8:59
21/1/2014

Jak zwykle w poniedziałek (a dziś, na skutek małego błędu w WordPressie, wyjątkowo we wtorek), zapraszamy do lektury kolejnego odcinka cyklu Poniedziałek z prawnikiem. W tym tygodniu Jarosław Góra odpowiada na Wasze pytania z komentarzy pod zeszłotygodniowym postem opisującym prawne aspekty wycieków danych z serwisów internetowych.

Na pytania odpowiada Jarosław Góra – prawnik, szef departamentu Nowych Technologii i IP w kancelarii Ślązak, Zapiór i Wspólnicy, autor ipbloga.

Artur: Ja się zastanawiam, czy istnieje, a jeżeli tak, to w jakim zakresie, odpowiedzialność podmiotu przetwarzającego wobec osób, których dane wyciekły. Czy np. firma może domagać się odszkodowania za dane wykradzione z serwisu hostującego? Albo czy zwykli konsumenci mogą dochodzić jakiś roszczeń za nienależytą ochronę tych danych.

Jarosław Góra: W przypadku wycieku danych firma, będąca ich administratorem, prawdopodobnie mogłaby domagać się odszkodowania do firmy hostującej z tytułu nienależytego wykonania umowy (zazwyczaj znajdują się w takich umowach zobowiązania hosta związane z bezpieczeństwem, które w tym przypadku zostałyby naruszone).
Osoby, których dane wyciekły mogłyby domagać się zadośćuczynienia lub odszkodowania (jeśli na skutek takiego wycieku doznałaby szkody) za naruszenie przysługujących im dóbr osobistych, poprzez bezprawne ujawnienie, czy też dopuszczenie do wycieku danych osobowych ich dotyczących.

Mateusz: Jeżeli na uczelni do 200 studentów przypadkiem rozesłali mailem prywatne dane sporej części pracowników uczelni, to czy takie dane właśnie stały się publiczne i mogę je komuś pokazać?

Jarosław Góra: Nie. Taki zbiór danych, przesłany do określonej liczby adresatów nie będzie powszechnie dostępny, czy też publiczny, jak Pan napisał.

TomAsh: […] w internecie, aby się z czymś zapoznać, to zawsze najpierw trzeba to “ściągnąć”, także nadal nie wiadomo, czy ściągniecie w celu zapoznania się jest zagrożone jakimiś sankcjami, czy nie. Poza tym nie zawsze z góry wiadomo, czy dana baza zawiera dane osobowe, czy nie, i dopiero po ściągnięciu i zapoznaniu się można się tego dowiedzieć.

Jarosław Góra: Tak jak pisałem wcześniej, samo zapoznanie się ze zbiorem danych osobowych znajdującym się w sieci nie będzie ich przetwarzaniem i nie wiąże się z sankcjami.
Oczywiście prawdą jest, że ze względu na specyfikę funkcjonowania Internetu, aby coś mogło wyświetlić się na naszym ekranie, nasz sprzęt musi pobrać dane, jednak takie incydentalne, doraźne „ściągnięcie” danych, związane jedynie z technicznymi względami, generalnie nie będzie podpadać pod ustawę o ochronie danych osobowych, zgodnie z art. 2 ust 3 tej ustawy.
W rozumieniu ustawy z przetwarzaniem danych osobowych w omawianym przypadku będziemy mieli do czynienia dopiero, gdy zbiór zostanie z premedytacją pobrany i zapisany na dysku, a nie w pamięci RAM, w pamięci przeglądarki i innych przypadkach jedynie technicznego „ściągnięcia” danych.
Co więcej jednak, jeśli nawet uznalibyśmy, że już takie „ściągnięcie” podczas przeglądania, o którym pisze TomAsh, byłoby przetwarzaniem danych osobowych, to w przypadku osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych ustawa nie znajduje zastosowania – art. 3a ust. 1 pkt 1.

Kuko: 1. Czy taki podmiot (bank) jest zobligowany ustawowo do przekazania mi kopii takich informacji

Jarosław Góra: Zgodnie z art. 32 ustawy o ochronie danych osobowych każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych. Realizacja tego prawa może polegać między innymi na żądaniu –- oczywiście tylko w zakresie przetwarzania przez taki podmiot jej danych osobowych — następujących informacji:
czy zbiór istnieje,
kto jest jego administratorem,
od kiedy dane są przetwarzane,
jakie jest źródło pozyskania danych,
w jaki sposób dane są udostępniane,
jakie przesłanki przesądziły o podjęciu rozstrzygnięcia wyłącznie w wyniku operacji na danych osobowych prowadzonych w systemie informatycznym (ale tylko w przypadku, gdy zostało ono podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą, w innej bowiem sytuacji podjęcie takiego rozstrzygnięcia nie jest dopuszczalne),
podania w powszechnie zrozumiałej formie treści przetwarzanych danych.

Z takim żądaniem można wystąpić raz na 6 miesięcy. Podmiot przetwarzający dane nie jest zatem zobligowany do przekazania ich kopii osobie, której dane dotyczą, ale musi udzielić informacji dotyczących przetwarzania tych danych.

Kuko 2. Czy bank może się “droczyć” ze mną, że np. przekaże mi dane, ale tylko historie transakcji do 2 lat wstecz?

Jarosław Góra: Nie jestem przekonany, czy sama historia transakcji będzie daną osobową. Jednak inne informacje podawane razem z taką historią już oczywiście mogą być danymi osobowymi.
Pytanie dotyczy bardziej prawa bankowego i obowiązków banku w tym zakresie. W różnych bankach kwestia udostępniania historii rachunku, transakcji i innych danych archiwalnych wygląda odmiennie.

Kuko 3. Czy bank może się bronić ustawą o ochronie danych osobowych (sic!) twierdząc, że nie może mi tych danych przekazać ze względu na właśnie tę ustawę?

Jarosław Góra: W mojej ocenie nie. W szczególności, że nawet gdy w grę wchodzą dane osobowe, to będą to dane tej osoby, która domaga się od banku udzielenia informacji.

Kuko 4. Jeśli już uda mi się uzyskać te dane, czy mogę zażądać usunięcia wybranych/wszystkich wpisów? np. wszystkich metadanych z informacjami kiedy, z jakiego ip i z jakiego urządzenia/przeglądarki korzystałem, oraz całej historii transakcji kartą płatniczą w okresie od 01.01.2010 do 31.12.2012

Jarosław Góra: Po pierwsze część z tych informacji to nie będą dane osobowe. Po drugie przetwarzanie części z nich jest niezbędne do wykonywania umowy prowadzenia rachunku bankowego (lub innej) przez bank na Pana rzecz, więc domaganie się ich usunięcia równałoby się z chęcią rozwiązania umowy. Po trzecie natomiast, banki są zobowiązane do przetrzymywania tego rodzaju informacji na podstawie przepisów prawa.

Kuko 5. Czy na wniosek/żądanie usunięcia danych mogę spotkać się z odmową na podstawie tego, że dane takie wg innej ustawy muszą być przechowywane przez okres 5 lat i czy odmowa taka będzie zasadna (innymi słowy, czy ustawa o ochronie danych osobowych jest poniżej czy powyżej ustaw dotyczących retencji danych – np. ustawa telekomunikacyjna, która wymaga od operatora przechowywania danych o połączeniach przez 2 lata)

Jarosław Góra: W mojej ocenie przewagę mają w takim zestawieniu przepisy o retencji danych, a nie prawo osoby do żądania usunięcia dotyczących jej danych.

Kuko 6. Jeśli to zmienia postać rzeczy, dla odmiany zamiast do banku wnioskuje do operatora komórkowego o przekazanie mi wszelkich danych i metadanych, które posiadają (czyli informacje o lokalizacji, połączeniach, fakturach itp)?

Jarosław Góra: Co do zasady nie zmienia, ponieważ operatorzy telekomunikacyjni również są zobowiązani do przetrzymywania różnego rodzaju informacji o abonentach na podstawie odpowiednich przepisów prawa.

rav: Jak wygląda sprawa prywatności na ulicy – jeśli nagram i umieszczę w internecie filmik, na którym będzie widać numer rejestracyjny pojazdu, to coś mi grozi? I odwrotnie, jeśli ktoś nagra moje auto z widocznymi numerami, po czym wrzuci je do sieci, to mogę się domagać jego usunięcia?

Jarosław Góra: Co do zasady numer rejestracyjny pojazdu nie będzie stanowił danych osobowych, bowiem nie pozwala na identyfikacje konkretnej osoby fizycznej bez nadmiernego kosztu, czasu i działań. Tak sprawa wygląda w przypadku „zwykłego Kowalskiego”. Bowiem dla niektórych podmiotów mających dostęp do informacji zgromadzonych w odpowiednich rejestrach (np. policja) numer rejestracyjny pojazdu będzie daną osobową, ponieważ pozwoli bez trudu zidentyfikować konkretną osobę fizyczną.

Adam: Czy takie odhaczenie zapoznania się z treścią regulaminu lub zaakceptowanie go poprzez kliknięcie są w równym stopniu wiążące jak gdybyśmy złożyli pod nim własnoręczny podpis? Czy w takim regulaminie czy umowie (np. takiej podczas instalowania programu) mogą być zawarte jakieś zobowiązania, które muszę spełnić? Przykładowo skrajny przypadek: w regulaminie jest, że zobowiązuję się w ciągu tygodnia przelać 100zł na jakieś konto. Na ile wiążące są takie umowy i co grozi w przypadku ich nieprzestrzegania?

Pytanie dotyka bardzo wielu kwestii związanych raczej ze świadczeniem usług drogą elektroniczną, a nie przetwarzaniem danych osobowych, bezpieczeństwem tych danych i odpowiedzialności za ich wyciek, zatem pozwolę sobie powrócić do tematu w jednym z następnych „Poniedziałków z Prawnikiem” ☺

Michał: Czy brak zgody serwisu na zmianę podanych informacji o mnie przy rejestracji (np. popularny portal zagraniczny Tagged, który umożliwia jednokrotną zmianę daty urodzenia) jest naruszeniem ustawy o ochronie danych osobowych, która daje przecież prawo do wglądu i edycji zgromadzonych danych osobowych?

Jarosław Góra: Nie wiem na podstawie jakiego prawa świadczy usługi akurat portal, o którym Pan pisze, ale przenosząc sprawę na grunt polskich przepisów byłby Pan uprawniony do żądania zmiany przetwarzanych przez portal danych. Na podstawie art. 32 ust. 6 ustawy o ochronie danych osobowych, każda osoba może zażądać uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy, albo są już zbędne do realizacji celu, dla którego zostały zebrane.
Co prawda rzadko zdarza się, żeby komuś zmieniła się data urodzin ☺, ale np. w przypadku podania błędnej daty przy rejestracji na pewno mógłby Pan dokonać później odpowiedniej zmiany.

Matja: Czy instytucja (np. bank) ma prawo żądania ode mnie podania danych, których formalnie nie przetwarza (nie zgłosiła ich w GIODO). Np. wymagając przesłania *pełnego* skanu dowodu osobistego, gdzie jest m.in. mój wzrost, kolor oczu (których to danych bank formalnie nie przetwarza).

Żadna instytucja nie powinna wymagać danych, których podanie i przetwarzanie nie są niezbędne w danych okolicznościach (dane adekwatne). Oczywiście często alternatywą będzie nieskorzystanie z usług, nie zawarcie umowy itp. Prywatny podmiot może domagać się jakichkolwiek danych i jeśli osoba podająca takie dane udzieli zgody, to przetwarzanie będzie zgodne z przepisami.
Z bankiem sprawa przedstawia się troszkę inaczej, ponieważ ze względu na przepisy dotyczące zwalczania procederu prania brudnych pieniędzy w pewnych przypadkach bank jest upoważniony do domagania się od klienta nawet danych szczególnie chronionych, nie do końca niezbędnych do świadczenia usług, jednak jedynie w celach weryfikacji danej osoby.

Kuko: Sytuacja 1: Firma rozesłała mailing dla klientów umieszczając ich adresy w polu “DO:”, więc każdy odbiorca dostał adresy wszystkich klientów tej firmy. Sytuacja 2: Na komputerze w/w firmy znalazł się wirus, który rozesłał się w podobny sposób (czyli każdy dostał całą baze maili firmy) i teraz kilka pytań: 1. Co może grozić osobie, która wysłała takiego maila jak w sytuacji 1, co i komu grozi za dopuszczenie do sytuacji nr 2? 2. Czy jeśli jestem wśród adresatów takiego mailingu, mogę sobie bezkarnie nawiązywać kontakty z osobami z listy? 3. Co w przypadku gdy jako adresat, wrzucę całą listę maili na strone (np. na bloga, na którym opisuje sytuacje, która zaszła).

Jarosław Góra: 1. Zakładając, że adresy mailowe stanowią dane osobowe podlegające ochronie można przyjąć, że doszło do bezprawnego ujawnienia danych osobowych. Jeśli feralną wiadomość wysłał pracownik firmy, to będzie odpowiedzialny wobec swojego pracodawcy, jednak za naruszenie zasad związanych z ochroną danych osobowych odpowiedzialność mógłby ponieść ich administrator, a więc pracodawca. Za naruszenie tych zasad grozi przede wszystkim odpowiedzialność karna.
Jeśli to wirus „namieszał” odpowiedzialność będzie można spróbować przypisać administratorowi danych, jeśli poprzez niedopełnienie obowiązków i naruszenie zasad związanych z bezpieczeństwem danych osobowych dopuścił do zainfekowania swojego systemu.

2. Może sobie Pan nawiązywać kontakty z kim Pan chce ☺. Za nawiązanie kontaktu nic Panu nie grozi, jeśli nie prześle Pan spamu, albo innych treści „niepożądanych”.

3. Zamieszczenie takiej listy na swojej stronie może zostać potraktowane jako bezprawne udostępnianie danych osobowych. Nie przez przypadek osoby/portale, które podają informacje o wyciekach, zamazują część danych uniemożliwiając identyfikację osób, których dane dotyczą. Brak możliwości identyfikacji konkretnej osoby = brak danych osobowych.

Jarosław Góra

Jarosław Góra

Jarosław Góra, absolwent UJ, fascynat kwestii związanych z twórczością i nowymi technologiami. W pracy zawodowej rozwija specjalizację IP oraz zajmuje się prawem funkcjonującym w otaczającej nas cyberprzestrzeni i kwestiami związanymi z dowodami elektronicznymi i informatyką śledczą. Stara się burzyć utarty do przesady poważny i nudny obraz adwokata.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

32 komentarzy

Dodaj komentarz
  1. Każda informacja uzupełniająca zestaw danych osobowych, staje się również daną osobową w takim kontekście, ponieważ charakteryzuje osobę, uściśla preferencje i pokazuje przyzwyczajenia osoby. W tym przypadku numery IP oraz historia transakcji w zestawieniu z osobą pozwala jeszcze lepiej ją poznać, wyselekcjonować i wskazać. A zatem każde uzupełnienie zestawu danych osobowych np. o numer buta nadaje numerowi buta charkter osobowy. Oczywiście numer buta w magazynie sklepowym daną osobową jeszcze nie jest.

  2. Dorzucę jedno pytanie:
    Kiedy robię komuś przelew, bank podaje mu (odbiorcy) moje dane (tak samo ja dostaję takie dane, jeśli ktoś przelewa do mnie). Są to ewidentnie dane osobowe (imie, nazwisko, adres).
    Czy to nie jest przypadkiem naruszenie wiadomej ustawy?

    • Hm, to nie jest tak – przelewając komuś pieniądze jednocześnie zlecasz przesłanie danych nadawcy – tak działa prawo bankowe i chyba skarbowe.

    • Jakoś sobie nie przypominam, żebym to zlecał.

    • Napisałem już wcześniej, ale nie w odpowiedzi, więc ponawiam… W jednym czasie u nas działają regulacje o równej mocy, które są lex specialis względem ustawy o ochronie danych osobowych i to one regulują zasady postępowania z danymi… w tym przypadku mowa o ustawie prawo bankowe, która kwestię tę kwestię reguluje.

      Zawsze możesz pójść na pocztę i zrobić przekaz pocztowy, a w ramach adresata wpisać bzdury. Tym samym pozbędziesz się możliwości reklamacji takiej operacji :)…

  3. Mnie interesuje ta kwestia akceptacji regulaminow i ewentualnych kruczkow w nich odnosnie czy sa one wiazace prawnie czy nie. Wiadomo przy sprawach konsumenckich latwo sie z takich umow wykpic korzystajac z mozliwosci rezygnacji 14 dniowej ( wczesniej 10 ) a co w sprawach niekonsumenckich? Bardzo chetnie zobaczylbym “Poniedzialek z Prawnikiem” z ujeciem tej tematyki.

  4. zdegustowany: W jednym czasie u nas działają regulacje o równej mocy, które są lex specialis względem ustawy o ochronie danych osobowych i to one regulują zasady postępowania z danymi… w tym przypadku mowa o ustawie prawo bankowe, która kwestię tę kwestię reguluje.

  5. > W rozumieniu ustawy z przetwarzaniem danych osobowych w omawianym przypadku
    > będziemy mieli do czynienia dopiero, gdy zbiór zostanie z premedytacją pobrany i
    > zapisany na dysku, a nie w pamięci RAM, w pamięci przeglądarki i innych przypadkach
    > jedynie technicznego „ściągnięcia” danych.

    Co to znaczy “techniczne ściągnięcie danych”? Przeglądarka nie trzyma pobranych plików w RAMie, tak czy siak zapisują się gdzieś na dysku. Czym się różą sytuacje:
    1. Klikam link na Niebezpieczniku, wyskakuje monit co zrobić z pobrany plikiem, wybieram “Otwórz”. Sprawdzam co to jest: jakiś zrzut bazy – nuda -> zamykam.
    2. Klikam link na Niebezpieczniku, wyskakuje monit co zrobić z pobrany plikiem, wybieram “Zapisz”. Otwieram pobrany plik: jakiś zrzut bazy – nuda -> zamykam i usuwam plik.
    Co jeśli mam zapamiętaną akcję w takich sytuacjach i przeglądarka nie pyta mnie co zrobić, tylko od razu zapisuje plik na dysku?

    • Nic. Najgorsze że możesz sobie ten plik skasować “z pulpitu” a on zostanie i tak w cache przeglądarki (jeśli nie był zbyt duży i ustawienia na to pozwoliły). Wtedy go ciągle masz ;p
      Prawo nie jest przygotowane na zróżnicowanie technologiczne systemów i oprogramowania. Zresztą tego się nie da ogarnąć w prawie – w ostateczności pozostaje szczęście, niska szkodliwość i dobrotliwe wyroki że “to nie ty, tylko przeglądarka”.

    • “Informatycy”, jako osoby techniczne, myślące 0-1, często popełniają ten błąd, że tak samo dokładnie i precyzyjnie jak RFC chcą interpretować zapisy prawne. A to często niemożliwe bo prawo nie nadążą za meandrami echnologii. Dodatkowo warto pamiętać o tym, że nie tylko “formalne” wypełnienie opisu czynności z danego paragrafu jest przez sąd brane pod uwagę, ale rownież *intencje*. Czasem ponoć także zdrowy rozsądek… ;)

      Przechodząc do twoich pytań, jako “nieprawnik” w mojej interpretacji wygląda to tak:

      ad. 1. Jeśli jesteś świadomy, że jest to zrzut bazy zawierający czyjeś (w domyśle wykradzione dane) i świadomie postanawiasz go zostawić na dysku, to jeśli ktoś udowodni, że masz te dane i świadomie je zostawiłeś, albo sięgałeś do nich po pobraniu wielokrotnie w celu uzyskania korzyści majątkowej (np. weryfikowałeś czy ktoś ma takie samo hasło także na allegro), to możesz z tego tytułu mieć nieprzyjemność.

      ad. 2. Wątpie, żeby ktokolwiek cię za to “skazał”, co nie znaczy, że nie będzie ścigał lub wykonywał czynności procesowych mających na celu ustalenie, co zrobiłeś z plikiem/jakie były twoje intencje. Przesłuchanko, może nawet zajęcie dysku, w zależności od “wagi” sprawy wchodzą w grę. Ale spokojnie! Jeśli rzeczywiście natychmiast skasowałeś plik, to na pewno sytuacja się “wyprostuje”. Wytłumaczysz się sam, alboraczej twoje sektory na dysku i inne forensicowe ślady w opinii biegłego Cię wytłumaczą, podkreślam, jeśli faktycznie skasowałeś plik zaraz po pobraniu. (Sprawa do przemyślenia: a co jeśli dysk byłby zaszyfrowany w momencie pozyskania go przez policję? :-)

      ad “Co jeśli mam zapamiętaną akcję w takich sytuacjach i przeglądarka nie pyta mnie co zrobić, tylko od razu zapisuje plik na dysku?” — biegły sądowy wykaże, że jest to domyśLne zachowanie systemu i mogłeś nie mieć na to wpływu. Ale może też znaleźć inne ślady (np. namiętne, kilkugodzinne sesje z excelem i tym plikiem), które postawią cię już w niekorzystnym świetle.

    • Piotrze, niestety mamy w kk niesławny art. 269b (pozyskiwanie programów przystosowanych do popełnienia przestępstwa), z którego można jak kijem walnąć każdego admina – któż bowiem nie pozyskał pinga, nmapa lub, co gorsza, metasploita?

      Chciałbym mieć wiarę w rozsądek sądów, ale litera prawa jest przerażająca, jeśli zostanie zastosowana… literalnie.

  6. Czy można zmusić stronę aby usunęła doxa na kogoś?

  7. Hmm… poprosiłem kiedyś GG Network o udostępnienie archiwów moich rozmów, które trzymają na dysku w związku z ustawą o retencji danych. Otrzymałem odpowiedź, że nie zbierają takich informacji. Mam wrażenie, że to nieprawda. Czy mogę coś jeszcze z tym zrobić, żeby uzyskać dostęp do moich archiwów?

    I drugie pytanie – słyszałem jakieś legendy, że teoretycznie, jeśli stawiam serwer SSH, powinienem klucz prywatny udostępnić władzom na mocy którejś z ustaw. Czy faktycznie istnieją tego typu zapisy i – jeśli tak – jaka jest kara za niezastosowanie się do nich?

    • Ustawa “Prawo telekomunikacyjne” nikomu nie nakazuje trzymania treści twoich rozmów, GG słusznie spuściło cię na drzewo. Po pierwsze, GG raczej nie jest telekomem (choć cholera wie, mieli swojego MVNO uruchamiać). Po drugie, lista danych, które telekomy mają przechowywać, jest określony w art. 180c i nie ma tam przesyłanych treści. Są adresy i ew. lokalizacja urządzeń końcowych, data i godzina połaczenia, czas trwania i rodzaj połączenia. I to wszystko. Nie mamy pańskiego płaszcza i co nam pan zrobi?

      A co do legendy… ręce opadają. Naprawdę ludzie wierzą w takie bajki?

  8. Do mojego pytania, na które odpowiedział pan Jarosław, krótkie doprecyzowanie. Otrzymałem z mojego banku prośbę o przesłanie skanu aktualnego dowodu. Pomijam fakt, że poprosili o maila. Ale pracownik banku powiedział, że koniecznie musi być cały dowód. Zadałem zatem pytanie do banku z prośbą o informację na podstawie UoDO o tym, jakie dane osobowe przetwarzają. I nie było tam nic o wzroście, kolorze oczu, itd.

    Wiem, że bank może przetwarzać duuuużo danych, opierając się przy tym o niejasne przesłanki wynikające z Ustawy prawo bankowe, czy AML. Ale – wtedy powinien przecież wszystkie te dane zgłosić do GIODO. Jeśli tego nie zrobił, to chyba nie ma prawa ich przetwarzać (a samo zażądanie ich- a zatem w konsekwencji otrzymanie – będzie przetwarzaniem)?

  9. W mojej ocenie nr rejestracyjny może stanowić daną osobową nie tylko dla instytucji potrafiących powiązać go z konkretną osobą fizyczną, ale dla każdego kto będzie mógł takiego powiązania dokonać. Powiedziałbym nawet, że opublikowane zdjęcie samochodu z widocznym nr rejestracyjnym, nie będzie daną osobową dla takiej instytucji, dopóki nie będzie miała ona powodu, żeby to zdjęcie przetwarzać, bo to nie jest tak, że pracownik wydziału komunikacji może sprawdzać do kogo należy samochód, którego zdjęcie pojawiło się w ogłoszeniu salonu samochodowego. Zasada celowości też tutaj obowiązuje.
    Co innego jednak znajomi właściciela samochodu, znający jego nr rejestracyjny. Jeżeli zobaczą opublikowane zdjęcie, to będzie to już udostępnienie danych osobom nieupoważnionym –znajomi dowiedzą się, że właściciel sprzedaje samochód.

  10. Przetwarzaniem są jakiekolwiek operacje wykonane na danych, dlatego nie możemy mówić, że ściągnięcie i zapoznanie się z danymi nie jest ich przetwarzaniem. Zupełnie się nie zgadzam ze stwierdzeniem, że zapoznanie się z danymi nie będzie ich przetwarzaniem.
    Prawdą natomiast jest, że nie będzie to podlegać sankcją na podstawie uodo. Karane może być udostępnienie osobie nieupoważnionej. Art. 49 uodo mówi o osobie nieuprawnionej, a nie o nieupoważnionej i w mojej ocenie, osoby które zapoznają się z danymi nie mając świadomości ich bezprawnego charakteru, nie naruszają tego przepisu, podobnie jak nie naruszają art. 267 kk.

  11. @Kuko 5

    Art. 180a i kolejne ustawy prawo telekomunikacyjne to lex specialis względem Ustawy o ochronie danych osobowych. Obie ustawy mają taką samą moc, ale ze względu na ich kolizję zastosowanie znajdą przepisy bardziej szczegółowe.

    @Matja

    (Prawo bankowe)
    Art. 112b. Banki mogą przetwarzać dla celów prowadzonej działalności bankowej
    informacje zawarte w dokumentach tożsamości osób fizycznych.

    Brak zgłoszenia czy też błędne(niepełne) zgłoszenie zbioru danych nie wyłącza powyższego uprawnienia.

  12. Witam wszystkich! :) Co do 1go pytania o odpowiedzialnosc ADO – sytuacja kiedy: Administrator Danych Osobowych firma X powierza firmie hostujacej Y (umowa powierzenia) dane osobowe i dane wyciekna. Otoz w mojej ocenie:
    1) fakt podpisania umowy o powierzeniu danych osobowych przez ADO z firma hostujaca Y – nie powoduje przeniesienia na nia calego ciezaru odpowiedzialnosci – chocby z tego powodu ze Administratorem tych danych jest firma X a firma hostujaca Y jest “procesorem”. Jak wiemy zgodnie z ustawa za dane odpowiada ADO. W przypadku kiedy dane Pana Zdzisia wyciekna to na pierwszy strzal idzie ADO – bo to on jest Administratorem danych Zdzisia. Zdzisia, Giodo czy Sad bedzie w pierwszej kolejnosci interesowac czy ADO dopelnil wszelkich staran zeby zabezpieczyc dane np: czy poziom zabezpieczen firmy hostujacej jest nie mniejszy niz nasz? Czy firma hostujaca spelnia warunki dot. przetwarzania? Czy jest podpisana odpowiednia umowa, odpowiednie oswiadczenia i zobowiazania firmy Y wzgledem ADO. To w jaki sposob rozlozy sie ciezar winy bedzie zalezec od wynikow kontroli. Jesli Ado udowodni ze dopelnil wszelkich staran zeby dane zabezpieczyc zgodnie z wymaganiami u.d.o a blad popelnila firma hostujaca to jest duze prawdopodobiestwo ze w jakims wiekszym stopniu odp. spadnie na nia. Oczywiscie wizerunkowo zawsze traci ADO ktorego tlumaczenie poszkodowanym ze ktos tam ktorys z “podwykonawcow” czegos nie zrobil nic juz nie da :) To tak jakby Sony tlumaczylo sie klientom ktorym wlamano sie na konta i dane kart kredytowych ze to w sumie nie ich wina tylko firmy ktora miala dostep do tych danych.

  13. Mam tez pytanie do pytania ktore zadal Mateusz: case z 200 studentami. Jaki sens ma zastanawianie sie czy dane zostaly upublicznione skoro ustawa a art 51 u. 1 mowi jasno: “Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych
    osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym,
    podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
    do lat 2.” Nie jest to kwestia upublicznienia badz nie – tylko pytania czy osoby ktore otrzymaly te dane byly osobami upowaznionymi do ich przetwarzania czy nie.
    Kolejne pytanie to juz o to czy dzialanie bylo celowe :) p2 art. 51: “Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.”

    Panie Jarosławie mam pytanie o to “techniczne” przetwarzanie. Z tego co wiem ustawa nie precyzuje az tak dokladnie – moglby Pan ten watek rozwinac? Ustawodawca w art 7 wali prosto jak cepem ogolniki:
    “przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane
    na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie,
    opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza
    te, które wykonuje się w systemach informatycznych,”

    W takim pojeciu najbezpieczniej po prostu stosowac system 0-1dynkowy – albo ktos ma dostep do danych co do ktorych jest upowaziony albo nie ma :)

  14. Pytanie do prawnika:
    Zakladajac ze korzystam ze swojej sieci LAN sam i mam otwarty WiFi. Moj router przy podlaczeniu sie probuje metasploitem znalezc luki w moim oprogramowaniu i zainstalowac trojana. Do mojego otwartego wifi nielegalnie podlacza sie ktos spoza sieci (popelniajac przestepstwo) i “lapie” mojego trojana, to czy ja tez popelniam przestepstwo?
    pozdrawiam

  15. To nie jest pytanie typowo prawnicze, a raczej ekonomiczne – ale może ktoś zna rozwiązanie albo już przez to przechodził.
    Ja rozliczać zyski z bug bounty ? Załóżmy typowy przypadek firma w USA, formularz W-8BEN (pola 3a – Individual, 7- polski NIP, 9a – Poland) i kwalifikacja “Security and Safety Services”.
    – jeżeli kwota przyszła na konto złotówkowe, to przeliczać po kursie średnim dolara NBP, czy wg kursu bankowego po którym nastąpiło przeksięgowanie – czyli rzeczywisty przychód
    – czy cokolwiek trzeba rozliczać/zgłaszać w USA ? mam na myśli zeznanie roczne
    – gdzie to wpisać w polskim PIT – “inne źródła dochodów” z 0% kosztem uzyskania przychodu, czy coś innego ?

  16. @Piotr Konieczny “biegły sądowy wykaże, że jest to domyślne zachowanie systemu i mogłeś nie mieć na to wpływu.”

    Podziwiam wiare w umiwjętności/możliwości/zaangażowanie biegłych… Chyba że weźmiesz biegłego co to i spenetruje internet, legalność utworu audiowizualnego oceni, pornografię ze zwierzętami znajdzie, a do tego posiada Certyfikat Audytora Oprogramowania (koniecznie wielkimi literami) – taki kwiatek znalazłem na szybko: http://www.bieglysadowy.com/oferta.html

    Wracając do meritum: niekoniecznie biegły wykaże, ale może uda się z niego to wyciągnąć. Nie mam w tym zakresie doświadczenia – a co jeśli biegły (powołany przez sąd) łże jak pies, albo zwyczajnie nie zna się? Sąd może swobodnie oceniać dowody i niekoniecznie przejąć się opinią sporządzoną na zamówienie strony…

    • Zakładam tu, że “oskarżony/podejrzany” jest człowiekiem bez winy i z dużą świadomością ataków IT. Kwestionować można, wykazywać uchybienia w pracy biegłego również, do czego osoby bez winy zachęcam ;-)

  17. U mnie na uczelni, wykładowcy podając wyniki egzaminu zamiast nazwisk umieszczają numery indeksów, aby chronić nasze dane osobowe – kto jaką uzyskał ocene. Co zrobić w sytuacji (która się zdarza dość często), że wykładowca udostępnia plik zawierający imię, nazwisko, numer indeksu i uzyskaną ocenę ludzi z całego kierunku?

    • Zawiadomić lokalnego ABI, GIODO, Policję, Prokuraturę…
      W zasadzie tak by trzeba, żeby nauczyć innych na przykładzie. Tylko który student to zrobi?

      A z ciekawostek – po lekturze ostatniego sprawozdania GIODO, już wiemy, że opublikowanie nr indeksów i ocen, też jest udostępnieniem danych. Bo przecież udostępniający wie, czyje są to dane. Interpretacja literalnie poprawna, niestety nie wnosi wiele do ochrony prywatności, a w wielu przypadkach życie strasznie skomplikuje.

  18. A może po prostu zacząć się uczyć tak, żeby nie trzeba było wstydzić się oceny przy swoim nazwisku? 10 czy 20 lat temu nauczyciel czy wykładowca czytał na głos wyniki: Kowalski – pała, Nowak – pała – to co pan wyrabia to się w pale nie mieści, Pawlak – cztery itp itd. Nikt się nie obrażał, a być może nawet miało to jakieś działanie wychowawcze. A teraz student obrażony ma pisać donos do GIODO? Ja co do zasady jestem legalistą, ale nie można popadać w skrajności…

    • Czy ja pisałem o obrażaniu się? Dla mnie to była sytuacja
      zastana, któryś wykładowca nawet wspominał, że wynika ona z ochrony
      danych osobowych. Założyłem, że obecnie są takie wymogi, i
      zapytałem tylko gdzie należało by zgłosić ich pogwałcenie.

    • Nie sądzę, aby tu chodziło o chęć ukrycia swoich ocen. Odrobinę wyobraźni…

  19. @Koko – tak to zrozumiałem, pytanie “co należy zrobić” sugerowało nieodpartą chęć zrobienia czegoś. Najlepiej pójść ze znajomymi z roku na piwo, a jak się da to i z wykładowcą.

  20. Banki oraz inne instytucje stosują w Polsce prostą sztuczkę. Wykorzystują do tego podstawionego człowieka i posłuszne korporacjom media lub czasem z oszczędności firmy PRowe. Jeśli jest jakaś sporna sprawa, podstawiony prowokator wytacza głośny (nagłośniony przez media) proces w rzeczonej sprawie. Media a za ich pośrednictwem zainteresowani tematem śledzą proces, następnie podstawiony prowokator celowo uwala sprawę (nie odpowiada na wnioski pozwanego, nie składa wniosków dowodowych lub robi błędy techniczne – np. nie dotrzymuje terminów itd.). Do opinii publicznej idzie informacja ,że sprawa nie do wygrania i ,że bank ma rację – szary Kowalski nie ma wiedzy z przebiegu procesu i odpuszcza… Podobne zabiegi wykorzystują niestety instytucje Państwa.

    Warto przyjrzeć się procesom wytaczanym przez ludzi WSI którzy żądają odszkodowania za wywalenie ich przez Macierewicza. Co jakiś czas pro-izraelski TVN podaje kwotę odszkodowań jakie wypłaciło Państwo, obarczając winą Macierewicza. Z tym ,że nie ma informacji o tym jak przebiegały procesy. Nie ma informacji o tym jak wygląda obrona, czy są składanie wnioski dowodowe itd. Nie ma też informacji ,że procesy cywilne wytoczone przez ludzi WSI Macierewiczowi ten wygrywa wszystkie, a rząd przegrywa i wypłaca odszkodowania – prawdopodobnie przez zaniechanie składania wniosków dowodowych…

    A wracając do Banków, Balcerowicz oraz jego następcy dali bankom i korporacjom władzę nadludzi w Polsce i szary obywatel nie ma szans na wygranie starcia. W najlepszym wypadku wygra jednostka, ale nie ma sytuacji ,że na podstawie orzeczenia sądu uznaje się winę banku i naprawia szkody wszystkim pokrzywdzonym klientom banku… każdy musi walczyć oddzielnie.

    Prosty przykład – operator internetowy ma awarię i dajmy na to 1/5 jego klientów nie ma internetu dwie doby. Logicznym się wydaje ,że powinien tym abonentom obniżyć opłatę (przecież dokładnie wie kto nie miał internetu), a guzik. Bonifikatę w abonamencie otrzymają tylko ci klienci którzy złożą prawidłowo i w terminie pismo reklamacyjne, a pismo to zostanie rozpatrzone pozytywnie przez operatora.

  21. Witam mam pytanie. Czy warto podać firmę ubezpieczeniową do sądu w przypadku udostepnienia przez nią moich danych osobowych naruszają art 51 pkt 1 ustawy o ochronie danych osobowych. Mianowicie zgłosiłam do ubezpieczyciel szkodę a oni informację w której podają mój adres na jaki zgłaszam szkodę oraz datę zgłoszenia szkody wysłali na inny adres (którego im nie podawałam ) oraz na moje nazwisko panieńskie (ktOrego rownież im nie podawałam). Pismo wysłali do moich teściów na ich adres i na moje nazwisko panieńskie i w ten sposób teściowie dowiedzieli się gdzie mamy mieszkanie a ja nie rzyczyłam sobie tego aby o tym wiedzieli. Poza tym nie byli osobami uprawnionymi do uzyskania takiej informacji. W polisie nie podawałam tego adresu. Czy w tym przypadku firma ubezpieczeniowa naruszyła przepisy i czy jest sens zakładać sprawę w sądzie? Pozdrawiam.

Odpowiadasz na komentarz rob006

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: