja na stronie “Zgodnie z art. 23 ust. 1, art. 27 ust. 2 pkt 4, art. 43 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. nr 101 poz. 926 ze zm.) oraz instrukcją dotyczącą ochrony danych osobowych w działalności Kościoła Katolickiego w Polsce opracowaną przez Generalnego Inspektora Ochrony Danych Osobowych oraz Sekretariat Konferencji Episkopatu Polski nie jest wymagane udzielenie zgody na zbieranie i przetwarzanie danych osobowych, niezbędnych do wykonania celów statutowych Kościoła Katolickiego.”?

  4. Witam,
    Jak wygląda sytuacja rejestracji bazy w przypadku tego typu strony – zagubilem.pl
    Tutaj wytłumaczony sens serwisu http://polakpotrafi.pl/projekt/naklejka

    • Ciekawy projekt, ale widzę, że nie pykło.
      Ja też obecnie startuję tam z appką jedną: https://polakpotrafi.pl/projekt/polski-webowy-system-operacyjny

    • @szczyglis – ciekawy projekt, ale widzę, że nie pyknie…
      (naprawdę? – “Interfejs bazowany na WIndows 7” – przecież to aż odpycha ewentualnych zainteresowanych…)

    • @szczyglis: Osobiście wsparłbym PyOS(interpreter tworzy pliki cache przyśpieszające działanie, sporo bibliotek można samenu dorobić w C), a na PHPOS nie jestem chętny…

  5. Rejestracja bazy danych… Wystarczy baza zawierające e-mail… Podumowując: jeśli jestem sobie szaraczkiem, który na jakimś hostingu zainstaluje sobie dowolne forum dyskusyjne (MyBB, phpBB, itd), na którym zaczną się rejestrować ludzie, to powinien zgłosić bazę danych do GIODO?

    Uprzedzając ewentualne pytania. Rozważmy trzy przypadki:
    1. Forum założone przez 14 latka zrzeszające graczy (gildii / zespołu / klanu) w jakiejś grze
    2. Forum firmowe umożliwiające dyskusje na temat usług danej firmy
    3. Firma sprzedająca hosting gier – adres wymagany, by po odnotowaniu płatności (przez zewnętrzną firmę, np: Paypal lub transferuj.pl) wysyła dane dostępowe

    • Imho nie musi, bo nie da się ludzi jednoznacznie zidentyfikować. Maile firmowe (jak sugerował prawnik) też nie podlegają ochronie – przynajmniej mnie tak uczono. Zresztą, gdyby mail zawierał nawet adres zamieszkania, imię i nazwisko to w mojej opinii też nie podlega ochronie danych, bo nawet ja mogę założyć sobie, np. Taki: Piotr.Konieczny_ul.Niebezpieczna666.vp.pl i co? Kto jest kim?

    • Hm… też zaczynam się zastanawiać.
      Ciężko przewidzieć jakie maile ludzie zastosują…
      Kiedyś bawiłam się w szukanie informacji o niektórych userach po szczątkowych ogólnie dostępnych danych z profili. I się dało to zrobić, choć niby zestaw nick+numer gg/nazwa skype (najłatwiej szukać po tym) nie nazwałabym danymi osobowymi, ale umożliwiają często jednoznaczne zidentyfikowanie osoby…

  6. Czy zatem adres e-mail będący dowolnym adresem typu biuro@domena.pl, gdzie domena.pl należy do osoby prywatnej i zawiera jej portfolio, etc (czyli wejście na stronę jednoznacznie identyfikuje osobę) należy traktować jako dane osobowe?

  7. Witam,
    Chciałem się odnieść do powyższego stwierdzenia: “Tak jak wskazałem wyżej, nie da się jednoznacznie określić granicy i każdy przypadek wymaga indywidualnej analizy.”

    Nie jestem prawnikiem, ale miałem jakiś semestr ochrony danych osobowych na studiach i pojawiło się tam stwierdzenie, że daną osobową jest informacja, która pozwala zidentyfikować osobę bez znaczącego nakładu środków (piszę z pamięci). W takim przypadku jeśli ktoś korzysta na danej stronie z przykładowo podanego przez pana adresu: 2lk321jdsa@gmail.com, a Google zwróci mi po wpisaniu np. link do jego “prawdziwego” profilu na Facebooku możemy przyjąć, że jest to dana osobowa?
    Idąc dalej tym tokiem rozumowania – nikt nie będzie sprawdzał czy dany email jest unikatowy dla mojego serwisu (może ktoś tak robi?) więc bezpieczniej jest przyjąć każdy email za potencjalną daną osobową?

  8. art. 173 ustawy z dnia z dnia 16 lipca 2004 r. Prawo telekomunikacyjne.

    Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przecho-
    wywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkow-
    nika końcowego jest dozwolone, pod warunkiem że:

    1) Czyli jak użytkownik przesyła nam plik (informacja już przechowywana w urządzeniu) to podpada pod ten punkt. Trzeba go informować i musi się zgodzić na to co robi.

    2) Czyli jak ktoś wchodzi na stronę i przesyła nam user-agent (informacja zapisana na urządzeniu – możę przesłać też informacje odnośnie akceptowanych formatów odnośnie akceptowanych języków, wszystko informacja) to już jest za późno? Co to jest informacja? Jeśli user-agent to informacja to fingerprinting też pod to podpada.

    Może inaczej – Jaka jest kara za niedostosowanie się do tego przepisu?

  9. Myślę, ze nikt nie ma na to czasu/pieniędzy, by analizować kazdy zarejestrowany email w serwisie pod kątem “jest to dana osobowa: tak/nie”. Więc jak ktoś ma taką bazę danych to lepiej zarejestrować zbiór i mieć święty spokój…

  10. “Znów, dane te mogą mieć charakter danych osobowych, ale nie muszą. Jeśli pozwalają na identyfikację i powiązanie ich z konkretną osobą, będą miały taki charakter”
    OK, czyli jeśli mam w bazie danych pole “napisz coś o sobie”, i jakiś grzybek wpisze “jak kowalski z domu nowak, firma abc-company, lat 27”, to można już mnie pozwać, bo przechowuje dane osobowe bez zgłoszenia

  11. Czy niebezpiecznik.pl został zarejestrowany jako zbiór takich danych osobowych? Gdyby nie ręczna moderacja komentarzy, przecież ktoś mógłby w pole komentarza wpisać jakieś swoje dane osobowe, i w moim mniemaniu już to podchodzi pod “paragraf” – mamy dane osobowe w niezarejestrowanej bazie. Tak można dowolny niezarejestrowany portal rozwalić. Piszę prześmiewczo, ale sprostujcie mnie jeśli się mylę

  12. art. 173 ustawy z dnia z dnia 16 lipca 2004 r. Prawo telekomunikacyjne.

    b) możliwości określenia przez niego warunków przechowywania lub uzy-
    skiwania dostępu do tej informacji za pomocą ustawień oprogramowa-
    nia zainstalowanego w wykorzystywanym przez niego telekomunika-
    cyjnym urządzeniu końcowym lub konfiguracji usługi;

    Jeszcze inaczej: Ten punkt może realizować przecież ‘oprogramowanie zainstalowane w wykorzystywanym(…)’. Przeglądarka mówi: Strony używają cookies by (…). Jeśli tego nie akceptujesz wyłącz to tu i tu.

    I tyle – nie musi przecież tego robić każda strona. Nic z tego artykułu nie wskazuje na to, że powinna. Punkt drugi artykułu dodatkowo to podkreśla. Punkt trzeci szeroko interpretowany (strona == komunikat) w ogóle pozwala na zignorowanie tego artykułu.

  13. Na szczescie windows update dalej jakos dziala – “Narzędzie Windows do usuwania złośliwego oprogramowania — maj 2014 (KB890830)”

  14. Ktoś zhakował polskiego tora: http://www.tor.com.pl/ :D

  15. Wkurwienienarodowe.wordpress.com

    moj blog narusza przepisy prawa jak sadzicie?

    • Sądzę, że Na Rucha…

  16. Mam pytanie co do zapisywania danych osobowych w zmienionej formie. Czy jesli przechowuje e-mail i dane osobowe zaszyfrowane symetrycznie badz w lekko zmienionej formie np kazdemu kto ma na imie Jan, dodaje na drugie Zenon, a kazdemu kto ma na na imie Marcin dodaje na drugie Waldemar itp i nie zapisuje tych zmian w osobnym polu bazy danych tylko mam to bezposrednio w kodzie – to jest to dalej zbior danych pozwalajacy na identyfikacje i podlegajacy pod Giodo czy juz nie?

  17. Czy jeśli wykupię jakąś usługę w internecie(np jakiś serwer) to będę mógł na nim sprawdzić zabezpieczenia bez żadnych konsekwencji?
    Czy jeśli komuś pokaże/zademonstruje/naprowadzę kogoś , jak włamać się na jakąś stronę to w tedy odpowiadam prawnie? Co jeśli postawią taką samą stronę i zrobię poradnik , jak się na nią włamać.
    Jeśli włamałem się jakąś stronę z , to sprawa ta zostaje przedawniona , po jakimś czasie?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.