Portale internetowe a ochrona danych osobowych.

Internet stał się niezwykle istotnym elementem życia współczesnego człowieka. Coraz więcej spraw załatwiamy w sieci- począwszy od zakupów, a skończywszy na życiu towarzyskim i uczuciowym. W związku z tym dość oczywistym stwierdzeniem pojawia się problem – czy i w jakich okolicznościach użytkownicy rozmaitych portali internetowych mogą postawić zarzut naruszenia ich danych osobowych.

Dyskusja na ten temat toczy się obecnie, głównie na tle działania  bijącego rekordy popularności portalu Nasza klasa  (ok. 7 mln. zarejestrowanych uczestników!) .  Portal ten wzbudził zainteresowanie Generalnego Inspektora Ochrony Danych Osobowych (dalej: GIODO) – właśnie ze względu na niespotykaną liczbę użytkowników udostępniających swoje dane na portalu.  „Nasza klasa” jest prawdopodobnie największym w Polsce zbiorem danych, w dodatku administrowanym przez prywatną spółkę. Z zasobów tego zbioru korzysta policja, prywatne firmy detektywistyczne oraz wiele innych podmiotów- w celach nie mających nic wspólnego z celem działania portalu.

O tym, że zagrożenia związane z udostępnianiem swoich danych w sieci nie są tylko teoretyczne przekonało się już kilkoro użytkowników popularnego portalu ( m.in. prawniczka, która zaczęła otrzymywać pogróżki przez Internet oraz pielęgniarka, która zamieściła na portalu, w prywatnym profilu, swoje zdjęcie w czepku z napisem „Siostra Pavulon”- narażając się na oburzone komentarze obcych użytkowników portalu). Trwają także spory dotyczące tego, czy administrator „Naszej klasy” dostatecznie chroni dane osobowe powierzane mu przez użytkowników, co prawdopodobnie zaowocuje kontrolą tego portalu przez  służby powołane do Ochrony Danych Osobowych.

Warto więc zwrócić uwagę na to, jakie wymagania winien spełnić  podmiot, który administruje „społecznymi” portalami internetowymi.

W Polsce obowiązuje Ustawa o ochronie danych osobowych z 29 sierpnia1997 roku, której regulacje odpowiadają także normom unijnym (dyrektywa Parlamentu Europejskiego z dnia 24.10.1995 roku  w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych).

Ustawa ta znajduje zastosowanie do działalności każdego administratora danych, tj. podmiotu zajmującego się przetwarzaniem danych osobowych w związku z prowadzoną działalnością  zarobkową . Przetwarzanie danych, zdefiniowane przez ustawę, polega na wykonywaniu wszelkich operacji na danych osobowych (zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych).

Podkreślić należy, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę. Stąd  czasem spotykana w portalach internetowych i dokumentach (choć nieobecna w Naszej klasie) „formułka”, zawierająca zgodę użytkownika na przetwarzanie jego danych osobowych – „klikając” w nią użytkownik wyraża zgodę na przetwarzanie swoich danych. Zgoda taka może obejmować także przetwarzanie danych w przyszłości, o ile nie zmieni się cel ich przetwarzania. Administrator danych jest zobowiązany zamieścić  w portalu informację o swojej siedzibie, a także poinformować użytkownika o celu gromadzenia danych  i pouczyć go o prawie dostępu do treści swoich danych oraz prawie ich poprawiania.  Administrator nie ma natomiast obowiązku zamieszczania na portalu informacji na temat wszelkich możliwych czy też niepożądanych konsekwencji zamieszczenia swoich danych przez użytkownika portalu.

Przetwarzanie danych o charakterze ściśle prywatnym, (ujawniających poglądy polityczne, przekonania religijne, stan zdrowia, preferencje seksualne itp.) jest , co do zasady, niedopuszczalne. Ustawa dopuszcza wyjątki, podyktowane „nadrzędnymi” celami (jak np. dochodzenie praw przed sądem) ; przetwarzanie tych danych jest także możliwe po uzyskaniu pisemnej zgody osoby, której dane dotyczą.

Zgodnie z powołaną ustawą administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą; w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem i w oznaczonym celu, odpowiadającym przeznaczeniu bazy danych.
 
Zgodnie z Ustawą o ochronie danych, administrator ma także dbać o to, aby zamieszczone w bazie dane były „merytorycznie poprawne”; założenie to w przypadku portali internetowych wydaje się fikcyjne. Administrator nie może bowiem zapobiec podawaniu nieprawdziwych danych przez użytkowników portali- co jest zresztą zjawiskiem nagminnym.
Warto jednak pamiętać, że każda firma administrująca danymi ma obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO); na żądanie administratora Inspektor wydaje zaświadczenie o zarejestrowaniu zbioru danych. 

Powołana ustawa nakłada na administratora obowiązek zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym lub przed bezprawnym ich przetwarzaniem przez osoby trzecie. Czasami trudno w praktyce ocenić, czy wymóg ten został należycie spełniony.  W przypadku Naszej Klasy, najwyraźniej powstały co do tego wątpliwości, czego efektem jest zapowiedziana kontrola w siedzibie firmy we Wrocławiu.

Co grozi niestarannemu administratorowi danych czy też podmiotom przetwarzającym dane osobowe w sposób nieuprawniony?

Zgodnie z przepisami ustawy nieuprawnione przetwarzanie danych osobowych zagrożone jest karą grzywny, ograniczenia wolności lub pozbawienia wolności do lat dwóch.  Takiej samej karze podlega administrator danych, który udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym. Kara ta jest odpowiednio złagodzona (do 1 roku pozbawienia wolności) w przypadku, gdy administrator danych działa nieumyślnie; karalne jest także zaniedbanie obowiązku zgłoszenia zbioru danych do rejestracji.

Techniczne sposoby zabezpieczenia danych osobowych zgromadzonych na portalach internetowych to zadanie dla informatyków, jednakże warto pamiętać o tym, że efektywna ochrona danych użytkowników portalu musi zapewniać im możliwość ukrycia tych danych przed osobami niepowołanymi. Osoby niepowołane to, z punktu widzenia użytkowników portalu,  także osoby i firmy świadczące różnego rodzaju usługi, które posługują się danymi zgromadzonymi w różnych zbiorach, używając ich w celu „namierzenia” potencjalnych klientów i złożenia im oferty.  Portal Nasza Klasa jest, z punktu widzenia takich podmiotów, niezmierzoną wprost kopalnią informacji. Nietrudno wyobrazić sobie np. firmy farmaceutyczne rozsyłające oferty do lekarzy i innych absolwentów szkół medycznych czy też koncerny motoryzacyjne  czyniące to samo w odniesieniu do absolwentów szkół mechanicznych.

Dyskusja na temat zagrożeń związanych z udostępnianiem danych na portalu Nasza Klasa nabrała rumieńców, gdy okazało się, że jeden z jego założycieli po prostu  usunął swoje dane z portalu. Prawdopodobnie jest on jednym z tych użytkowników, którzy zdali sobie sprawę, że ujawnienie w Internecie swoich prywatnych danych: nazwiska, miejsca zamieszkania, ukończonych szkół, nazwisk znajomych, zdjęć rodziny i przyjaciół – może pociągnąć za sobą nieprzewidziane kłopoty.  Warto zdać sobie sprawę, że ujawniając te dane w popularnym portalu – nie czynimy tego jedynie na forum dawnych kolegów, ale przed wielomilionową widownią; w ten sposób, chcąc nie chcąc, stajemy się osobą „publiczną”. Ten fakt niesie ze sobą określone konsekwencje- także w postaci niepożądanych kontaktów oraz komentarzy, na które można się narazić w sieci. Decyzją użytkownika jest, czy podejmuje to ryzyko czy też nie – ważne, by była to decyzja świadoma.