21:03
13/1/2014

Po przerwie świątecznej wracamy do naszego cyklu pt. Poniedziałek z prawnikiem, w ramach którego, poruszamy tematy z pogranicza prawa i bezpieczeństwa IT. W tym tygodniu chcemy przyjrzeć się wyciekom danych oraz prawom, jakie przysługują internautom, którzy rejestrują się w serwisach internetowych, powierzajac ich administratorom swoje dane osobowe.

Na pytania odpowiada Jarosław Góra – prawnik, szef departamentu Nowych Technologii i IP w kancelarii Ślązak, Zapiór i Wspólnicy, autor ipbloga.

Niebezpiecznik: Z serwisów internetowych co i rusz wyciekają bazy danych, ktoś je wykrada i publikuje w internecie. Nie zawsze właściciele serwisu mówią prawdę, co do tego co rzeczywiście zostało wykradzione (czasem wręcz sugerują, że wyciek jest zmyślony). Ale skoro bazy są opublikowane w internecie i każdy może je pobrać oraz sprawdzić, czy znajduje się na liście “wykradzionych” rekordów, to czy takie pobranie wykradzionej z danego serwisu bazy jest dopuszczalne? Czy coś nam za to grozi?

Jarosław Góra: Jeśli chodzi o odpowiedzialność osoby, która najpierw w sposób bezprawny uzyskuje taką bazę danych, a następnie umieszcza ją na ogólnie dostępnej stronie –- nie ma wątpliwości, jest to działanie sprzeczne z prawem, które może rodzić zarówno odpowiedzialność karną, jak i cywilną.

Jeśli natomiast już jakieś informacje znajdą się w Internecie w miejscu ogólnie dostępnym, to trudno znaleźć mi przepis, który zabraniałby osobom trzecim zapoznania się z taką bazą.

W przypadku, gdyby informacje wchodzące w skład bazy danych, o której tu mówimy, stanowiły dane osobowe tworzące zbiór, a osoby trzecie nie tylko zapoznają się z nimi, ale podejmą również inne czynności (ściągną, przekażą dalej itp.), to w grę wchodzi ewentualna odpowiedzialność za nieuprawnione (niedozwolone) przetwarzanie danych osobowych.

Jeśli natomiast informacje te stanowiłyby tajemnicę przedsiębiorstwa, ich dalsze rozpowszechnianie (przekazywanie) lub wykorzystanie w ramach działalności gospodarczej, a być może nawet samo nabycie (rozumiane jako uzyskanie) mogłoby zostać uznane za czyn nieuczciwej konkurencji.

(Pytanie powiązane z tematem, od czytelnika Jacka) Interesuje mnie co dzieje się z danymi, które otrzymują ode mnie różne instytucje; Allegro, banki, prywatne firmy. Gdzie sprawdzać co firmy mogą, a czego nie mogą z tymi danymi zrobić? Czy każda firma musi mieć jakąś politykę?

Kiedy przekazujemy innym podmiotom swoje dane osobowe, podmioty te stają się administratorami tych danych i ciążą na nich obowiązki wynikające z ustawy o ochronie danych osobowych. Jednym z obowiązków jest tzw. obowiązek informacyjny. Spełnienie tego obowiązku polega właśnie na przekazaniu osobie, której dane dotyczą, informacji o tym kto, jak, gdzie i po co będzie przetwarzał jej dane osobowe oraz jakie prawa tej osobie przysługują (np. do poprawienia/zmiany danych, żądania usunięcia itp.).

Każdy podmiot przetwarzający dane osobowe jest zobowiązany do posiadania polityki bezpieczeństwa związanej z przetwarzaniem danych osobowych, a jeśli dane te przetwarza w ramach systemu informatycznego, co dziś wydaje się normą, powinien ponadto posiadać tzw. instrukcję zarządzania systemem informatycznym, w którym dane są przetwarzane.

(Czytelnik Jacek kontynuuje) Czasem dostaję pytanie o numer dowodu osobistego lub pesel (np. w Aero2) i zastanawiam się czy w takiej sytuacji jedynym wyborem jest przekazanie tej informacji czy też mogę mniej lub bardziej umyślnie się pomylić? Innymi słowy: czy jeżeli zamawiam kartę Aero2 czy mogę im podać fałszywy numer dowodu osobistego? Co mi wtedy grozi?

Jeśli podamy fałszywe dane podmiotom, które są uprawnione do żądania od nas takich danych (instytucje państwowe, policja itp.), to w grę wchodzi odpowiedzialność za wykroczenie zagrożone karą grzywny.

Jeśli natomiast dane przekazujemy podmiotom prywatnym, to zazwyczaj robimy to w związku z zawarciem jakiejś umowy, gdzie często obie strony oświadczają i zobowiązują się, że dane przez nich podawane są prawdziwe. Obowiązek ten często jest obwarowany jakiegoś rodzaju karą umowną.

W niektórych przypadkach należałoby się zastanowić również, czy poprzez podanie fałszywych danych moglibyśmy zrealizować przesłanki przestępstwa oszustwa. W mojej ocenie istnieje taka możliwość.

Na ile i w jaki sposób mogę więc bronić mojej anonimowości w świecie który na każdym kroku pyta mnie o imię i nazwisko?

Jak bronić anonimowości – w pełni nie da się, jeśli nie zdecydujemy się na pustelnicze życie z dala od cywilizacji. Warto jednak ograniczać ryzyka i nie podawać swoich danych wszędzie i wszystkim, a kiedy już się na to decydujemy. Warto wiedzieć kto i co będzie z naszymi danymi mógł robić. CZYTAĆ REGULAMINY (!!!) i wszystkie dokumenty, które podpisujemy, albo odhaczamy zapoznanie się z treścią. W razie wątpliwości co do rzetelności podmiotu, któremu mamy dane udostępnić, lepiej zrezygnować i nie podawać informacji o sobie.

Jarosław Góra

Jarosław Góra

Jarosław Góra, absolwent UJ, fascynat kwestii związanych z twórczością i nowymi technologiami. W pracy zawodowej rozwija specjalizację IP oraz zajmuje się prawem funkcjonującym w otaczającej nas cyberprzestrzeni i kwestiami związanymi z dowodami elektronicznymi i informatyką śledczą. Stara się burzyć utarty do przesady poważny i nudny obraz adwokata.

Przeczytaj także:

22 komentarzy

Dodaj komentarz
  1. Mam pytanie do prawnika, ale związane z piractwem komputerowym, czy rozpowszechnianie linków do portali, takich jak maxvideo gdzie znajdują się filmy pełnometrażowe jest nielegalne ?? I kolejna sprawa, czy jeśli jest to nielegalne, a my posiadamy te linki na forum czy na stronie, jak wygląda usuwanie tego po stronie prawnej, czy na początku wysyła się prośbę do właściciela serwisu o usunięcie linków czy od razu sąd + kary pieniężne. I już ostatnie pytanie, czy jeśli właścicielem strony jest Polak i serwery są w Polsce to czy tylko polski sąd może coś z tym zrobić ? a co jeśli serwery są na przykład na Cyprze ??

    Pozdrawiam

  2. Ja się zastanawiam, czy istnieje, a jeżeli tak, to w jakim zakresie, odpowiedzialność podmiotu przetwarzającego wobec osób, których dane wyciekły. Czy np. firma może domagać się odszkodowania za dane wykradzione z serwisu hostującego? Albo czy zwykli konsumenci mogą dochodzić jakiś roszczeń za nienależytą ochronę tych danych.

  3. Jeżeli na uczelni do 200 studentów przypadkiem rozesłali mailem prywatne dane sporej części pracowników uczelni, to czy takie dane właśnie stały się publiczne i mogę je komuś pokazać?

    • Wszystko zależy od charakteru danych, ale możesz się
      narażać na naruszenie dóbr osobistych.

  4. “W przypadku, gdyby informacje wchodzące w skład bazy danych, o której tu mówimy, stanowiły dane osobowe tworzące zbiór, a osoby trzecie nie tylko zapoznają się z nimi, ale podejmą również inne czynności (ściągną, przekażą dalej itp.), to w grę wchodzi ewentualna odpowiedzialność za nieuprawnione (niedozwolone) przetwarzanie danych osobowych.” – to zdanie nie odpowiada w ogóle na zadane pytanie, ponieważ w internecie, aby się z czymś zapoznać, to zawsze najpierw trzeba to “ściągnąć”, także nadal nie wiadomo, czy ściągniecie w celu zapoznania się jest zagrożone jakimiś sankcjami, czy nie. Poza tym nie zawsze z góry wiadomo, czy dana baza zawiera dane osobowe, czy nie, i dopiero po ściągnięciu i zapoznaniu się można się tego dowiedzieć.

    • Mam takie samo zdanie. Moze Pan prawnik jest fascynatem technologii, ale niestety, to za malo, zeby sie rzetelnie wypowiadac na ten temat.

  5. “Jeśli natomiast już jakieś informacje znajdą się w Internecie w miejscu ogólnie dostępnym, to trudno znaleźć mi przepis, który zabraniałby osobom trzecim zapoznania się z taką bazą.

    W przypadku, gdyby informacje wchodzące w skład bazy danych, o której tu mówimy, stanowiły dane osobowe tworzące zbiór, a osoby trzecie nie tylko zapoznają się z nimi, ale podejmą również inne czynności (ściągną, przekażą dalej itp.), to w grę wchodzi ewentualna odpowiedzialność za nieuprawnione (niedozwolone) przetwarzanie danych osobowych.”

    Czym różni się zapoznanie od ściągnięcia? Czy można się zapoznać z treścią strony internetowej bez ściągnięcia jej?

  6. Warto dodać, że obowiązek posiadania polityki prywatności dotyczy firm z siedzibą w Unii Europejskiej. Przedsiębiorstwa amerykańskie są de facto spod tego prawa wyjęte.

  7. Nawiązując do pytania o administracji danymi osobowymi i ich ochrony, na ile podmiot, który posiada moje dane osobowe, jest zobowiązany do przekazania mi na wniosek danych, które posiada? Przykładowo wnioskuję do banku o przekazanie mi kopii wszelkich danych osobowych, które mnie dotyczą, z domysłów będzie to historia transakcji, adresy ip, czasy logowania, historia adresu zamieszkania/zameldowania i pewnie wiele innych danych i metadanych.
    1. Czy taki podmiot (bank) jest zobligowany ustawowo do przekazania mi kopii takich informacji?
    2. Czy bank może się “droczyć” ze mną, że np. przekaże mi dane, ale tylko historie transakcji do 2 lat wstecz?
    3. Czy bank może się bronić ustawą o ochronie danych osobowych (sic!) twierdząc, że nie może mi tych danych przekazać ze względu na właśnie tę ustawę?
    4. Jeśli już uda mi się uzyskać te dane, czy mogę zażądać usunięcia wybranych/wszystkich wpisów? np. wszystkich metadanych z informacjami kiedy, z jakiego ip i z jakiego urządzenia/przeglądarki korzystałem, oraz całej historii transakcji kartą płatniczą w okresie od 01.01.2010 do 31.12.2012
    5. Czy na wniosek/żądanie usunięcia danych mogę spotkać się z odmową na podstawie tego, że dane takie wg innej ustawy muszą być przechowywane przez okres 5 lat i czy odmowa taka będzie zasadna (innymi słowy, czy ustawa o ochronie danych osobowych jest poniżej czy powyżej ustaw dotyczących retencji danych – np. ustawa telekomunikacyjna, która wymaga od operatora przechowywania danych o połączeniach przez 2 lata)
    6. Jeśli to zmienia postać rzeczy, dla odmiany zamiast do banku wnioskuje do operatora komórkowego o przekazanie mi wszelkich danych i metadanych, które posiadają (czyli informacje o lokalizacji, połączeniach, fakturach itp)?

    Natomiast, w nawiązaniu do zescrapowania profili LinkedIn i zgłoszenia tego do sądu.
    1. Jeśli regulamin nic nie wspomina o tego typu czynnościach lub regulamin korzystania z serwisu nie istnieje na stronie, czy mogę sobie bezkarnie pobrać całą zawartość strony? przykładem niech tutaj będzie Niebezpiecznik lub słownik ortograficzny PWN.
    2. Jak zabezpieczyć się przed scrapowaniem od strony prawnej i czy jest to możliwe jeśli serwis nie wymaga rejestracji i akceptacji warunków.
    3. Jak do tego ma się crawling i nieprzestrzeganie wpisów w robots.txt?

  8. Jak wygląda sprawa prywatności na ulicy – jeśli nagram i umieszczę w internecie filmik, na którym będzie widać numer rejestracyjny pojazdu, to coś mi grozi?
    I odwrotnie, jeśli ktoś nagra moje auto z widocznymi numerami, po czym wrzuci je do sieci, to mogę się domagać jego usunięcia?

    • Jest to miejsce ogólnodostępne. Sam numer rejestracyjny nie jest daną osobową. Dopóki nie napiszesz że właścicielem jest ‘ten i ten’ lub nie będzie widać kierowcy (aby nie doszło do nieuprawnionego upublicznienia wizerunku) – to jest OK. Można wrzucać.

      Natomiast dobry obyczaj (przejęty z dziennikarstwa) i praktyka, wskazują że lepiej zakryć tablice i mieć kompletnie święty spokój.

  9. “Warto wiedzieć kto i co będzie z naszymi danymi mógł robić. CZYTAĆ REGULAMINY (!!!) i wszystkie dokumenty, które podpisujemy, albo odhaczamy zapoznanie się z treścią.”

    Czy takie odhaczenie zapoznania się z treścią regulaminu lub zaakceptowanie go poprzez kliknięcie są w równym stopniu wiążące jak gdybyśmy złożyli pod nim własnoręczny podpis? Czy w takim regulaminie czy umowie (np. takiej podczas instalowania programu) mogą być zawarte jakieś zobowiązania, które muszę spełnić? Przykładowo skrajny przypadek: w regulaminie jest, że zobowiązuję się w ciągu tygodnia przelać 100zł na jakieś konto. Na ile wiążące są takie umowy i co grozi w przypadku ich nieprzestrzegania?

  10. Czy brak zgody serwisu na zmianę podanych informacji o mnie przy rejestracji (np. popularny portal zagraniczny Tagged, który umożliwia jednokrotną zmianę daty urodzenia) jest naruszeniem ustawy o ochronie danych osobowych, która daje przecież prawo do wglądu i edycji zgromadzonych danych osobowych?

    • Należałoby zapoznać się z lokalnymi przepisami
      obowiązującymi w kraju siedziby operatora takiego serwisu.

  11. Czy instytucja (np. bank) ma prawo żądania ode mnie podania danych, których formalnie nie przetwarza (nie zgłosiła ich w GIODO). Np. wymagając przesłania *pełnego* skanu dowodu osobistego, gdzie jest m.in. mój wzrost, kolor oczu (których to danych bank formalnie nie przetwarza) .

    • …i czy wysłanie w takim przypadku skanu dowodu, ale z
      zamazanymi informacjami np. o kolorze oczu i wzroście, będzie
      prawnie wporządku do zawarcia umowy?

  12. Sytuacja 1: Firma rozesłała mailing dla klientów
    umieszczając ich adresy w polu “DO:”, więc każdy odbiorca dostał
    adresy wszystkich klientów tej firmy. Sytuacja 2: Na komputerze w/w
    firmy znalazł się wirus, który rozesłał się w podobny sposób (czyli
    każdy dostał całą baze maili firmy) i teraz kilka pytań: 1. Co może
    grozić osobie, która wysłała takiego maila jak w sytuacji 1, co i
    komu grozi za dopuszczenie do sytuacji nr 2? 2. Czy jeśli jestem
    wśród adresatów takiego mailingu, mogę sobie bezkarnie nawiązywać
    kontakty z osobami z listy? 3. Co w przypadku gdy jako adresat,
    wrzucę całą listę maili na strone (np. na bloga, na którym opisuje
    sytuacje, która zaszła)

  13. Witam,
    ja mam pytanie na temat błędu XSS (z tymże nie taki który powiedzmy przez bbcode zapisany wyświetli nam scripta, ale taki który jest generowany powiedzmy: strona.php?wiadomosc=alert(1)) czy to także jest naruszenie (włamanie?), czy mogą być tego jakieś konsekwencje prawne?

  14. Beznadziejne te poniedziałki z prawnikiem. Z tego pana taki fascynat technologi, jak ze mnie wrozka. Wypowiedzi tego pana prawnika nawet nie smialbym porownywac z wypowiedziami Vagli, ktore sa rzeczowe i konkretne.

    • Beznadziejne te komentarze, zamiast wskazać “nierzeczowość” pisze Zenek ogólnikowo. Nawet nieśmiałbym porównywać wypowiedzi Zenka z innymi komentującymi na Niebezpiecnziku, którzy są rzeczowi i konkretni.

  15. Witam
    Internet Aero2 jest darmowy
    wpłacamy za kartę 20zł i za wysyłke 14zł razem 34zł
    Żeby wypełnić formularz online należy w nim podać numer pesel oraz numer dowodu osobistego
    Pytanie czy to jest bezpieczne ?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.